Postado por Rodolf em 16 de Outubro de 2010 às 6:00pm
Olá
Tenho mais de um mikrotik recebendo ip real de um link da internet...
Vou colocar o mk-auth no switch das WANs dos mikrotiks, ou seja, o mk-auth tambem tera ip real...
Será que fica bom???
Minha dúvida é como bloquear o acesso externo ao mk-auth pois ele estará diretamente na internet e não quero correr riscos de tentativa de invasão ou negação de serviço e por ai vai...
O négocio é deixar uma segurança 99%.
Segue a imagem da topologia que estou falando... Favor me dar uma dica de como restringir o acesso somente pelos mikrotiks!
Acesso interno tem que manter para os clientes acessarem as páginas do servidor mk-auth (tipow... central do assinante e por ai vai).
Agora, minha preocupação é que com nesta topologia o mk-auth está com ip real e assim qualquer um que estiver na internet pode tentar algum tipow de ataque e vai acabar prejudicando meu sistema.
As vezes o cara pode fazer zilhões de requisições ao meu servidor mk-auth e dar uma travada nele... e por ai vai!
Quero que o servidor fique invisível à requisições vindas da internet e acessível aos mikrotiks(que estão com a wan no mesmo switch e na mesma faixa de ip real do mk-auth conforme o desenho que coloquei em anexo na primeira mensagem deste post).
Amigos... não é necessario por ip real no Mk-Auth. caso desejar acessar ele de qualquer local do mundo pela internet, basta criar uma regra no nat e fazer um simples cadastro no DDNS e setar seumkauth.ddns.net:1880
REGRA:
/ ip firewall nat
add chain=dstnat action=dst-nat to-addresses=172.31.255.2 to-ports=80 \
dst-port=1880 protocol=tcp comment="NAT PARA MK-AUTH" disabled=no
OBS: algun colega já postou sobre isso aqui , me perdoem mas nao lembro qundo nem´por quem
Amigos... não é necessario por ip real no Mk-Auth. caso desejar acessar ele de qualquer local do mundo pela internet, basta criar uma regra no nat e fazer um simples cadastro no DDNS e setar seumkauth.ddns.net:1880
REGRA:
/ ip firewall nat
add chain=dstnat action=dst-nat to-addresses=172.31.255.2 to-ports=80 \
dst-port=1880 protocol=tcp comment="NAT PARA MK-AUTH" disabled=no
OBS: algun colega já postou sobre isso aqui , me perdoem mas nao lembro qundo nem´por quem
Respostas
Agora, minha preocupação é que com nesta topologia o mk-auth está com ip real e assim qualquer um que estiver na internet pode tentar algum tipow de ataque e vai acabar prejudicando meu sistema.
As vezes o cara pode fazer zilhões de requisições ao meu servidor mk-auth e dar uma travada nele... e por ai vai!
Quero que o servidor fique invisível à requisições vindas da internet e acessível aos mikrotiks(que estão com a wan no mesmo switch e na mesma faixa de ip real do mk-auth conforme o desenho que coloquei em anexo na primeira mensagem deste post).
# iptables -A INPUT -s ! [sua rede de ip real] -i eth0 -j REJECT --reject-with tcp-reset
iptables -A INPUT -s ! 200.200.200.0/0 -i eth0 -j REJECT --reject-with tcp-reset
Como essa regra vc bloqueia todo tipo de acesso menos a rede de ip que vc definir...
Att,
Wilker Paz.
Ips 187 189 200 201...que são utilizados no Brasil...
Att,
Wilker Paz.
Joezaum disse:
Obrigado aí pela dica.
Wilker Paz disse:
REGRA:
/ ip firewall nat
add chain=dstnat action=dst-nat to-addresses=172.31.255.2 to-ports=80 \
dst-port=1880 protocol=tcp comment="NAT PARA MK-AUTH" disabled=no
OBS: algun colega já postou sobre isso aqui , me perdoem mas nao lembro qundo nem´por quem
/ip firewall nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=1880 protocol=tcp to-addresses=172.31.255.2 to-ports=80
Para acessar o MK-Auth basta chmar o IP-Real do Mikrotik com a porta 1880
http://200.200.200.1:1880/admin
DEL-LINK disse:
-
1
-
2
de 2 Próximo