há uma falha na regra de bloqueio,a mema só bloqueia conexoes tcp e deixa livre todas as outras conexoes como por exemplo udp em que alguns jogos online utiliza então implementei nos meus pop esta regra
ip firewall filter
add action=drop chain=forward disabled=no dst-address-list=pgcorte \
protocol=!tcp src-address-list=pgcorte
Quem achar que estou errado postem comentarios.
Respostas
vc está certo, alguns jogos não precisam da TCP realmente...
irei inclui sua regra no manual amigo, tem muita gente com problema nisso...
só um complemento tem que adiciona na regra ips fora do bloqueio como por exemplo os de dns se não não aparece pagina de bloqueio para o cliente
Waldemir só duas dúvida:
1ª seria necessário permanecer as duas regras (a do nat e esta que vc coloca no filter) ?
2ª vc poderia dar um exemplo de como seria esta regra pra liberar dns no caso de quem tem dns interno e que atende seus clientes? Como vc fez aí? Fico grato?
waldemir santos gomes disse:
nesse caso seria preciso liberar no filter a 53UDP que é a de DNS, eu queria muito resolver esse lance da pagina de corte pq me gera muito suporte aqui e por e-mail...
Carlos Roberto Borges disse:
regras complementares
IP Flilter do gateway
/ip firewall filter
add action=accept chain=forward disabled=no dst-port=53 protocol=udp \
src-address-list=pgcorte
add action=drop chain=forward disabled=no dst-address-list=!foradocorte \
protocol=!tcp src-address-list=pgcorte
Sendo que o acept sempre tem de esta acima da regra de bloquei de todos protocolos
IP Nat
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address-list=\
"!fora do bloqueio" protocol=tcp src-address-list=pgcorte to-addresses=\
172.31.255.2 to-ports=85
Lembrando que utilizo nos meus clientes pppoe e como sabesmos não funciona pgaviso,quando o pedro ajustar este problema postarei a regra para a mesma.
Pedro você ja poderia deixar a regra para que o mkauth ja enviei para o mikrotik estas regras da parte de filtro e nat e no manual você só ensina adicionar os ips que estaram fora do bloqueio como por exemplo o do mkauth assim você não terar que ficar explicando regra pra as pessoas.
acho que irei fazer isso mesmo, agora o lance é colocar algumas regras acima de outras ao enviar, vc sabe como ??
waldemir santos gomes disse:
Simples como ao manda a regra para o mikrotik o mesmo sempre considera a primeira como sendo a que vai ficar acima como no exemplo abaixo
/ip firewall filter
add action=accept chain=forward disabled=no dst-port=53 protocol=udp \
src-address-list=pgcorte
add action=drop chain=forward disabled=no dst-address-list=!foradocorte \
protocol=!tcp src-address-list=pgcorte
onde a regra de acept é a primeira a ser adicionada no filtro e posteriormente a regra de drop e assim por diante
Bom dia,
As listas foradocorte e fora do bloqueio são as mesmas???
Nesse caso seria os ip's dos servidores?
waldemir santos gomes disse: