em opções / recursos tem o item mostrar pagina de corte, coloca ele como não e espera algumas horas que o sistema não libera mais o login dos clientes bloqueados...
Olá Pedro, boa noite! Estou com problema parecido, só que é com aplicativos como o Skype e o Whatsapp que navegam mesmo estando bloqueados. E acontece tmb no hostpot antes de se autenticar, o Skype e o Whatsapp tmb é utilizado. O que fazer? Obrigado!!!
Pedro Filho disse:
em opções / recursos tem o item mostrar pagina de corte, coloca ele como não e espera algumas horas que o sistema não libera mais o login dos clientes bloqueados...
Olá Pedro, boa noite! Estou com problema parecido, só que é com aplicativos como o Skype e o Whatsapp que navegam mesmo estando bloqueados. E acontece tmb no hostpot antes de se autenticar, o Skype e o Whatsapp tmb é utilizado. O que fazer? Obrigado!!!
Amigo tb estou com essa duvida os clientes bloqueados estão tendo trafego alto como se tivessem navegando agora não sei se é da pagina e o estranho é que fica um bom tempo coisa que acho que ninguém vai ficar olhando pg de corte o tempo todo mas vou amanha na casa dos cliente tirar essa duvida. Marco de Freitas disse:
O que o seguinte comando no MikroTik retorna?
/ip firewall export
Ibrahim Raphael disse:
Olá Pedro, boa noite! Estou com problema parecido, só que é com aplicativos como o Skype e o Whatsapp que navegam mesmo estando bloqueados. E acontece tmb no hostpot antes de se autenticar, o Skype e o Whatsapp tmb é utilizado. O que fazer? Obrigado!!!
Existe o conceito de UA (User Agent): em nenhuma norma diz que somente um navegador web, com um humano clicando um mouse, pode ser usado para acessar a Internet.
A atualização de anti-vírus também é um User Agent. O Windows Update usa HTTP, outro User Agent. Trackers Bittorent também funcionam na porta TCP/80.
Dependendo do que a página de erro (HTTP 404) trouxer, o tráfego pode ser considerável.
SEU MADRUGA disse:
Amigo tb estou com essa duvida os clientes bloqueados estão tendo trafego alto como se tivessem navegando agora não sei se é da pagina e o estranho é que fica um bom tempo coisa que acho que ninguém vai ficar olhando pg de corte o tempo todo mas vou amanha na casa dos cliente tirar essa duvida.
OBS.: Hoje estava olhando um sistema CS e quando tirei ele do bypassed continuou a funcionar normalmente!
Será que há alguma regra errada deixando passar a conexão?
Mais uma vez obrigado!
Marco de Freitas disse:
O que o seguinte comando no MikroTik retorna?
/ip firewall export
Ibrahim Raphael disse:
Olá Pedro, boa noite! Estou com problema parecido, só que é com aplicativos como o Skype e o Whatsapp que navegam mesmo estando bloqueados. E acontece tmb no hostpot antes de se autenticar, o Skype e o Whatsapp tmb é utilizado. O que fazer? Obrigado!!!
Parece que você bloqueou apenas a porta TCP/80 (serviço HTTP), deixando a porta TCP/443 (HTTPS) livre do bloqueio. O WhatsApp usa HTTPS na porta 443 e o Skype usa qualquer uma.
Você precisa redirecionar a porta TCP/443, permitir explicitamente conexões UDP/53 (DNS) e fazer um DROP e todos os outros pacotes TCP e UDP.
Parece que você bloqueou apenas a porta TCP/80 (serviço HTTP), deixando a porta TCP/443 (HTTPS) livre do bloqueio. O WhatsApp usa HTTPS na porta 443 e o Skype usa qualquer uma.
Você precisa redirecionar a porta TCP/443, permitir explicitamente conexões UDP/53 (DNS) e fazer um DROP e todos os outros pacotes TCP e UDP.
obrigado pela resposta querido. Nunca tive problemas com isso! Como já sabe, não sei quase nada, mas nada mesmo de mikrotik. Fiz uma pergunta como essa em um outro post sobre como bloquear o Whatsapp e até hoje não falaram mais nada. Poderia dar mais essa força, se não for pedir demais é claro
Marco de Freitas disse:
Sim, mas ainda não resolve o Skype e demais aplicações baseadas em UDP.
Respostas
em opções / recursos tem o item mostrar pagina de corte, coloca ele como não e espera algumas horas que o sistema não libera mais o login dos clientes bloqueados...
Olá Pedro, boa noite! Estou com problema parecido, só que é com aplicativos como o Skype e o Whatsapp que navegam mesmo estando bloqueados. E acontece tmb no hostpot antes de se autenticar, o Skype e o Whatsapp tmb é utilizado. O que fazer? Obrigado!!!
Pedro Filho disse:
O que o seguinte comando no MikroTik retorna?
/ip firewall export
Ibrahim Raphael disse:
Amigo tb estou com essa duvida os clientes bloqueados estão tendo trafego alto como se tivessem navegando agora não sei se é da pagina e o estranho é que fica um bom tempo coisa que acho que ninguém vai ficar olhando pg de corte o tempo todo mas vou amanha na casa dos cliente tirar essa duvida.
Marco de Freitas disse:
Use o Torch e tire sua dúvida.
Existe o conceito de UA (User Agent): em nenhuma norma diz que somente um navegador web, com um humano clicando um mouse, pode ser usado para acessar a Internet.
A atualização de anti-vírus também é um User Agent. O Windows Update usa HTTP, outro User Agent. Trackers Bittorent também funcionam na porta TCP/80.
Dependendo do que a página de erro (HTTP 404) trouxer, o tráfego pode ser considerável.
SEU MADRUGA disse:
Olá Marco,
Boa tarde!
Segue o export do firewall:
/ip firewall address-list
add address=192.168.0.0/24 comment="Ip Bloqueado" list=pgcorte
add address=192.168.1.0/24 comment="Ip Bloqueado" list=pgcorte
add address=192.168.2.0/24 comment="Ip Bloqueado" list=pgcorte
add address=192.168.254.0/24 comment="Ip Bloqueado" list=pgcorte
add address=10.0.0.0/8 comment="MANUTEN\C7\C3O" disabled=yes list=\
"manuten\E7\E3o"
add address=192.168.1.1 comment="Ip Modem" list=pgcorte
add address=10.10.10.91 comment=ssh_corte_beatriz list=pgcorte
add address=10.10.10.82 comment=ssh_corte_myla list=pgcorte
add address=10.10.10.100 comment=ssh_corte_amor list=pgcorte
add address=10.5.0.14 comment=ssh_corte_gilciney list=pgcorte
add address=10.10.10.11 comment=ssh_corte_gustavoluis list=pgcorte
add address=10.10.10.97 comment=ssh_corte_josue list=pgcorte
add address=172.16.0.3 comment=ssh_corte_evani list=pgcorte
add address=10.10.10.92 comment=ssh_corte_davi list=pgcorte
add address=10.10.10.46 comment=ssh_corte_paulo list=pgcorte
add address=10.10.10.61 comment=ssh_corte_ivo list=pgcorte
add address=10.10.10.234 comment=ssh_corte_adilson list=pgcorte
add address=172.16.0.33 comment=ssh_corte_vitor list=pgcorte
add address=10.10.10.40 comment=ssh_corte_juniorgds list=pgcorte
add address=10.10.10.107 comment=ssh_corte_michele list=pgcorte
/ip firewall filter
add chain=input comment="Allow limited Pings" protocol=icmp
add chain=forward comment=";;; permite estabelecer conexoes" connection-state=\
established
add chain=forward comment=";;; permitir conexoes relacionadas" \
connection-state=related
add chain=forward comment=";;; Allow HTTP" dst-port=80 protocol=tcp
add chain=input comment="CONEXOES HTTP" dst-port=80 protocol=tcp
add chain=forward comment=";;; Allow SMTP" dst-port=25 protocol=tcp
add chain=forward comment=";;; allow TCP" protocol=tcp
add chain=forward comment=";;; allow ping" protocol=icmp
add chain=forward comment=";;; allow udp" protocol=udp
add action=drop chain=input comment="Barrar brute forca para ftp" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m \
protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=SSH-LISTANEGRA
add action=add-src-to-address-list address-list=SSH-LISTANEGRA \
address-list-timeout=17w1d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ESTAGIO2
add action=add-src-to-address-list address-list=ESTAGIO2 address-list-timeout=\
1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ESTAGIO1
add action=add-src-to-address-list address-list=ESTAGIO1 address-list-timeout=\
1m chain=input connection-state=new dst-port=22 protocol=tcp
add chain=forward dst-port=4800-5900 protocol=tcp
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=drop chain=teste comment=\
"TESTE DO MK-AUTH PARA USO COM SSH 68444340" disabled=yes
/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE" dst-address=!172.31.255.2 \
protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
add action=dst-nat chain=dstnat comment="manuten\E7\E3o" disabled=yes dst-port=\
80 protocol=tcp src-address=0.0.0.0/0 src-address-list="!Manuten\E7\E3o" \
to-addresses=172.31.255.2 to-ports=89
add action=dst-nat chain=dstnat comment="Pagina de Aviso" connection-limit=\
!1,32 dst-port=0-65535 protocol=tcp src-address-list=pgaviso to-addresses=\
172.31.255.2 to-ports=88
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
disabled=yes
add action=masquerade chain=srcnat out-interface=1_link
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
src-address=10.5.0.0/22
add action=masquerade chain=srcnat comment="Mk Auth" src-address=\
172.31.255.0/30
add action=dst-nat chain=dstnat comment="BL MODAS" dst-port=34567 protocol=tcp \
to-addresses=10.10.10.151 to-ports=34567
add action=dst-nat chain=dstnat comment="BL MODAS" dst-port=34599 protocol=tcp \
to-addresses=10.10.10.151 to-ports=34999
add action=masquerade chain=srcnat comment=SMS disabled=yes src-address=\
172.31.244.0/30
add action=dst-nat chain=dstnat comment="Site Externo" dst-port=8180 \
in-interface=1_link protocol=tcp to-addresses=172.31.255.2 to-ports=80
add action=dst-nat chain=dstnat comment="Site Externo SMS" dst-port=8391 \
in-interface=1_link protocol=tcp to-addresses=172.31.244.2 to-ports=80
OBS.: Hoje estava olhando um sistema CS e quando tirei ele do bypassed continuou a funcionar normalmente!
Será que há alguma regra errada deixando passar a conexão?
Mais uma vez obrigado!
Marco de Freitas disse:
Parece que você bloqueou apenas a porta TCP/80 (serviço HTTP), deixando a porta TCP/443 (HTTPS) livre do bloqueio.
O WhatsApp usa HTTPS na porta 443 e o Skype usa qualquer uma.
Você precisa redirecionar a porta TCP/443, permitir explicitamente conexões UDP/53 (DNS) e fazer um DROP e todos os outros pacotes TCP e UDP.
Ibrahim Raphael disse:
Essa regra funciona melhor?
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE HTTPS" dst-port=443 disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="PG CORTE" disabled=no protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Marco de Freitas disse:
Sim, mas ainda não resolve o Skype e demais aplicações baseadas em UDP.
Ibrahim Raphael disse:
obrigado pela resposta querido. Nunca tive problemas com isso! Como já sabe, não sei quase nada, mas nada mesmo de mikrotik. Fiz uma pergunta como essa em um outro post sobre como bloquear o Whatsapp e até hoje não falaram mais nada. Poderia dar mais essa força, se não for pedir demais é claro
Marco de Freitas disse: