MK-AUTH

Pessoal, criei um script para bloqueio dos clientes em provedores que usam o mk-auth e que já entregam prefixos ipv6 para os clientes na rede.

/ipv6 firewall address-list remove [find list="pgcortev6"]; :foreach pgcorte in=[/ip firewall address-list  find list="pgcorte"] do={:foreach pppblock in=[/ppp active find] do={:if ([/ip firewall address-list get $pgcorte address]=[/ppp active get $pppblock address]) do={:put "$[/ppp active get $pppblock name]";:foreach cliv6 in=[/ipv6 pool used find] do={:if ([/ppp active get $pppblock name]=[/ipv6 pool used get $cliv6 info]) do={/ipv6 firewall address-list add list="pgcortev6" address="$[/ipv6 pool used get [find info="$[/ppp active get $pppblock name]"] prefix ]"}}}}};

Ele funciona fazendo comparações dos ips que ficam na address-list "pgcorte" (adicionado dinamicamente pelo radius do mk-auth) com os ips que ficam em ppp active para conhecer os login (user name) dos clientes que se encontram bloqueados para posteriormente fazer outra checagem dos clientes que possuem suporte ipv6 (clientes que se encontram em ipv6 pool used) e assim adicionar o prefixo deles na pgcortev6 (criado por mim no scritp). Deixem ele no scheduler com tempo de execução a critério de vocês, aqui vou usar de 24h e com execução na madrugada. O script tempo de execução do script depende do número de clientes de cada provedor, mas no geral a execução é lenta devido a muitos foreach que coloquei (unica solução que encontrei). Estou aberto a sugestões e caso alguém encontre alguma outra maneira de fazer mais eficiente é só postar também.

abraços!

Exibições: 1503

Responder agora

Respostas a este tópico

o mkauth já está fazendo log de conexões do IPv6? pq entregar o ipv6 e não ter o relatório para alguma futura solicitação judicial é um tiro no pé.

Ok, mas a dúvida tbm é se o mkauth guarda o log de conexões ipv6 (ip, hora e data) como já faz com o ipv4. O Pedro ainda n respondeu.

Tkmcm2 disse:

quem rpecisar de um profissional para consultoria mikrotik em ipv6 vou indicar roberto da bahia tenho provedor entrego ipv6 800 clientes rede roteada ficou top otimo profissional 71 9 8528-2202

aonde coloca essa regras ? 

No Mikrotik

PONTO NET - DESDE 2010 disse:

aonde coloca essa regras ? 

no meu mk nem pega as regras,  

Marco (TI e C) disse:

No Mikrotik

PONTO NET - DESDE 2010 disse:

aonde coloca essa regras ? 

Muito bom, parabéns pela iniciativa.
 Só para comentar, no meu caso aqui eu criei um plano para clientes bloqueados de 50k. Eles terão essa banda para acessar a página de corte em IPV4 e terá a navegação de IPV6 também dentro dos 50k. No meu caso, estou trabalhando sem NAT e sem conn track nos concentradores para ter melhor desenpenho, ai a ideia que tive foi essa!

essas regras nao pega no meu mikrotik 

Isso acho que nem funciona mais, faz assim, cria um plano de bloqueio, seleciona ele pra todos os clientes, e nesse plano coloque um pool ipv6, no mikrotik crie esse pool que tu botou no mk auth, e pegue esse pool e coloque uma regra no firewall em ipv6 no mikrotik pra bloquear, simples, não precisa fazer essas regras.

o ruim ainda é que o mk auth não registra os logs dos ips que os clientes pegou em ipv6, que é muito importante também, já pedi horrores ao pedro pra adicionar isso faz décadas e até hoje nada, mas fazer o que né.

PONTO NET - DESDE 2010 disse:

essas regras nao pega no meu mikrotik 

o MK-Auth está criando automaticamente o pgcortev6 na versão 18.01. 

Eu usa um PLANO BLOQUEIO com um pool ipv6 local mas pelo visto n precisa mais. Vamos aos testes!

Isso é sério? essa versão 18 está segura pra usar? o pedro não coloca nada das alterações no change log aí não tem como saber....

MK-Ninja disse:

o MK-Auth está criando automaticamente o pgcortev6 na versão 18.01. 

Eu usa um PLANO BLOQUEIO com um pool ipv6 local mas pelo visto n precisa mais. Vamos aos testes!

Sim. Quando o cliente é bloqueado ele tá criando além do pgcorte em ipv4 uma regra no firewall ipv6 com o nome pgcortev6 e o ipv6 do cliente.

Realmente "changelog" no mkauth nunca foi bem detalhado, temos que descobrir na "unha".

Só falta agora o mkauth começar a guardar os logs de conexão ipv6 com IP + DATA + HORA.

Felipe Bruno disse:

Isso é sério? essa versão 18 está segura pra usar? o pedro não coloca nada das alterações no change log aí não tem como saber....

MK-Ninja disse:

o MK-Auth está criando automaticamente o pgcortev6 na versão 18.01. 

Eu usa um PLANO BLOQUEIO com um pool ipv6 local mas pelo visto n precisa mais. Vamos aos testes!

Sim verdade, só falta isso mesmo, tomara que o Pedro faça logo vai ficar top.

MK-Ninja disse:

Sim. Quando o cliente é bloqueado ele tá criando além do pgcorte em ipv4 uma regra no firewall ipv6 com o nome pgcortev6 e o ipv6 do cliente.

Realmente "changelog" no mkauth nunca foi bem detalhado, temos que descobrir na "unha".

Só falta agora o mkauth começar a guardar os logs de conexão ipv6 com IP + DATA + HORA.

Felipe Bruno disse:

Isso é sério? essa versão 18 está segura pra usar? o pedro não coloca nada das alterações no change log aí não tem como saber....

MK-Ninja disse:

o MK-Auth está criando automaticamente o pgcortev6 na versão 18.01. 

Eu usa um PLANO BLOQUEIO com um pool ipv6 local mas pelo visto n precisa mais. Vamos aos testes!

Responder à discussão

RSS

TheLinuxF

© 2018   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço