Forum

falha na regra de bloqueio e regra adicional

Postado por waldemir santos gomes em 4 de Julho de 2014 às 10:16am

há uma falha na regra de bloqueio,a mema só bloqueia conexoes tcp e deixa livre todas as outras conexoes como por exemplo udp em que alguns jogos online utiliza então implementei nos meus pop esta regra

ip firewall filter
add action=drop chain=forward disabled=no dst-address-list=pgcorte \
protocol=!tcp src-address-list=pgcorte

Quem achar que estou errado postem comentarios.

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho 7 de Julho de 2014 as 10:47pm

    vc está certo, alguns jogos não precisam da TCP realmente...

  • Pedro Filho 29 de Setembro de 2014 as 5:40pm

    irei inclui sua regra no manual amigo, tem muita gente com problema nisso...

  • waldemir santos gomes 1 de Outubro de 2014 as 10:30am

    só um complemento tem que adiciona na regra ips fora do bloqueio como por exemplo os de dns se não não aparece pagina de bloqueio para o cliente

  • Carlos Roberto Borges 1 de Outubro de 2014 as 10:52am

    Waldemir só duas dúvida:

    1ª seria necessário permanecer as duas regras (a do nat e esta que vc coloca no filter) ?

    2ª vc poderia dar um exemplo de como seria esta regra pra liberar dns no caso de quem tem dns interno e que atende seus clientes? Como vc fez aí? Fico grato?

    waldemir santos gomes disse:

    só um complemento tem que adiciona na regra ips fora do bloqueio como por exemplo os de dns se não não aparece pagina de bloqueio para o cliente

  • Pedro Filho 1 de Outubro de 2014 as 11:45am

    nesse caso seria preciso liberar no filter a 53UDP que é a de DNS, eu queria muito resolver esse lance da pagina de corte pq me gera muito suporte aqui e por e-mail...

    Carlos Roberto Borges disse:

    Waldemir só duas dúvida:

    1ª seria necessário permanecer as duas regras (a do nat e esta que vc coloca no filter) ?

    2ª vc poderia dar um exemplo de como seria esta regra pra liberar dns no caso de quem tem dns interno e que atende seus clientes? Como vc fez aí? Fico grato?

    waldemir santos gomes disse:

    só um complemento tem que adiciona na regra ips fora do bloqueio como por exemplo os de dns se não não aparece pagina de bloqueio para o cliente

  • waldemir santos gomes 9 de Outubro de 2014 as 12:42pm

    regras complementares 

    IP Flilter do gateway 

    /ip firewall filter
    add action=accept chain=forward disabled=no dst-port=53 protocol=udp \
    src-address-list=pgcorte
    add action=drop chain=forward disabled=no dst-address-list=!foradocorte \
    protocol=!tcp src-address-list=pgcorte

    Sendo que o acept sempre tem de esta acima da regra de bloquei de todos protocolos

    IP Nat

    /ip firewall nat
    add action=dst-nat chain=dstnat disabled=no dst-address-list=\
    "!fora do bloqueio" protocol=tcp src-address-list=pgcorte to-addresses=\
    172.31.255.2 to-ports=85

    Lembrando que utilizo nos meus clientes pppoe e como sabesmos não funciona pgaviso,quando o pedro ajustar este problema postarei a regra para a mesma.

  • waldemir santos gomes 9 de Outubro de 2014 as 12:46pm

    Pedro você ja poderia deixar a regra para que o mkauth ja enviei para o mikrotik estas regras da parte de filtro e nat e no manual você só ensina adicionar os ips que estaram fora do bloqueio como por exemplo o do mkauth assim você não terar que ficar explicando regra pra as pessoas.

  • Pedro Filho 9 de Outubro de 2014 as 7:49pm

    acho que irei fazer isso mesmo, agora o lance é colocar algumas regras acima de outras ao enviar, vc sabe como ??

    waldemir santos gomes disse:

    Pedro você ja poderia deixar a regra para que o mkauth ja enviei para o mikrotik estas regras da parte de filtro e nat e no manual você só ensina adicionar os ips que estaram fora do bloqueio como por exemplo o do mkauth assim você não terar que ficar explicando regra pra as pessoas.

  • waldemir santos gomes 10 de Outubro de 2014 as 4:50pm

    Simples como ao manda a regra para o mikrotik o mesmo sempre considera a primeira como sendo a que vai ficar acima como no exemplo abaixo

    /ip firewall filter
    add action=accept chain=forward disabled=no dst-port=53 protocol=udp \
    src-address-list=pgcorte
    add action=drop chain=forward disabled=no dst-address-list=!foradocorte \
    protocol=!tcp src-address-list=pgcorte

    onde a regra de acept é a primeira a ser adicionada no filtro e posteriormente a regra de drop e assim por diante

  • Ailton Fernandes 30 de Outubro de 2014 as 9:45am

    Bom dia,

    As listas foradocorte e fora do bloqueio são as mesmas???

    Nesse caso seria os ip's dos servidores?

    waldemir santos gomes disse:

    regras complementares 

    IP Flilter do gateway 

    /ip firewall filter
    add action=accept chain=forward disabled=no dst-port=53 protocol=udp \
    src-address-list=pgcorte
    add action=drop chain=forward disabled=no dst-address-list=!foradocorte \
    protocol=!tcp src-address-list=pgcorte

    Sendo que o acept sempre tem de esta acima da regra de bloquei de todos protocolos

    IP Nat

    /ip firewall nat
    add action=dst-nat chain=dstnat disabled=no dst-address-list=\
    "!fora do bloqueio" protocol=tcp src-address-list=pgcorte to-addresses=\
    172.31.255.2 to-ports=85

    Lembrando que utilizo nos meus clientes pppoe e como sabesmos não funciona pgaviso,quando o pedro ajustar este problema postarei a regra para a mesma.

This reply was deleted.