Bom pessoal, regras de firewall

[Good_speed]

cara vc poderia me dar um exemplo destas regras sem ip?, pois aqui utilizo dhcpd em um servidor que controla toda minha rede wireless.

Grato,

Código :

/ ip firewall filter 
add chain=forward protocol=tcp dst-port=135 action=drop comment="" disabled=no 
add chain=input connection-state=invalid action=drop comment="Drop Invalid connections" disabled=no 
add chain=input connection-state=established action=accept comment="Allow Established connections" disabled=no 
add chain=input protocol=udp action=accept comment="Allow UDP" disabled=no 
add chain=input protocol=tcp dst-port=23 action=drop comment="" disabled=yes 
add chain=input protocol=icmp action=accept comment="Allow ICMP" disabled=no 
add chain=input src-address=192.168.0.0/24 action=accept comment="Allow access to router from known network" disabled=no 
add chain=input action=drop comment="Drop anything else" disabled=no 
add chain=forward protocol=tcp connection-state=invalid action=drop comment="drop invalid connections" disabled=no 
add chain=forward connection-state=established action=accept comment="allow already established connections" disabled=no 
add chain=forward connection-state=related action=accept comment="allow related connections" disabled=no 
add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no 
add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no 
add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no 
add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no 
add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no 
add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no 
add chain=forward protocol=tcp action=jump jump-target=tcp comment="" disabled=no 
add chain=forward protocol=udp action=jump jump-target=udp comment="" disabled=no 
add chain=forward protocol=icmp action=jump jump-target=icmp comment="" disabled=no 
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" disabled=no 
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper" disabled=no 
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper" disabled=no 
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT" disabled=no 
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" disabled=no 
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" disabled=no 
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" disabled=no 
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" disabled=no 
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" disabled=no 
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" disabled=no 
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" disabled=no 
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" disabled=no 
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" disabled=no 
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" disabled=no 
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" disabled=no 
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice" disabled=no 
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="drop invalid connections" disabled=no 
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="allow established connections" disabled=no 
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="allow already established connections" disabled=no 
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench" disabled=no 
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request" disabled=no 
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed" disabled=no 
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad" disabled=no 
add chain=icmp action=drop comment="deny all other types" disabled=no 
add chain=forward src-address=192.168.0.0/24 dst-address=192.168.0.0/24 action=drop comment="Bloqueio acesso entre \
    usuarios" disabled=no 
add chain="forward protocol=tcp dst-port=135-139 action=drop" action=accept comment="" disabled=no 
add chain="forward protocol=udp dst-port=135-139 action=drop" action=accept comment="" disabled=no 
add chain="forward protocol=tcp dst-port=445-449 action=drop" action=accept comment="" disabled=no 
add chain="forward protocol=udp dst-port=445-449 action=drop" action=accept comment="" disabled=no 
add chain=input in-interface=Local protocol=tcp src-port=6776 action=drop comment="2000 Cracks " disabled=no 
add chain=input in-interface=Local protocol=tcp src-port=32418 action=drop comment="Acid Battery " disabled=no 
add chain=input in-interface=Local protocol=tcp src-port=0-65535 action=drop comment="" disabled=no 
add chain=input src-address=192.168.1.0/24 action=accept comment="Allow access to router from known network   2" \
    disabled=no 
add chain=forward src-address=192.168.1.0/24 dst-address=192.168.1.0/24 action=drop comment="Bloqueio acesso entre \
    usuarios 2" disabled=no 
add chain=forward in-interface=Local out-interface=Local action=accept comment="Allow traffic between wired and wireless \
    networks" disabled=no 
add chain=forward action=jump jump-target=sanity-check comment="Sanity Check" disabled=no 
add chain=sanity-check packet-mark=nat-traversal action=jump jump-target=drop comment="Deny illegal NAT traversal" \
    disabled=no 
add chain=sanity-check protocol=tcp psd=20,3s,3,1 action=add-src-to-address-list address-list=blocked-addr \
    address-list-timeout=1d comment="Block port scans" disabled=no 
add chain=sanity-check protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list \
    address-list=blocked-addr address-list-timeout=1d comment="Block TCP Null scan" disabled=no 
add chain=sanity-check protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list \
    address-list=blocked-addr address-list-timeout=1d comment="Block TCP Xmas scan" disabled=no 
add chain=sanity-check protocol=tcp src-address-list=blocked-addr action=jump jump-target=drop comment="" disabled=no 
add chain=sanity-check protocol=tcp tcp-flags=rst action=jump jump-target=drop comment="Drop TCP RST" disabled=no 
add chain=sanity-check protocol=tcp tcp-flags=fin,syn action=jump jump-target=drop comment="Drop TCP SYN+FIN" disabled=no 
add chain=sanity-check connection-state=invalid action=jump jump-target=drop comment="Dropping invalid connections at \
    once" disabled=no

[balisteri]

olha só amigo a regra se aplica a network, os ips que voce estão vendo
add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no

são para o bogons de rede.

agora para aplicar as regras a outros ips de rede são o que esta lá para a faixa inteira

192.168.0.0/32 e 192.168.1.0/32

da uma olhada melhor que essa regra é para a classe inteira de ips

[paulo_al]

Gotei do topico!!
ta de parabens

[Good_speed]

olha só amigo a regra se aplica a network, os ips que voce estão vendo
add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no
add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no
add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no

são para o bogons de rede.

agora para aplicar as regras a outros ips de rede são o que esta lá para a faixa inteira

192.168.0.0/32 e 192.168.1.0/32

da uma olhada melhor que essa regra é para a classe inteira de ips

oi balisteri,

cara vc poderia colocar o resto das regra do controle p2p?, vc tem msn?

Grato,

[balisteri]

[email protected]

[catvbrasil]

Aconselho bastante incluir tudo a esmo!!! Melhor que dá mais problemas ae me procuram.... Já falei centenas de vezes, de que adianta coloca regras e mais regras e ficar se enganando que tá melhor... Quando pego servidores cheios destas regras a primeira coisa que pergunto é "pra que isso"??? Claro que o pessoal não sabe responder... Regras são componentes dinâmicos. Antes de aplicá-las deve-se verificar se vai servir ou ao menos para que serve. Como eu disse, trabalho com centenas de pessoas donas de provedores, tenho grande experiência no assunto. Para quem mesmo assim gosta de colocar tudo no seu server, quando tiver uma bomba, entra em contato comigo ae.... ao menos posso solucionar todos os seus problemas...

[email protected]

[gilbertoandrade]

Olá amigo balisteri...

Acredito que vc está certo por divulgar estas regras, pois são de facil entendimento e para uma pessoa que administra uma rede ja está com um receita pronta, para adicionar o q for necessario editar ou ate mesmo remover a regra se for necessario, a galera do forum ta ai para ajudar mesmo, qualquer duvida que a pessoa tiver sobre a regra ou qualquer outra coisa com certeza será respondido por mim e por todos os amigos que gostam de ajudar sem se preocupar pelo lado financeiro que vai te trazer, e sim pela simples ação de ajudar o proximo e repassar o conhecimento a diante.. É o que eu acho, se eu tiver errado aceito criticas numa boa...

[email protected]

[lucianogf]

Olá amigo balisteri...

Acredito que vc está certo por divulgar estas regras, pois são de facil entendimento e para uma pessoa que administra uma rede ja está com um receita pronta, para adicionar o q for necessario editar ou ate mesmo remover a regra se for necessario, a galera do forum ta ai para ajudar mesmo, qualquer duvida que a pessoa tiver sobre a regra ou qualquer outra coisa com certeza será respondido por mim e por todos os amigos que gostam de ajudar sem se preocupar pelo lado financeiro que vai te trazer, e sim pela simples ação de ajudar o proximo e repassar o conhecimento a diante.. É o que eu acho, se eu tiver errado aceito criticas numa boa...

fala gilbertoandrade,

é pra isso que existe o fórum, pra um ajudar o outro...

[lucianogf]

com relação a regras postadas por outras pessoas, é apenas uma questão de ler o que está escrito, interpretar os comandos e entender tudo...

o problema é que muita gente não sabe nem o que é uma porta tcp ou udp, quanto mais saber por que usar determinado protocolo...

o pior de tudo, nem ao menos procuram estudar pra aprender um pouco sobre o próprio trabalho...

receita de bolo é bom quando o bolo cresce, e quando batuma o que fazer?? isso geralmente não tem na receita, e a solução é jogar fora...

[balisteri]

Bom vamos lá.

Em primeiro lugar eu acho que as pessoas que vem ao forum principalmente os novatos, procurem ler o manual do programa.

Bom antes eu não sabia nada sobre o sistema, tenho fluencia na lingua inglesa, isso fazendo que o meu aprendizado seja mais facil.. Bom o mikrotik é um software um pouco facil de se trabalhar, basta voce ler os forum em ingles e a propria wiki....

Todas as informações que eu coloco no forum são materiais destes lugares...

Lendo o que foi postado, e analizar as regras, voce consegue entender para que serve.

o meu intuito não é dar tudo de mão beijada mais sim fazer com que a pessoa realmente aprendam a usar o sistema.

Ultimamente eu estou meio sem tempo para responder os meus topicos....
na verdade passando por um furacão na vida.... isso comprica..


e por final o forum ta ai para isso, para poder postar o que agente acha e discutir sobre isso abertamente, como sempre eu falo e é realidade " o conhecimento tem quer ser passsado" ..


Bom ao amigo CATV cara fico muito triste com o que anda acontecendo contigo sobre o pessoal pegarem as suas configurações e venderem no mercadolivre.


cara registre tudo que voce escreve...mesmo que voce nao queira cobrar mas registra tudo assim mesmo igual se faz com letras de musica pega tudo e registra no cartorio com as suas informações..

[Rhander]

onde fica o console que tem que colar essas regras?

[rps67]

Amigo Rhander
vc tá começando com o mikrotik ? seja bem vindo.
Pelo winbox vá no menu New Terminal e lá digite ip firewall filter rules dê enter, copie e cole com o mouse e pronto.

[ederamboni]

seguinte tirei omtem e hj pra estudar essas regras e parabens pela iniciativa gostei tanto que implementei todinhas nos meus server as regras de mangle deram uma acelerada na navegacao impressionante parece que com a marcaçao de pacotes oq e oq ficou mais rapido a respostas de paginas e outras coisas a mais estou satisfeito com as regras mesmo porem quem nao tem muito conhecimento cuidade com as regra do filter pois elas bloqueam acesso de fora do mik antes de implementar elas cuide pra ter os acesso pras classes de ips de fora que vc acessa senao ficaram sem acesso ...
ok
desde ja agradeco e parabenlizo nosso amigo pela iniciativa ajudara muitos amigos under....


abracos....

[cpavaos]

Tive dando umaolhada nas regras e vi que em algumas delas se tem uns IP eles tem que permanecer ou tenho que colocar de acordor com o meus aki?
EX. no meu servidor o Ip de entrada é: 10.1.1.2 e o de saida para a rede local é: 192.168.10.1
A pergunta é vou tenho que mudar de acordo com os meu aki?

Respondendo a duvida de como colar as regras no Mk e simples, vc usuario do mk acesse o seu servidor mk atraves do Wnbox e vai ao New Terminal assim que vc estiver la copie as regras e cole na area do New Terminal, como o winbox esta em Ingles o certo e Poste (Colar) caso tenha duvida e so me perguntar que estarei ajudando vc tb.

[calangonet]

quais range vc utiliza no seu servidor, para podermos modificar de acordo com o nosso. Aqui para os clientes vai 192.168.10.xxx.

obrigado,

[balisteri]

claro as configuracoes foram feitas para o meu range de ip

[Good_speed]

claro as configuracoes foram feitas para o meu range de ip

Oi balisteri,

Estou analisando seu script e estou com algumas duvidas:

1. sei que vc adaptou esta regras p/ seu sistema!, agora pq existe regras de ip duplicado que tem a mesma função?

2. aqui utilizo servidor dhcp na minha rede wireless, e toda vez que coloco suas regras o mk nao deixa passa os ips, analisando as regras descobri esta regras que fala sobre dhcp. desabilitei as regras, vc poderia me explicar o q ela faz?

add chain=input in-interface=Local protocol=udp src-port=68 dst-port=67 action=jump jump-target=dhcp comment="DHCP \
protocol would not pass sanity checking, so enabling it explicitly before other checks" disabled=yes

add chain=dhcp src-address=0.0.0.0 dst-address=255.255.255.255 action=accept comment="" disabled=yes
add chain=dhcp src-address=0.0.0.0 dst-address-type=local action=accept comment="" disabled=yes
add chain=dhcp dst-address-type=local src-address-list=local-addr action=accept comment="" disabled=yes

3. vc esta fazendo controle por pacote p/ p2p, certo!!, esta mesma regra faz o controle por velocidade?, ou tem que adicionar?

[netlimit]

belo topico,mas vc poderia exp como add em lote via winbox,sendo q o mesmo na guia firewall não tem a apção colar...

De ante mão, fico agradecido..

[marcelomg]

belo topico,mas vc poderia exp como add em lote via winbox,sendo q o mesmo na guia firewall não tem a apção colar...

De ante mão, fico agradecido..

Opa, blz? siga o que o amigo rps67 escreveu na resposta dele.

[gilbertoandrade]

belo topico,mas vc poderia exp como add em lote via winbox,sendo q o mesmo na guia firewall não tem a apção colar...

De ante mão, fico agradecido..

Amigo é so vc ir em new terminal e colar as regras que vc copiou, clique com o botão direito depois em paste.

É isso ai precisando estamos na area...