Forum

Nat efetivo para bloqueio mkauth

Postado por Sóstenes L. Teixeira em 30 de Setembro de 2016 às 17:01

Devido a grande dificuldade de muitos aqui do fórum, sofrendo para garantira o bloqueio total do mk-auth ,vou compartilhar uma regra simples que garante o bloqueio total do serviço de internet,a regra consiste em remover quem esta no pgcorte da regra nat do serviço, assim o mesmo não terá acesso a internet.

/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=(interface do link) src-address-list=!pgcorte

Visualizações: 142

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: Nat, bloqueio
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Samuel Silva Sardinha Julho 30, 2018 9:20

    Mais por que ter mais de uma list? 

  • Pedro Filho Outubro 22, 2016 21:47

    irei fazer mais testes, quero ver um meio de funcionar quando o cliente estiver tambem em outra list além da pgcorte...

    Sóstenes L. Teixeira disse:

    Funciona sim pedro,o grande problema aqui, e que sempre tem mais de uma regra de nat nos servidores ,ai uma mata a outra, essa regra garante o bloqueio total de quem usa ip privado,pois os mesmo não terão saída para internet enquanto  estiver na lista pg corte que tem um "!" negando a regra nat,agora sobre a pg de bloqueio nem uso mais, pois 70%  dos host das redes estão entre celulares,tablets,e smatstv ou seja, utilizam apps ao invés de navegadores,quando a internet e bloqueada eles nao ficam sabendo da mesma forma,nesse caso o melhor seria receber msg de aviso e corte por sms,acho q seria mais efetivo.

  • Sóstenes L. Teixeira Outubro 22, 2016 14:03

    Funciona sim pedro,o grande problema aqui, e que sempre tem mais de uma regra de nat nos servidores ,ai uma mata a outra, essa regra garante o bloqueio total de quem usa ip privado,pois os mesmo não terão saída para internet enquanto  estiver na lista pg corte que tem um "!" negando a regra nat,agora sobre a pg de bloqueio nem uso mais, pois 70%  dos host das redes estão entre celulares,tablets,e smatstv ou seja, utilizam apps ao invés de navegadores,quando a internet e bloqueada eles nao ficam sabendo da mesma forma,nesse caso o melhor seria receber msg de aviso e corte por sms,acho q seria mais efetivo.

  • Pedro Filho Outubro 21, 2016 12:39

    funcionou, eu havia colocado uma list no plano do cliente, assim como havia duas (pgcorte,flex) a regra de masquarede liberou a list flex, agora é somente ver uma regra que funcione se houver mais uma list, isso resolve mesmo pq o cliente não tem nem acesso ao DNS o chato que não aparece a pagina de corte mais esse recurso de HSTS do sites agora é coisa do cão, sites https sem HSTS funciona normal como sempre funcionou.

    1488594205?profile=RESIZE_1024x1024

  • Pedro Filho Outubro 21, 2016 12:22

    ótima dica mais com pppoe aqui não funcionou...

    Sóstenes L. Teixeira disse:

    logico que nao,ips públicos nao precisão de regra nat,so so ips privados,a regra acima e logica,sem nat os ips bloqueados nao terao "saida" para internet.

  • Sóstenes L. Teixeira Outubro 19, 2016 11:58

    logico que nao,ips públicos nao precisão de regra nat,so so ips privados,a regra acima e logica,sem nat os ips bloqueados nao terao "saida" para internet.

    Edson Pereira disse:

    Amigo essa regra sua ai pra que tem ip validos vai parar  de funciona os ips valido da rede, uma vez que vc faz uma nat na interface do lik. mim corrija se eu estiver errado

  • CyberTech Outubro 18, 2016 19:52

    segue regras que uso e bloqueia tudo.

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="PG CORTE" dst-address=!172.31.255.2 dst-address-list=!bloqueados dst-port=80 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85

    add action=dst-nat chain=dstnat comment="PG CORTE HTTPS" dst-address=!172.31.255.2 dst-address-list=!bloqueados dst-port=443 protocol=tcp src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=445
    add action=dst-nat chain=dstnat comment="PG AVISO" connection-limit=!1,32 dst-port=80,433 protocol=tcp src-address-list=pgaviso to-addresses=172.31.255.2 to-ports=88
    add action=masquerade chain=srcnat comment=NAT src-address=172.16.0.0/24


    /ip firewall filter

    add chain=forward action=drop protocol=udp src-address-list=pgcorte dst-port=!53

    add chain=forward action=drop protocol=tcp src-address-list=pgcorte dst-port=!80,85,443,445

    !bloqueados é uma adress list de sites que os bloqueados podem acessar.

  • roberto conceicao pacheco Outubro 18, 2016 19:07

    desculpe minha ignoracia a porta ta certa

    445 ou 443 ??


    Speedy NetWork disse:

    Amigos, não já foi discutido esse assunto até por demais, bloqueio só funciona 100% por SSH, somente o WhatsApp ficava com navegação ou seja o cliente conseguia enviar e receber mensagem o que eu fiz foi criar uma regra de bloqueio nas portas que WhatsApp utiliza e pronto cliente fica bloqueado 100% abaixo está as regras que utilizei para bloquear as portas do WhatsApp. 

    /ip firewall nat

    add action=dst-nat chain=dstnat comment="PG CORTE ZAPZAP" dst-address=!172.30.255.250 \
        dst-port=5221,5222,5223 protocol=tcp src-address-list=pgcorte to-addresses=172.30.255.250 \
        to-ports=445
    add action=dst-nat chain=dstnat dst-address=!172.30.255.250 dst-port=5221,5222,5223 protocol=\
        tcp src-address-list=pgcorte to-addresses=172.30.255.250 to-ports=85

    Att, Ronildo Plácido

  • Edson Pereira Outubro 15, 2016 14:06

    Amigo essa regra sua ai pra que tem ip validos vai parar  de funciona os ips valido da rede, uma vez que vc faz uma nat na interface do lik. mim corrija se eu estiver errado

  • Pedro Filho Outubro 10, 2016 7:26

    muito bom, irei testar e valeu amigo...

This reply was deleted.