Boa tarde Srs ,
Bloqueio os clientes manualmente , via Radius, autenticação PPPOE , ip fixado no mkauth.
Notei que assim que o cliente é bloqueado no mkauth ele se desconecta da MiKrotik e volta depois a se conectar mas com uma regra de corte que é gerada em ip/firwall/adresslist .
Mas mesmo bloqueados os clientes estão acessando google e youtube , achei que estavam passando todos os sites https , mas testei outros sites como os de bancos e não abre nada , somente google e youtube.
Alguem poderia me dar uma força?
Atenciosamente ....
Respostas
Na regra de corte, ela usa a porta 443 tcp, então tente deixar todas as portas. Deixando no lugar da 443 assim: 0-65535.
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE HTTPS" dst-port=0-65535 disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
Boa tarde Michel ,
Fiz a alteração das portas mas ainda não resolveu , continua liberado conexões somente com google.
segue o print das minhas regras de corte:
1 ;;; PG CORTE HTTPS
chain=dstnat action=dst-nat to-addresses=189.99.0.99 to-ports=445
protocol=tcp dst-address=!189.99.0.99 src-address-list=pgcorte
dst-port=0-65535 log=no log-prefix=""
2 ;;; PG CORTE
chain=dstnat action=dst-nat to-addres
protocol=tcp dst-address=!189.99.0.99
Obrigado , atenciosamente....
no lugar de redirecionar tenta dropar e ver se resolve, assim eles não abre nada, coloca tb para pegar somente a porta 443...
Carlos Eduardo de M Carniatto disse:
Obrigado Sr Pedro ,
Voltei o 443 , mas não sei fazer o drop , pode me ajudar a editar a regra ?
atenciosamente...
na parte de action da regra no winbox coloca drop...
Carlos Eduardo de M Carniatto disse:
Bom dia Senhores ,
Foi resolvido , o problema era o redirecionamento na regra de NAT que estava apontando pro IP do mikrotik invés de apontar para o IP do MKAUTH.
Percebi também que estava liberando acesso a VPN e pings , então em FIREWALL FILTER RULES fiz uma regra de ACCEPT somente para permitir o acesso a porta 85 e 445 ( pagina de corte ) e depois uma regra de DROP geral....
Segue as regras que foram inseridas:
9 ;;; FORWARD ACCEPT - LIBERA PAGINA DE CORTE
chain=forward action=accept protocol=tcp src-address-list=pgcorte
dst-port=85,445 log=no log-prefix=""
10 ;;; FORWARD DROP - BLOQUEIO GERAL PGCORTE
chain=forward action=drop src-address-list=pgcorte log=no log-prefix=""
Muito obrigado , atenciosamente...