Forum

Nat efetivo para bloqueio mkauth

Postado por Sóstenes L. Teixeira em 30 de Setembro de 2016 às 5:01pm

Devido a grande dificuldade de muitos aqui do fórum, sofrendo para garantira o bloqueio total do mk-auth ,vou compartilhar uma regra simples que garante o bloqueio total do serviço de internet,a regra consiste em remover quem esta no pgcorte da regra nat do serviço, assim o mesmo não terá acesso a internet.

/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=(interface do link) src-address-list=!pgcorte

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: Nat, bloqueio
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho 10 de Outubro de 2016 as 7:26am

    muito bom, irei testar e valeu amigo...

  • Edson Pereira 15 de Outubro de 2016 as 2:06pm

    Amigo essa regra sua ai pra que tem ip validos vai parar  de funciona os ips valido da rede, uma vez que vc faz uma nat na interface do lik. mim corrija se eu estiver errado

  • roberto conceicao pacheco 18 de Outubro de 2016 as 7:07pm

    desculpe minha ignoracia a porta ta certa

    445 ou 443 ??


    Speedy NetWork disse:

    Amigos, não já foi discutido esse assunto até por demais, bloqueio só funciona 100% por SSH, somente o WhatsApp ficava com navegação ou seja o cliente conseguia enviar e receber mensagem o que eu fiz foi criar uma regra de bloqueio nas portas que WhatsApp utiliza e pronto cliente fica bloqueado 100% abaixo está as regras que utilizei para bloquear as portas do WhatsApp. 

    /ip firewall nat

    add action=dst-nat chain=dstnat comment="PG CORTE ZAPZAP" dst-address=!172.30.255.250 \
        dst-port=5221,5222,5223 protocol=tcp src-address-list=pgcorte to-addresses=172.30.255.250 \
        to-ports=445
    add action=dst-nat chain=dstnat dst-address=!172.30.255.250 dst-port=5221,5222,5223 protocol=\
        tcp src-address-list=pgcorte to-addresses=172.30.255.250 to-ports=85

    Att, Ronildo Plácido

  • CyberTech 18 de Outubro de 2016 as 7:52pm

    segue regras que uso e bloqueia tudo.

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="PG CORTE" dst-address=!172.31.255.2 dst-address-list=!bloqueados dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

    add action=dst-nat chain=dstnat comment="PG CORTE HTTPS" dst-address=!172.31.255.2 dst-address-list=!bloqueados dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment="PG AVISO" connection-limit=!1,32 dst-port=80,433 protocol=tcp src-address-list=pgaviso to-addresses=172.31.255.2 to-ports=88
    add action=masquerade chain=srcnat comment=NAT src-address=172.16.0.0/24


    /ip firewall filter

    add chain=forward action=drop protocol=udp src-address-list=pgcorte dst-port=!53

    add chain=forward action=drop protocol=tcp src-address-list=pgcorte dst-port=!80,85,443,445

    !bloqueados é uma adress list de sites que os bloqueados podem acessar.

  • Sóstenes L. Teixeira 19 de Outubro de 2016 as 11:58am

    logico que nao,ips públicos nao precisão de regra nat,so so ips privados,a regra acima e logica,sem nat os ips bloqueados nao terao "saida" para internet.

    Edson Pereira disse:

    Amigo essa regra sua ai pra que tem ip validos vai parar  de funciona os ips valido da rede, uma vez que vc faz uma nat na interface do lik. mim corrija se eu estiver errado

  • Pedro Filho 21 de Outubro de 2016 as 12:22pm

    ótima dica mais com pppoe aqui não funcionou...

    Sóstenes L. Teixeira disse:

    logico que nao,ips públicos nao precisão de regra nat,so so ips privados,a regra acima e logica,sem nat os ips bloqueados nao terao "saida" para internet.

  • Pedro Filho 21 de Outubro de 2016 as 12:39pm

    funcionou, eu havia colocado uma list no plano do cliente, assim como havia duas (pgcorte,flex) a regra de masquarede liberou a list flex, agora é somente ver uma regra que funcione se houver mais uma list, isso resolve mesmo pq o cliente não tem nem acesso ao DNS o chato que não aparece a pagina de corte mais esse recurso de HSTS do sites agora é coisa do cão, sites https sem HSTS funciona normal como sempre funcionou.

    1488594205?profile=RESIZE_1024x1024

  • Sóstenes L. Teixeira 22 de Outubro de 2016 as 2:03pm

    Funciona sim pedro,o grande problema aqui, e que sempre tem mais de uma regra de nat nos servidores ,ai uma mata a outra, essa regra garante o bloqueio total de quem usa ip privado,pois os mesmo não terão saída para internet enquanto  estiver na lista pg corte que tem um "!" negando a regra nat,agora sobre a pg de bloqueio nem uso mais, pois 70%  dos host das redes estão entre celulares,tablets,e smatstv ou seja, utilizam apps ao invés de navegadores,quando a internet e bloqueada eles nao ficam sabendo da mesma forma,nesse caso o melhor seria receber msg de aviso e corte por sms,acho q seria mais efetivo.

  • Pedro Filho 22 de Outubro de 2016 as 9:47pm

    irei fazer mais testes, quero ver um meio de funcionar quando o cliente estiver tambem em outra list além da pgcorte...

    Sóstenes L. Teixeira disse:

    Funciona sim pedro,o grande problema aqui, e que sempre tem mais de uma regra de nat nos servidores ,ai uma mata a outra, essa regra garante o bloqueio total de quem usa ip privado,pois os mesmo não terão saída para internet enquanto  estiver na lista pg corte que tem um "!" negando a regra nat,agora sobre a pg de bloqueio nem uso mais, pois 70%  dos host das redes estão entre celulares,tablets,e smatstv ou seja, utilizam apps ao invés de navegadores,quando a internet e bloqueada eles nao ficam sabendo da mesma forma,nesse caso o melhor seria receber msg de aviso e corte por sms,acho q seria mais efetivo.

  • Samuel Silva Sardinha 30 de Julho de 2018 as 9:20am

    Mais por que ter mais de uma list? 

This reply was deleted.