Configuracao Mikrotik
Configuracao Mikrotik
Configuracao Mikrotik
VERIFICANDO INTERFACES
CONFIGURACAO DE IP
VC PODE PELO WINBOX SELECIONAR O MAC E ENTRAR SEM CONFIG IP NO MIKROTIK, MAS DA MUITO ERRO .
VC PODE ENTRAR NO MIK. E CONFIG MANUALMENTE O IP PRA TE DAR ACESSO A ELE. DEPOIS Q TIVER DENTRO CONFIG A OUTRA INTERFACE.
DHCP CLIENTE
CONFIGURANDO NAT
AINDA COM O NAT NA MESMA JANELA
PPPOE SERVER.
Para config é preciso que vc desabilite o dhcp Server. Config os ip de eth1 e eth2
Config somente o Nat e o pppoe Server.
A maquina do cliente não pegará ip em sua rede local se tentar colocar em ip automatico.
O ip que vai ser atribuído a ele é o do pppoe quando se conectar, q pode ser qualquer um q vc inventar.
Se config ip fixo ele vai conseguir acessar se o Nat tiver habilitado. PROBLEMA
SOLUÇÃO: Deixe o Nat e o pppoe Server habilitados e vá em INTERFACES, ETHER 2 (NO CASO A LOCAL) e
muda o campo ARP para REPLY-ONLY. Só vai ter acesso quem logar no PPPoE. Quem configurar ip fixo não
vai conseguir nem pingar no servidor. Além do ip do servidor ficar mascarado.
PARA AQUELES QUE SÃO CADASTRADOS NO PPPOE SERVER. NÃO TENTEM INVADIR O SERVIDOR.
TENHO Q DESABILITAR TELNET, SSH SERVIÇOS DE ACESSO REMOTOS EM GERAL.
MUDAR A SENHA, BLOQUEAR PING
Configuração. Vc pode colocar o dns para atribuir automático também.
Cadastrando clientes no pppoe Server
REGRAS DO FIREWALL
=====================================================================================================================
0 ;;; Conexoes estabelicidas
chain=forward connection-state=established action=accept
64 ;;; ________
chain=virus protocol=tcp dst-port=593 action=drop
65 ;;; ________
chain=virus protocol=tcp dst-port=1024-1030 action=drop
67 ;;; ________
chain=virus protocol=tcp dst-port=1214 action=drop
71 ;;; hromgrafx
chain=virus protocol=tcp dst-port=1373 action=drop
72 ;;; cichlid
chain=virus protocol=tcp dst-port=1377 action=drop
73 ;;; Worm
chain=virus protocol=tcp dst-port=1433-1434 action=drop
80 ;;; Worm
chain=virus protocol=tcp dst-port=4444 action=drop
81 ;;; Worm
chain=virus protocol=udp dst-port=4444 action=drop
NÃO se deve fazer CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc...)
Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse efeito:
IP / WEB-PROXY / CACHE
add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" disabled=no
add url="https://" action=deny comment="no cache dynamic https pages" disabled=no
É interessante realizar uma regra para cada interface de assinantes. Neste caso como possuo
duas interfaces (LAN/WLAN), criei duas regras, uma para cada interface.
É importante criar uma regra de bloqueio externo ao web-proxy. Caso você não crie esta regra,
ela sobrecarregará o seu proxy, travando até mesmo seu servido. Siga abaixo: