Bom dia estou usando essas regras de bloqueio esta funcionando porem o whatsapp funciona na boa.

/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE" disabled=no dst-address-list=WhatsApp protocol=tcp src-address-list=pgcorte src-port=0-65535 to-addresses=ip_do_seu_mkauth to-ports=85

/ip firewall address-list
add address=31.13.64.51/32 disabled=no list=WhatsApp
add address=31.13.65.49/32 disabled=no list=WhatsApp
add address=31.13.66.49/32 disabled=no list=WhatsApp
add address=31.13.67.51/32 disabled=no list=WhatsApp
add address=31.13.69.240/32 disabled=no list=WhatsApp
add address=31.13.70.49/32 disabled=no list=WhatsApp
add address=31.13.71.49/32 disabled=no list=WhatsApp
add address=31.13.72.52/32 disabled=no list=WhatsApp
add address=31.13.73.49/32 disabled=no list=WhatsApp
add address=31.13.74.49/32 disabled=no list=WhatsApp
add address=31.13.75.52/32 disabled=no list=WhatsApp
add address=31.13.76.81/32 disabled=no list=WhatsApp
add address=31.13.77.49/32 disabled=no list=WhatsApp
add address=31.13.79.195/32 disabled=no list=WhatsApp
add address=31.13.82.51/32 disabled=no list=WhatsApp
add address=31.13.83.51/32 disabled=no list=WhatsApp
add address=31.13.84.51/32 disabled=no list=WhatsApp
add address=31.13.85.51/32 disabled=no list=WhatsApp
add address=31.13.86.51/32 disabled=no list=WhatsApp
add address=31.13.87.51/32 disabled=no list=WhatsApp
add address=31.13.88.49/32 disabled=no list=WhatsApp
add address=31.13.88.57/32 disabled=no list=WhatsApp
add address=31.13.90.51/32 disabled=no list=WhatsApp
add address=31.13.91.51/32 disabled=no list=WhatsApp
add address=31.13.93.51/32 disabled=no list=WhatsApp
add address=31.13.95.49/32 disabled=no list=WhatsApp
add address=31.13.95.53/32 disabled=no list=WhatsApp
add address=31.13.95.57/32 disabled=no list=WhatsApp
add address=50.22.75.192/27 disabled=no list=WhatsApp
add address=50.22.93.192/27 disabled=no list=WhatsApp
add address=50.22.198.204/30 disabled=no list=WhatsApp
add address=50.22.210.32/30 disabled=no list=WhatsApp
add address=50.22.210.128/27 disabled=no list=WhatsApp
add address=50.22.225.64/27 disabled=no list=WhatsApp
add address=50.22.235.248/30 disabled=no list=WhatsApp
add address=50.22.240.160/27 disabled=no list=WhatsApp
add address=50.23.90.128/27 disabled=no list=WhatsApp
add address=50.97.57.128/27 disabled=no list=WhatsApp
add address=75.126.39.32/27 disabled=no list=WhatsApp
add address=108.168.174.0/27 disabled=no list=WhatsApp
add address=108.168.176.192/26 disabled=no list=WhatsApp
add address=108.168.177.0/27 disabled=no list=WhatsApp
add address=108.168.180.96/27 disabled=no list=WhatsApp
add address=108.168.254.65/32 disabled=no list=WhatsApp
add address=108.168.255.224/32 disabled=no list=WhatsApp
add address=108.168.255.227/32 disabled=no list=WhatsApp
add address=158.85.0.96/27 disabled=no list=WhatsApp
add address=158.85.5.192/27 disabled=no list=WhatsApp
add address=158.85.46.128/27 disabled=no list=WhatsApp
add address=158.85.48.224/27 disabled=no list=WhatsApp
add address=158.85.58.0/25 disabled=no list=WhatsApp
add address=158.85.61.192/27 disabled=no list=WhatsApp
add address=158.85.224.160/27 disabled=no list=WhatsApp
add address=158.85.233.32/27 disabled=no list=WhatsApp
add address=158.85.249.128/27 disabled=no list=WhatsApp
add address=158.85.249.224/27 disabled=no list=WhatsApp
add address=158.85.254.64/27 disabled=no list=WhatsApp
add address=169.53.29.128/27 disabled=no list=WhatsApp
add address=169.53.250.128/26 disabled=no list=WhatsApp
add address=169.54.2.160/27 disabled=no list=WhatsApp
add address=169.54.210.0/27 disabled=no list=WhatsApp
add address=169.54.222.128/27 disabled=no list=WhatsApp
add address=173.192.162.32/27 disabled=no list=WhatsApp
add address=173.192.219.128/27 disabled=no list=WhatsApp
add address=173.192.222.160/27 disabled=no list=WhatsApp
add address=173.192.231.32/27 disabled=no list=WhatsApp
add address=173.193.205.0/27 disabled=no list=WhatsApp
add address=173.193.230.96/27 disabled=no list=WhatsApp
add address=173.193.230.128/27 disabled=no list=WhatsApp
add address=173.193.230.192/27 disabled=no list=WhatsApp
add address=173.193.239.0/27 disabled=no list=WhatsApp
add address=174.36.208.128/27 disabled=no list=WhatsApp
add address=174.36.210.32/27 disabled=no list=WhatsApp
add address=174.36.251.192/27 disabled=no list=WhatsApp
add address=174.37.199.192/27 disabled=no list=WhatsApp
add address=174.37.215.28/30 disabled=no list=WhatsApp
add address=174.37.217.64/27 disabled=no list=WhatsApp
add address=174.37.231.64/27 disabled=no list=WhatsApp
add address=174.37.243.64/27 disabled=no list=WhatsApp
add address=174.37.251.0/27 disabled=no list=WhatsApp
add address=179.60.192.51/32 disabled=no list=WhatsApp
add address=179.60.193.51/32 disabled=no list=WhatsApp
add address=179.60.195.51/32 disabled=no list=WhatsApp
add address=184.173.73.176/28 disabled=no list=WhatsApp
add address=184.173.136.64/27 disabled=no list=WhatsApp
add address=184.173.147.32/27 disabled=no list=WhatsApp
add address=184.173.161.64/32 disabled=no list=WhatsApp
add address=184.173.161.160/27 disabled=no list=WhatsApp
add address=184.173.173.116/32 disabled=no list=WhatsApp
add address=184.173.179.32/27 disabled=no list=WhatsApp
add address=184.173.195.32/27 disabled=no list=WhatsApp
add address=184.173.201.32/27 disabled=no list=WhatsApp
add address=184.173.204.32/27 disabled=no list=WhatsApp
add address=184.173.250.53/32 disabled=no list=WhatsApp
add address=192.155.212.192/27 disabled=no list=WhatsApp
add address=198.11.193.182/31 disabled=no list=WhatsApp
add address=198.11.212.0/27 disabled=no list=WhatsApp
add address=198.11.217.192/27 disabled=no list=WhatsApp
add address=198.11.251.32/27 disabled=no list=WhatsApp
add address=198.23.80.0/27 disabled=no list=WhatsApp
add address=198.23.86.224/27 disabled=no list=WhatsApp
add address=198.23.87.64/27 disabled=no list=WhatsApp
add address=208.43.115.192/27 disabled=no list=WhatsApp
add address=208.43.117.79/32 disabled=no list=WhatsApp
add address=208.43.117.136/32 disabled=no list=WhatsApp
add address=208.43.122.128/27 disabled=no list=WhatsApp

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • Amigo estava tendo o mesmo problema resolvi simplificar a coisa, cliente esta cortado não quero nem exibir pagina de aviso simplesmente marquei a opção para não logar.

  • faça bloqueio por radius funciona 100% nao precisa dessas regras do addreslist do watshap n


  • manda as regras ai por favor
    augusto cezar das neves disse:

    faça bloqueio por radius funciona 100% nao precisa dessas regras do addreslist do watshap n

  • tenta:

    /ip firewall filter
    add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address-list=pgcorte
    add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address-list=pgcorte
    add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address-list=pgcorte

  • vou teste essa regras ai PEDRO?! pos estou com mesmo problema os cliente bloqueado e acessando zap ZAP ! kkkk

  • MARCOS O meu aqui é por radius e nao bloqueia não!....

  • coloca essas regras ai do pedro so tira a segunda pois dai aparece a tela de bloqueio,quero ver o zap funcionar

    Marcelo Ricardo disse:

    MARCOS O meu aqui é por radius e nao bloqueia não!....

  • coloquei mais não funcionou...... alguém tem solução pra esse problema aqui

  • Faz o seguinte:

    Abra o terminal dentro do mikrotik e basta copiar e colar cada regra abaixo, claro que não deve esquecer de alterar o que está em negrito, informando os ips conforme sua rede:

    ======================================================================================================

    /ip address
    add address=10.234.0.1/18 comment="Ip para o Pool de Bloqueio" disabled=no interface=ether5_Clientes network=10.234.0.0

    ======================================================================================================


    /ip pool
    add name=pgcorte ranges=10.234.0.2-10.234.63.254

    Esta range de ip será o ip que os clientes bloqueados irão pegar, você pode mudar segundo sua vontade.





    ===========================================================================================================================================================



    /ip firewall filter
    add action=add-dst-to-address-list address-list=pgcorte address-list-timeout=3m chain=forward comment="Bloqueio de trafego para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 src-address=!172.32.255.2
    add action=drop chain=forward comment="Bloqueio de trafego ICMP para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 protocol=icmp src-address=!172.32.255.2


    explicando:
    a primeira regra faz o seguinte:

    No momento em que o cliente que está no mkauth bloqueado se conecta via pppoe ele pega um ip do pool criado ou seja qualquer ip entre 10.234.0.2-10.234.63.254 e o filter ao perceber que ele faz parte deste range de ip logo cria um addeslist com nome pgcorte associado ao seu ip.

    a segunda regra faz o seguinte:

    serve para não permitir que qualquer ip que esteja no range de ip bloqueado consiga pingar pra qualquer lugar a não ser o ip do mkauth que é pra ele poder acessar e imprimir o boleto pra pagar.


    ============================================================================================================================================================


    /ip firewall nat
    add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - http" disabled=no dst-address=!172.32.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
    add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - https" disabled=no dst-address=!172.32.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - todas outras portas" disabled=no dst-address=!172.32.255.2 dst-port=0-65535 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
    add action=masquerade chain=srcnat comment="masquerade Pool bloqueio" disabled=no src-address=10.234.0.0/18


    explicando:
    estas regras deve ficar acima de todas as regras que existir no nat para funcionar corretamente e vai pegar todo o tráfego de todas as portas dos ips de clientes bloqueados que foi adicionado no addrlist pela regra do filter e vai direcionar para o ip do mkauth para exibir a pagina de corte.

    Então qualquer tráfego gerado na maquina do cliente bloqueado, seja porta:

    80 cai na primeira regra;

    porta 443 cai na segunda e por último,

    qualquer porta entre 0-65535 que inclui qualquer serviço ftp, skyp, team viewer, watsup, p2p entre outros cai nesta regra e é direcionado para ip do mkauth na porta 85.


    ============================================================================================================================================================


    Obs:


    Ainda não tem jeito pra mostrar a pagina do pgcorte sem que o cliente veja o alerta pelo navegador no momento em que o cliente estiver querendo acessar https e o mikrotik tentar redireciona-lo para o pgcorte, o que vai acontecer é que o trafego vai ser bloqueado mas ele verá aquele aviso do navegador que a pagina não é segura e bla bla bla. A não ser que coloque um certificado digital.


    No exemplo acima o range de bloqueio é 10.234.0.2-10.234.63.254 mas vc pode alterar a seu gosto bastando repassar o novo range pra todas as regras.


    O ip do mkauth no exemplo acima é 172.32.255.2 vc deve colocar o ip do seu mkauth e repassar o novo ip pra todas as regras.


    Não esqueça de ir no mkauth no menu opções/configurar recursos e na seção 4.0 deixar como no print veja:

    1488574409?profile=RESIZE_1024x1024





    Bom espero que tenha ajudado pois aqui desta forma tem segurado tudo.

    Mas claro, se houver alguma falha nas regras aceito correções.

  • /ip firewall filter
    add action=drop chain=forward comment=\
    "MK-AUTH_BLOQUEIO drop_===========================================================================================================" disabled=no dst-port=\
    !85 protocol=tcp src-address=10.3.0.2-10.3.3.254
    add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address=10.3.0.2-10.3.3.254

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=Mk-auth_Bloqueio disabled=no dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254 \
    to-addresses=172.31.255.2 to-ports=85

    Texta esta regras ai pq aqui esta 100% bloqueadas todas conexão !!!

    e claro q tem q esta a faixa de ip de pgcorte no pool pra funcionar 100%...

This reply was deleted.