Configuracao Mikrotik

Fazer download em doc, pdf ou txt
Fazer download em doc, pdf ou txt
Você está na página 1de 22

CONFIGURAÇÃO MIKROTIK

VERIFICANDO INTERFACES

CONFIGURACAO DE IP
VC PODE PELO WINBOX SELECIONAR O MAC E ENTRAR SEM CONFIG IP NO MIKROTIK, MAS DA MUITO ERRO .
VC PODE ENTRAR NO MIK. E CONFIG MANUALMENTE O IP PRA TE DAR ACESSO A ELE. DEPOIS Q TIVER DENTRO CONFIG A OUTRA INTERFACE.
DHCP CLIENTE

CONFIGURANDO A ROTA DEFAULT


CONFIGURANDO DNS

CONFIGURANDO NAT
AINDA COM O NAT NA MESMA JANELA

PPPOE SERVER.
Para config é preciso que vc desabilite o dhcp Server. Config os ip de eth1 e eth2
Config somente o Nat e o pppoe Server.
A maquina do cliente não pegará ip em sua rede local se tentar colocar em ip automatico.
O ip que vai ser atribuído a ele é o do pppoe quando se conectar, q pode ser qualquer um q vc inventar.
Se config ip fixo ele vai conseguir acessar se o Nat tiver habilitado. PROBLEMA
SOLUÇÃO: Deixe o Nat e o pppoe Server habilitados e vá em INTERFACES, ETHER 2 (NO CASO A LOCAL) e
muda o campo ARP para REPLY-ONLY. Só vai ter acesso quem logar no PPPoE. Quem configurar ip fixo não
vai conseguir nem pingar no servidor. Além do ip do servidor ficar mascarado.
PARA AQUELES QUE SÃO CADASTRADOS NO PPPOE SERVER. NÃO TENTEM INVADIR O SERVIDOR.
TENHO Q DESABILITAR TELNET, SSH SERVIÇOS DE ACESSO REMOTOS EM GERAL.
MUDAR A SENHA, BLOQUEAR PING
Configuração. Vc pode colocar o dns para atribuir automático também.
Cadastrando clientes no pppoe Server

Vá agora na interfaces para bloquear acessos a internet com ip fixos.


Bloqueando o FTP,ssh,telnet e ping no firewall.
Dando acesso a um determinado ip da rede
Negando o resto. O q ip q for aceito tem q vir antes da regra drop. Senão nega tudo
Controle de banda

REGRAS DO FIREWALL
=====================================================================================================================
0 ;;; Conexoes estabelicidas
chain=forward connection-state=established action=accept

1 ;;; Relacionamento de conexoes


chain=forward connection-state=related action=accept

2 ;;; Dropa conexoes invalidas


chain=forward connection-state=invalid action=drop

3 X ;;; Dropa exesso de ping


chain=forward protocol=icmp limit=50/5s,2 action=drop

4 ;;; Sem limite de ping


chain=forward protocol=icmp limit=50/5s,2 action=accept

5 X ;;; DROPAR ARQUIVOS .SCR


chain=input content=.scr action=drop

6 ;;; Bloqueio NETBIOS


chain=forward protocol=tcp dst-port=137-139 action=drop

7 ;;; Bloqueio NETBIOS 2


chain=forward protocol=tcp dst-port=445 action=drop

8 ;;; Bloqueia host se enxergar


chain=forward src-address=0.0.0.0 dst-address=0.0.0.0 action=drop
9 ;;; Limite de conexao P2P por clientes
chain=forward src-address=192.168.3.2 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

10 chain=forward src-address=192.168.3.3 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

11 chain=forward src-address=192.168.3.4 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

12 chain=forward src-address=192.168.3.5 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

13 chain=forward src-address=192.168.3.6 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

14 chain=forward src-address=192.168.3.7 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

15 chain=forward src-address=192.168.3.8 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

16 chain=forward src-address=192.168.3.9 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

17 chain=forward src-address=192.168.3.10 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop

18 ;;; Limite de conexao por cliente


chain=forward src-address=192.168.3.2 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

19 chain=forward src-address=192.168.3.3 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

20 chain=forward src-address=192.168.3.4 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

21 chain=forward src-address=192.168.3.5 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

22 chain=forward src-address=192.168.3.6 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

23 chain=forward src-address=192.168.3.7 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

24 chain=forward src-address=192.168.3.8 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

25 chain=forward src-address=192.168.3.9 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

26 chain=forward src-address=192.168.3.10 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

27 chain=forward src-address=192.168.3.11 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop

28 ;;; Bloqueia scan via winbox para todos


chain=input protocol=udp dst-port=5678 action=drop

29 ;;; Libera winbox para ips locais


chain=input src-address=192.168.2.2 protocol=tcp dst-port=8291 action=accept

30 chain=input src-address=192.168.2.4 protocol=tcp dst-port=8291 action=accept

31 chain=input src-address=192.168.2.3 protocol=tcp dst-port=8291 action=accept

32 ;;; Libera portas FTP SSH TELNET para ips locais


chain=input src-address=192.168.2.2 protocol=tcp dst-port=21-23 action=accept

33 chain=input src-address=192.168.2.3 protocol=tcp dst-port=21-23 action=accept

34 chain=input src-address=192.168.2.4 protocol=tcp dst-port=21-23 action=accept

35 ;;; Bloqueia porta winbox range local


chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=8291 action=drop

36 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=8291 action=drop

37 ;;; Bloqueia portas FTP SSH TELNET


chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=21-23 action=drop

38 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=21-23 action=drop

39 ;;; Bloqueio MAC winbox


chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=20561 action=drop

40 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=20561 action=drop

41 ;;; Bloqueio do proxy externo


chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop

42 ;;; bloqueio de ssh externo


chain=input in-interface=LINK protocol=tcp dst-port=22-23 action=drop
43 ;;; bloqueio de ftp externo
chain=input in-interface=LINK protocol=tcp dst-port=21 action=drop

44 ;;; bloqueio de telnet externo


chain=input in-interface=LINK protocol=tcp dst-port=23 action=drop

45 X ;;; Bloqueio winbox externo


chain=input in-interface=LINK protocol=tcp dst-port=8291 action=drop

46 ;;; bloqueio do DNS externo


chain=input in-interface=LINK protocol=tcp dst-port=53 action=drop

47 chain=input in-interface=LINK protocol=udp dst-port=53 action=drop

48 ;;; bloqueio de VIRUS conhecidos


chain=virus protocol=tcp dst-port=445 action=drop

49 chain=virus protocol=udp dst-port=445 action=drop

50 chain=virus protocol=tcp dst-port=593 action=drop

51 chain=virus protocol=tcp dst-port=1080 action=drop

52 chain=virus protocol=tcp dst-port=1363 action=drop

53 chain=virus protocol=tcp dst-port=1364 action=drop

54 chain=virus protocol=tcp dst-port=1373 action=drop

55 chain=virus protocol=tcp dst-port=1377 action=drop

56 chain=virus protocol=tcp dst-port=1368 action=drop

57 chain=virus protocol=tcp dst-port=1433-1434 action=drop

58 chain=virus protocol=tcp dst-port=1024-1030 action=drop

59 chain=virus protocol=tcp dst-port=1214 action=drop

60 ;;; Drop Blaster Worm


chain=virus protocol=tcp dst-port=135-139 action=drop

61 ;;; Drop Messenger Worm


chain=virus protocol=udp dst-port=135-139 action=drop

62 ;;; Drop Blaster Worm


chain=virus protocol=tcp dst-port=445 action=drop

63 ;;; Drop Blaster Worm


chain=virus protocol=udp dst-port=445 action=drop

64 ;;; ________
chain=virus protocol=tcp dst-port=593 action=drop

65 ;;; ________
chain=virus protocol=tcp dst-port=1024-1030 action=drop

66 ;;; Drop MyDoom


chain=virus protocol=tcp dst-port=1080 action=drop

67 ;;; ________
chain=virus protocol=tcp dst-port=1214 action=drop

68 ;;; ndm requester


chain=virus protocol=tcp dst-port=1363 action=drop

69 ;;; ndm server


chain=virus protocol=tcp dst-port=1364 action=drop

70 ;;; screen cast


chain=virus protocol=tcp dst-port=1368 action=drop

71 ;;; hromgrafx
chain=virus protocol=tcp dst-port=1373 action=drop

72 ;;; cichlid
chain=virus protocol=tcp dst-port=1377 action=drop
73 ;;; Worm
chain=virus protocol=tcp dst-port=1433-1434 action=drop

74 ;;; Bagle Virus


chain=virus protocol=tcp dst-port=2745 action=drop

75 ;;; Drop Dumaru.Y


chain=virus protocol=tcp dst-port=2283 action=drop

76 ;;; Drop Beagle


chain=virus protocol=tcp dst-port=2535 action=drop

77 ;;; Drop Beagle.C-K


chain=virus protocol=tcp dst-port=2745 action=drop

78 ;;; Drop porta proxy


chain=virus protocol=tcp dst-port=3127-3128 action=drop

79 ;;; Drop Backdoor OptixPro


chain=virus protocol=tcp dst-port=3410 action=drop

80 ;;; Worm
chain=virus protocol=tcp dst-port=4444 action=drop

81 ;;; Worm
chain=virus protocol=udp dst-port=4444 action=drop

82 ;;; Drop Sasser


chain=virus protocol=tcp dst-port=5554 action=drop

83 ;;; Drop Beagle.B


chain=virus protocol=tcp dst-port=8866 action=drop

84 ;;; Drop Dabber.A-B


chain=virus protocol=tcp dst-port=9898 action=drop

85 ;;; Drop Dumaru.Y


chain=virus protocol=tcp dst-port=10000 action=drop

86 ;;; Drop MyDoom.B


chain=virus protocol=tcp dst-port=10080 action=drop

87 ;;; Drop NetBus


chain=virus protocol=tcp dst-port=12345 action=drop

88 ;;; Drop Kuang2


chain=virus protocol=tcp dst-port=17300 action=drop

89 ;;; Drop SubSeven


chain=virus protocol=tcp dst-port=27374 action=drop

90 ;;; Drop PhatBot, Agobot, Gaobot


chain=virus protocol=tcp dst-port=65506 action=drop

BLOQUEIO E LIBERACAO DE PORTAS


SERVIDOR DHCP
AMARRANDO O IP NO MAC
WEB-PROXY
Fica configurado os dois mascarede e redirect
REDIRECIONANDO PORTA NO NAT. Para funcionar com o pppoe Server tem q ter esse !
BLOQUEANDO SITES
Obs.:
O hotspot cria automaticamente um server dhcp e funciona junto com webproxy.
O pppoe Server funciona com webproxy também. Com ip fixo sem o ! – sem ip com o discador com o !

NÃO se deve fazer CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc...)

Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse efeito:

IP / WEB-PROXY / CACHE

Crie uma nova regra (botão “+”)

add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" disabled=no
add url="https://" action=deny comment="no cache dynamic https pages" disabled=no

É interessante realizar uma regra para cada interface de assinantes. Neste caso como possuo

duas interfaces (LAN/WLAN), criei duas regras, uma para cada interface.

É importante criar uma regra de bloqueio externo ao web-proxy. Caso você não crie esta regra,

ela sobrecarregará o seu proxy, travando até mesmo seu servido. Siga abaixo:

Acesse o menu IP, FIREWALL, “FILTER RULES”


HABILITAR GRAFICOS DE TRAFEGOS
MUDANDO PORTA

Você também pode gostar