Restringir acessos externo ao mk-auth com ip real

Olá Tenho mais de um mikrotik recebendo ip real de um link da internet... Vou colocar o mk-auth no switch das WANs dos mikrotiks, ou seja, o mk-auth tambem tera ip real... Será que fica bom??? Minha dúvida é como bloquear o acesso externo ao mk-auth pois ele estará diretamente na internet e não quero correr riscos de tentativa de invasão ou negação de serviço e por ai vai... O négocio é deixar uma segurança 99%. Segue a imagem da topologia que estou falando... Favor me dar uma dica de como restringir o acesso somente pelos mikrotiks!

topologia.bmp

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –

Respostas

  • Amigo vc quer restringir so acessos externo ou internos tambem ??
  • Aqui, no meu caso, gostaria de restringir o acesso externo...
  • Acesso interno tem que manter para os clientes acessarem as páginas do servidor mk-auth (tipow... central do assinante e por ai vai).
    Agora, minha preocupação é que com nesta topologia o mk-auth está com ip real e assim qualquer um que estiver na internet pode tentar algum tipow de ataque e vai acabar prejudicando meu sistema.
    As vezes o cara pode fazer zilhões de requisições ao meu servidor mk-auth e dar uma travada nele... e por ai vai!

    Quero que o servidor fique invisível à requisições vindas da internet e acessível aos mikrotiks(que estão com a wan no mesmo switch e na mesma faixa de ip real do mk-auth conforme o desenho que coloquei em anexo na primeira mensagem deste post).
  • coloca no final no rc.local

    # iptables -A INPUT -s ! [sua rede de ip real] -i eth0 -j REJECT --reject-with tcp-reset

    iptables -A INPUT -s ! 200.200.200.0/0 -i eth0 -j REJECT --reject-with tcp-reset

    Como essa regra vc bloqueia todo tipo de acesso menos a rede de ip que vc definir...

    Att,
    Wilker Paz.
  • Alguem sabe a regra para restringir todos o acesso, somente deixar para acessar o range de ip que eu setar por exemplo.

    Ips 187 189 200 201...que são utilizados no Brasil...
  • Olá amigo a sua resposta esta acima...

    Att,
    Wilker Paz.

    Joezaum disse:
    Alguem sabe a regra para restringir todos o acesso, somente deixar para acessar o range de ip que eu setar por exemplo.

    Ips 187 189 200 201...que são utilizados no Brasil...
  • Ok, Parece que vai ser isso mesmo... Vou testar posteriormente!
    Obrigado aí pela dica.


    Wilker Paz disse:
    coloca no final no rc.local

    # iptables -A INPUT -s ! [sua rede de ip real] -i eth0 -j REJECT --reject-with tcp-reset

    iptables -A INPUT -s ! 200.200.200.0/0 -i eth0 -j REJECT --reject-with tcp-reset

    Como essa regra vc bloqueia todo tipo de acesso menos a rede de ip que vc definir...

    Att,
    Wilker Paz.
  • so para lembra, amigos apos bloquear o acesso por ip real voce nao mais podera hospedar seu mk-auth com dominio publico tipo seuprovedor.com.br.
  • Amigos... não é necessario por ip real no Mk-Auth. caso desejar acessar ele de qualquer local do mundo pela internet, basta criar uma regra no nat e fazer um simples cadastro no DDNS e setar seumkauth.ddns.net:1880

    REGRA:

    / ip firewall nat
    add chain=dstnat action=dst-nat to-addresses=172.31.255.2 to-ports=80 \
    dst-port=1880 protocol=tcp comment="NAT PARA MK-AUTH" disabled=no

    OBS: algun colega já postou sobre isso aqui , me perdoem mas nao lembro qundo nem´por quem
  • Eu postei essa regra...

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="" disabled=no dst-port=1880 protocol=tcp to-addresses=172.31.255.2 to-ports=80

    Para acessar o MK-Auth basta chmar o IP-Real do Mikrotik com a porta 1880

    http://200.200.200.1:1880/admin

    DEL-LINK disse:
    Amigos... não é necessario por ip real no Mk-Auth. caso desejar acessar ele de qualquer local do mundo pela internet, basta criar uma regra no nat e fazer um simples cadastro no DDNS e setar seumkauth.ddns.net:1880

    REGRA:

    / ip firewall nat
    add chain=dstnat action=dst-nat to-addresses=172.31.255.2 to-ports=80 \
    dst-port=1880 protocol=tcp comment="NAT PARA MK-AUTH" disabled=no

    OBS: algun colega já postou sobre isso aqui , me perdoem mas nao lembro qundo nem´por quem
This reply was deleted.