MK-AUTH

Bom dia estou usando essas regras de bloqueio esta funcionando porem o whatsapp funciona na boa.

/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE" disabled=no dst-address-list=WhatsApp protocol=tcp src-address-list=pgcorte src-port=0-65535 to-addresses=ip_do_seu_mkauth to-ports=85

/ip firewall address-list
add address=31.13.64.51/32 disabled=no list=WhatsApp
add address=31.13.65.49/32 disabled=no list=WhatsApp
add address=31.13.66.49/32 disabled=no list=WhatsApp
add address=31.13.67.51/32 disabled=no list=WhatsApp
add address=31.13.69.240/32 disabled=no list=WhatsApp
add address=31.13.70.49/32 disabled=no list=WhatsApp
add address=31.13.71.49/32 disabled=no list=WhatsApp
add address=31.13.72.52/32 disabled=no list=WhatsApp
add address=31.13.73.49/32 disabled=no list=WhatsApp
add address=31.13.74.49/32 disabled=no list=WhatsApp
add address=31.13.75.52/32 disabled=no list=WhatsApp
add address=31.13.76.81/32 disabled=no list=WhatsApp
add address=31.13.77.49/32 disabled=no list=WhatsApp
add address=31.13.79.195/32 disabled=no list=WhatsApp
add address=31.13.82.51/32 disabled=no list=WhatsApp
add address=31.13.83.51/32 disabled=no list=WhatsApp
add address=31.13.84.51/32 disabled=no list=WhatsApp
add address=31.13.85.51/32 disabled=no list=WhatsApp
add address=31.13.86.51/32 disabled=no list=WhatsApp
add address=31.13.87.51/32 disabled=no list=WhatsApp
add address=31.13.88.49/32 disabled=no list=WhatsApp
add address=31.13.88.57/32 disabled=no list=WhatsApp
add address=31.13.90.51/32 disabled=no list=WhatsApp
add address=31.13.91.51/32 disabled=no list=WhatsApp
add address=31.13.93.51/32 disabled=no list=WhatsApp
add address=31.13.95.49/32 disabled=no list=WhatsApp
add address=31.13.95.53/32 disabled=no list=WhatsApp
add address=31.13.95.57/32 disabled=no list=WhatsApp
add address=50.22.75.192/27 disabled=no list=WhatsApp
add address=50.22.93.192/27 disabled=no list=WhatsApp
add address=50.22.198.204/30 disabled=no list=WhatsApp
add address=50.22.210.32/30 disabled=no list=WhatsApp
add address=50.22.210.128/27 disabled=no list=WhatsApp
add address=50.22.225.64/27 disabled=no list=WhatsApp
add address=50.22.235.248/30 disabled=no list=WhatsApp
add address=50.22.240.160/27 disabled=no list=WhatsApp
add address=50.23.90.128/27 disabled=no list=WhatsApp
add address=50.97.57.128/27 disabled=no list=WhatsApp
add address=75.126.39.32/27 disabled=no list=WhatsApp
add address=108.168.174.0/27 disabled=no list=WhatsApp
add address=108.168.176.192/26 disabled=no list=WhatsApp
add address=108.168.177.0/27 disabled=no list=WhatsApp
add address=108.168.180.96/27 disabled=no list=WhatsApp
add address=108.168.254.65/32 disabled=no list=WhatsApp
add address=108.168.255.224/32 disabled=no list=WhatsApp
add address=108.168.255.227/32 disabled=no list=WhatsApp
add address=158.85.0.96/27 disabled=no list=WhatsApp
add address=158.85.5.192/27 disabled=no list=WhatsApp
add address=158.85.46.128/27 disabled=no list=WhatsApp
add address=158.85.48.224/27 disabled=no list=WhatsApp
add address=158.85.58.0/25 disabled=no list=WhatsApp
add address=158.85.61.192/27 disabled=no list=WhatsApp
add address=158.85.224.160/27 disabled=no list=WhatsApp
add address=158.85.233.32/27 disabled=no list=WhatsApp
add address=158.85.249.128/27 disabled=no list=WhatsApp
add address=158.85.249.224/27 disabled=no list=WhatsApp
add address=158.85.254.64/27 disabled=no list=WhatsApp
add address=169.53.29.128/27 disabled=no list=WhatsApp
add address=169.53.250.128/26 disabled=no list=WhatsApp
add address=169.54.2.160/27 disabled=no list=WhatsApp
add address=169.54.210.0/27 disabled=no list=WhatsApp
add address=169.54.222.128/27 disabled=no list=WhatsApp
add address=173.192.162.32/27 disabled=no list=WhatsApp
add address=173.192.219.128/27 disabled=no list=WhatsApp
add address=173.192.222.160/27 disabled=no list=WhatsApp
add address=173.192.231.32/27 disabled=no list=WhatsApp
add address=173.193.205.0/27 disabled=no list=WhatsApp
add address=173.193.230.96/27 disabled=no list=WhatsApp
add address=173.193.230.128/27 disabled=no list=WhatsApp
add address=173.193.230.192/27 disabled=no list=WhatsApp
add address=173.193.239.0/27 disabled=no list=WhatsApp
add address=174.36.208.128/27 disabled=no list=WhatsApp
add address=174.36.210.32/27 disabled=no list=WhatsApp
add address=174.36.251.192/27 disabled=no list=WhatsApp
add address=174.37.199.192/27 disabled=no list=WhatsApp
add address=174.37.215.28/30 disabled=no list=WhatsApp
add address=174.37.217.64/27 disabled=no list=WhatsApp
add address=174.37.231.64/27 disabled=no list=WhatsApp
add address=174.37.243.64/27 disabled=no list=WhatsApp
add address=174.37.251.0/27 disabled=no list=WhatsApp
add address=179.60.192.51/32 disabled=no list=WhatsApp
add address=179.60.193.51/32 disabled=no list=WhatsApp
add address=179.60.195.51/32 disabled=no list=WhatsApp
add address=184.173.73.176/28 disabled=no list=WhatsApp
add address=184.173.136.64/27 disabled=no list=WhatsApp
add address=184.173.147.32/27 disabled=no list=WhatsApp
add address=184.173.161.64/32 disabled=no list=WhatsApp
add address=184.173.161.160/27 disabled=no list=WhatsApp
add address=184.173.173.116/32 disabled=no list=WhatsApp
add address=184.173.179.32/27 disabled=no list=WhatsApp
add address=184.173.195.32/27 disabled=no list=WhatsApp
add address=184.173.201.32/27 disabled=no list=WhatsApp
add address=184.173.204.32/27 disabled=no list=WhatsApp
add address=184.173.250.53/32 disabled=no list=WhatsApp
add address=192.155.212.192/27 disabled=no list=WhatsApp
add address=198.11.193.182/31 disabled=no list=WhatsApp
add address=198.11.212.0/27 disabled=no list=WhatsApp
add address=198.11.217.192/27 disabled=no list=WhatsApp
add address=198.11.251.32/27 disabled=no list=WhatsApp
add address=198.23.80.0/27 disabled=no list=WhatsApp
add address=198.23.86.224/27 disabled=no list=WhatsApp
add address=198.23.87.64/27 disabled=no list=WhatsApp
add address=208.43.115.192/27 disabled=no list=WhatsApp
add address=208.43.117.79/32 disabled=no list=WhatsApp
add address=208.43.117.136/32 disabled=no list=WhatsApp
add address=208.43.122.128/27 disabled=no list=WhatsApp

Exibições: 1635

Responder agora

Respostas a este tópico

Amigo estava tendo o mesmo problema resolvi simplificar a coisa, cliente esta cortado não quero nem exibir pagina de aviso simplesmente marquei a opção para não logar.

faça bloqueio por radius funciona 100% nao precisa dessas regras do addreslist do watshap n


manda as regras ai por favor
augusto cezar das neves disse:

faça bloqueio por radius funciona 100% nao precisa dessas regras do addreslist do watshap n

tenta:

/ip firewall filter
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address-list=pgcorte

vou teste essa regras ai PEDRO?! pos estou com mesmo problema os cliente bloqueado e acessando zap ZAP ! kkkk

MARCOS O meu aqui é por radius e nao bloqueia não!....

coloca essas regras ai do pedro so tira a segunda pois dai aparece a tela de bloqueio,quero ver o zap funcionar

Marcelo Ricardo disse:

MARCOS O meu aqui é por radius e nao bloqueia não!....

coloquei mais não funcionou...... alguém tem solução pra esse problema aqui

Faz o seguinte:

Abra o terminal dentro do mikrotik e basta copiar e colar cada regra abaixo, claro que não deve esquecer de alterar o que está em negrito, informando os ips conforme sua rede:

======================================================================================================

/ip address
add address=10.234.0.1/18 comment="Ip para o Pool de Bloqueio" disabled=no interface=ether5_Clientes network=10.234.0.0

======================================================================================================


/ip pool
add name=pgcorte ranges=10.234.0.2-10.234.63.254

Esta range de ip será o ip que os clientes bloqueados irão pegar, você pode mudar segundo sua vontade.





===========================================================================================================================================================



/ip firewall filter
add action=add-dst-to-address-list address-list=pgcorte address-list-timeout=3m chain=forward comment="Bloqueio de trafego para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 src-address=!172.32.255.2
add action=drop chain=forward comment="Bloqueio de trafego ICMP para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 protocol=icmp src-address=!172.32.255.2


explicando:
a primeira regra faz o seguinte:

No momento em que o cliente que está no mkauth bloqueado se conecta via pppoe ele pega um ip do pool criado ou seja qualquer ip entre 10.234.0.2-10.234.63.254 e o filter ao perceber que ele faz parte deste range de ip logo cria um addeslist com nome pgcorte associado ao seu ip.

a segunda regra faz o seguinte:

serve para não permitir que qualquer ip que esteja no range de ip bloqueado consiga pingar pra qualquer lugar a não ser o ip do mkauth que é pra ele poder acessar e imprimir o boleto pra pagar.


============================================================================================================================================================


/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - http" disabled=no dst-address=!172.32.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - https" disabled=no dst-address=!172.32.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=445
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - todas outras portas" disabled=no dst-address=!172.32.255.2 dst-port=0-65535 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
add action=masquerade chain=srcnat comment="masquerade Pool bloqueio" disabled=no src-address=10.234.0.0/18


explicando:
estas regras deve ficar acima de todas as regras que existir no nat para funcionar corretamente e vai pegar todo o tráfego de todas as portas dos ips de clientes bloqueados que foi adicionado no addrlist pela regra do filter e vai direcionar para o ip do mkauth para exibir a pagina de corte.

Então qualquer tráfego gerado na maquina do cliente bloqueado, seja porta:

80 cai na primeira regra;

porta 443 cai na segunda e por último,

qualquer porta entre 0-65535 que inclui qualquer serviço ftp, skyp, team viewer, watsup, p2p entre outros cai nesta regra e é direcionado para ip do mkauth na porta 85.


============================================================================================================================================================


Obs:


Ainda não tem jeito pra mostrar a pagina do pgcorte sem que o cliente veja o alerta pelo navegador no momento em que o cliente estiver querendo acessar https e o mikrotik tentar redireciona-lo para o pgcorte, o que vai acontecer é que o trafego vai ser bloqueado mas ele verá aquele aviso do navegador que a pagina não é segura e bla bla bla. A não ser que coloque um certificado digital.


No exemplo acima o range de bloqueio é 10.234.0.2-10.234.63.254 mas vc pode alterar a seu gosto bastando repassar o novo range pra todas as regras.


O ip do mkauth no exemplo acima é 172.32.255.2 vc deve colocar o ip do seu mkauth e repassar o novo ip pra todas as regras.


Não esqueça de ir no mkauth no menu opções/configurar recursos e na seção 4.0 deixar como no print veja:





Bom espero que tenha ajudado pois aqui desta forma tem segurado tudo.

Mas claro, se houver alguma falha nas regras aceito correções.

/ip firewall filter
add action=drop chain=forward comment=\
"MK-AUTH_BLOQUEIO drop_===========================================================================================================" disabled=no dst-port=\
!85 protocol=tcp src-address=10.3.0.2-10.3.3.254
add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address=10.3.0.2-10.3.3.254

/ip firewall nat
add action=dst-nat chain=dstnat comment=Mk-auth_Bloqueio disabled=no dst-address=!172.31.255.2 dst-port=80 protocol=tcp src-address=10.3.0.2-10.3.3.254 \
to-addresses=172.31.255.2 to-ports=85

Texta esta regras ai pq aqui esta 100% bloqueadas todas conexão !!!

e claro q tem q esta a faixa de ip de pgcorte no pool pra funcionar 100%...

Depois de verificar todos os Tópicos do Site o único que aparentemente funcionou foi esse! Pois o resto nem um deu certo....

Carlos Roberto Borges disse:

Faz o seguinte:

Abra o terminal dentro do mikrotik e basta copiar e colar cada regra abaixo, claro que não deve esquecer de alterar o que está em negrito, informando os ips conforme sua rede:

======================================================================================================

/ip address
add address=10.234.0.1/18 comment="Ip para o Pool de Bloqueio" disabled=no interface=ether5_Clientes network=10.234.0.0

======================================================================================================


/ip pool
add name=pgcorte ranges=10.234.0.2-10.234.63.254

Esta range de ip será o ip que os clientes bloqueados irão pegar, você pode mudar segundo sua vontade.





===========================================================================================================================================================



/ip firewall filter
add action=add-dst-to-address-list address-list=pgcorte address-list-timeout=3m chain=forward comment="Bloqueio de trafego para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 src-address=!172.32.255.2
add action=drop chain=forward comment="Bloqueio de trafego ICMP para Pool bloqueado" disabled=no dst-address=10.234.0.2-10.234.63.254 protocol=icmp src-address=!172.32.255.2


explicando:
a primeira regra faz o seguinte:

No momento em que o cliente que está no mkauth bloqueado se conecta via pppoe ele pega um ip do pool criado ou seja qualquer ip entre 10.234.0.2-10.234.63.254 e o filter ao perceber que ele faz parte deste range de ip logo cria um addeslist com nome pgcorte associado ao seu ip.

a segunda regra faz o seguinte:

serve para não permitir que qualquer ip que esteja no range de ip bloqueado consiga pingar pra qualquer lugar a não ser o ip do mkauth que é pra ele poder acessar e imprimir o boleto pra pagar.


============================================================================================================================================================


/ip firewall nat
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - http" disabled=no dst-address=!172.32.255.2 dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - https" disabled=no dst-address=!172.32.255.2 dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=445
add action=dst-nat chain=dstnat comment="PG CORTE via addresslist - todas outras portas" disabled=no dst-address=!172.32.255.2 dst-port=0-65535 protocol=tcp src-address-list=pgcorte to-addresses=172.32.255.2 to-ports=85
add action=masquerade chain=srcnat comment="masquerade Pool bloqueio" disabled=no src-address=10.234.0.0/18


explicando:
estas regras deve ficar acima de todas as regras que existir no nat para funcionar corretamente e vai pegar todo o tráfego de todas as portas dos ips de clientes bloqueados que foi adicionado no addrlist pela regra do filter e vai direcionar para o ip do mkauth para exibir a pagina de corte.

Então qualquer tráfego gerado na maquina do cliente bloqueado, seja porta:

80 cai na primeira regra;

porta 443 cai na segunda e por último,

qualquer porta entre 0-65535 que inclui qualquer serviço ftp, skyp, team viewer, watsup, p2p entre outros cai nesta regra e é direcionado para ip do mkauth na porta 85.


============================================================================================================================================================


Obs:


Ainda não tem jeito pra mostrar a pagina do pgcorte sem que o cliente veja o alerta pelo navegador no momento em que o cliente estiver querendo acessar https e o mikrotik tentar redireciona-lo para o pgcorte, o que vai acontecer é que o trafego vai ser bloqueado mas ele verá aquele aviso do navegador que a pagina não é segura e bla bla bla. A não ser que coloque um certificado digital.


No exemplo acima o range de bloqueio é 10.234.0.2-10.234.63.254 mas vc pode alterar a seu gosto bastando repassar o novo range pra todas as regras.


O ip do mkauth no exemplo acima é 172.32.255.2 vc deve colocar o ip do seu mkauth e repassar o novo ip pra todas as regras.


Não esqueça de ir no mkauth no menu opções/configurar recursos e na seção 4.0 deixar como no print veja:





Bom espero que tenha ajudado pois aqui desta forma tem segurado tudo.

Mas claro, se houver alguma falha nas regras aceito correções.

Essa lista de ip do zap não funciona, des do dia que o facebook comprou o zap, não tem mas um ip fixo pra ele, no maximo você pode bloquear e os ips do CDN.

Responder à discussão

RSS

parcerias

© 2020   Criado por Pedro Filho.   Ativado por

Badges - Divulgar  |  Relatar erro no site  |  Termos de serviço