Forum

script de firewall pronto

Postado por emerson alexandre de o. correa em 25 de Junho de 2011 às 1:04

esse vai pra galera que gosta do    ctrl+c    ctrl+v  esse script ta funcionando 100% no meu routeros testem e me mandem resposta 

 

/ ip firewall filter add chain=input connection-state=invalid action=drop comment="Drop Invalid \    connections" disabled=no add chain=input connection-state=established action=accept comment="Allow \    Established connections" disabled=no add chain=input protocol=icmp action=accept comment="Allow ICMP" disabled=no add chain=forward protocol=tcp connection-state=invalid action=drop \    comment="drop invalid connections" disabled=no add chain=forward connection-state=established action=accept comment="allow \    already established connections" disabled=no add chain=forward connection-state=related action=accept comment="allow \    related connections" disabled=no add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no add chain=forward protocol=tcp action=jump jump-target=tcp comment="" \    disabled=no add chain=forward protocol=udp action=jump jump-target=udp comment="" \    disabled=no add chain=forward protocol=icmp action=jump jump-target=icmp comment="" \    disabled=no add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" \    disabled=no add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC \    portmapper" disabled=no add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC \    portmapper" disabled=no add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT" \    disabled=no add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" \    disabled=no add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" \    disabled=no add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny \    NetBus" disabled=no add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" \    disabled=no add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny \    BackOriffice" disabled=no add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" \    disabled=no add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" \    disabled=no add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC \    portmapper" disabled=no add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC \    portmapper" disabled=no add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" \    disabled=no add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" \    disabled=no add chain=udp protocol=udp dst-port=3133 action=drop comment="deny \    BackOriffice" disabled=no add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo \    reply" disabled=no add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net \    unreachable" disabled=no add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host \    unreachable" disabled=no add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow \    source quench" disabled=no add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow \    echo request" disabled=no add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow \    time exceed" disabled=no add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow \    parameter bad" disabled=no add chain=icmp action=drop comment="deny all other types" disabled=no

e so selecionar tudo copiar colar em system scripts e depois dar um  run script

Visualizações: 412

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: filter, firewall
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Jhonne Jossy Junho 25, 2011 10:38

    Srs,

     

    Bloqueando portas, podemos bloquear muito mais que virus, pode-se bloquear também serviços, não considero a maneira mais eficaz de se proteger na internet, ademais normalmente a falhas em softwares e SOs apresentam estas portas abertas no computador do cliente e não na internet, assim só se justificaria esse tipo de bloqueio se todos os clientes tiverem ip público.

     

    Regras de limitação de icmp, devem ser feitas com tarpit, por ser melhor opção contra negação de serviços, embora não exista proteção totalmente eficaz pra isso.

     

    Embora a isolação no Ap seja bastante eficiente, dependendo da quantidade de pontos de acesso, Bloquear netbios é bem interessante.

     

    Lembrem-se que o debate aqui é técnico, se discordam de mim, apresentem suas contrazões.

  • emerson alexandre de o. correa Junho 25, 2011 13:23
    a ideia inicial e um firewall para protejer o routeros
  • Jhonne Jossy Junho 25, 2011 13:32

    Entendo emerson, mas sinceramente a maioria das configurações que vi não tem muito sentido. Minha política de firewall é bem simples, e soh mecho quando encontro alguma necessidade, basicamente os serviços que não uso estão todos desabilitados nas rbs, o resto são limitados ou não acessíveis de ips públicos.

     

    emerson alexandre de o. correa disse:

    a ideia inicial e um firewall para protejer o routeros
  • Jhonne Jossy Junho 25, 2011 16:00
    Quem trabalhou na embratel? nunca disse isso aki, nem em lugar algum. Agora bola fora ta dando vc, que não tem como discutir tecnicamente e prefere ofender os outros. Poste sua opnião técnica, e para falar bobagem

    SpeedyNet CEARÁ disse:
    é Jhonne essa semana vc ta dando muita bolra fora, cara estude antes da esse tipo de opniao, outra coisa veja no site da mikrotik os MK demo que voce vai verificar, agora meu irmao um cara que diz que trabalhou na embratel dizer umas bobagens dessas.
  • Jhonne Jossy Junho 25, 2011 16:30
    Outra coisa antes de copiar o firewal da demo do mikrotik, procure saber se sua realidade é igual a deles,
    Alí eles estão mostrando exemplos do que dá pra ser feito.
    Não existe políticas de firewall padrão, depende da necessidade de cada um!
    Acredito que esse deve ser meu último post neste tópico, minha discussão e técnica.
     
    "A ofensa só tem valor pra quem acredita nela" 

     

    
  • emerson alexandre de o. correa Junho 26, 2011 0:10

    regras demais consomen processamento demais. pensem nisso ?

     

    e esse forum nao e para descutir o ego de cada. e sim para trocar informaçoes que possam ajudar uns aos outros

     

    vlw galera.

  • Alicson R. Miranda Junho 26, 2011 1:12

    Grande Jhonne Jossy... sabias palavras as suas...

     

    tenho poucas regras criadas no firewall devido somente a grandes necessidades e os demais serviços não ultilizados todos desativados....

     

    não adianta ctrl+c  ctrl+v ... tem que interpretar e entender as regras e vê se realmente vai ter alguma ulitilidade em sua rede...

     

    excesso de regras " desnecessárias"  faz o processamento da RB ficar alto, podendo ter travamentos e/ou falha nos serviços configurados...

     

    Abraço a todos...

     

    .

  • Netloads Junho 26, 2011 3:40

     

    Resposta muito inteligente.

    Alicson R. Miranda disse:

    Grande Jhonne Jossy... sabias palavras as suas...

     

    tenho poucas regras criadas no firewall devido somente a grandes necessidades e os demais serviços não ultilizados todos desativados....

     

    não adianta ctrl+c  ctrl+v ... tem que interpretar e entender as regras e vê se realmente vai ter alguma ulitilidade em sua rede...

     

    excesso de regras " desnecessárias"  faz o processamento da RB ficar alto, podendo ter travamentos e/ou falha nos serviços configurados...

     

    Abraço a todos...

     

    .

This reply was deleted.