esse vai pra galera que gosta do ctrl+c ctrl+v esse script ta funcionando 100% no meu routeros testem e me mandem resposta
/ ip firewall filter add chain=input connection-state=invalid action=drop comment="Drop Invalid \ connections" disabled=no add chain=input connection-state=established action=accept comment="Allow \ Established connections" disabled=no add chain=input protocol=icmp action=accept comment="Allow ICMP" disabled=no add chain=forward protocol=tcp connection-state=invalid action=drop \ comment="drop invalid connections" disabled=no add chain=forward connection-state=established action=accept comment="allow \ already established connections" disabled=no add chain=forward connection-state=related action=accept comment="allow \ related connections" disabled=no add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no add chain=forward protocol=tcp action=jump jump-target=tcp comment="" \ disabled=no add chain=forward protocol=udp action=jump jump-target=udp comment="" \ disabled=no add chain=forward protocol=icmp action=jump jump-target=icmp comment="" \ disabled=no add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" \ disabled=no add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC \ portmapper" disabled=no add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC \ portmapper" disabled=no add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT" \ disabled=no add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" \ disabled=no add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" \ disabled=no add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny \ NetBus" disabled=no add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" \ disabled=no add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny \ BackOriffice" disabled=no add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" \ disabled=no add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" \ disabled=no add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC \ portmapper" disabled=no add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC \ portmapper" disabled=no add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" \ disabled=no add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" \ disabled=no add chain=udp protocol=udp dst-port=3133 action=drop comment="deny \ BackOriffice" disabled=no add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo \ reply" disabled=no add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net \ unreachable" disabled=no add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host \ unreachable" disabled=no add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow \ source quench" disabled=no add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow \ echo request" disabled=no add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow \ time exceed" disabled=no add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow \ parameter bad" disabled=no add chain=icmp action=drop comment="deny all other types" disabled=no
e so selecionar tudo copiar colar em system scripts e depois dar um run script
Respostas
Srs,
Bloqueando portas, podemos bloquear muito mais que virus, pode-se bloquear também serviços, não considero a maneira mais eficaz de se proteger na internet, ademais normalmente a falhas em softwares e SOs apresentam estas portas abertas no computador do cliente e não na internet, assim só se justificaria esse tipo de bloqueio se todos os clientes tiverem ip público.
Regras de limitação de icmp, devem ser feitas com tarpit, por ser melhor opção contra negação de serviços, embora não exista proteção totalmente eficaz pra isso.
Embora a isolação no Ap seja bastante eficiente, dependendo da quantidade de pontos de acesso, Bloquear netbios é bem interessante.
Lembrem-se que o debate aqui é técnico, se discordam de mim, apresentem suas contrazões.
Entendo emerson, mas sinceramente a maioria das configurações que vi não tem muito sentido. Minha política de firewall é bem simples, e soh mecho quando encontro alguma necessidade, basicamente os serviços que não uso estão todos desabilitados nas rbs, o resto são limitados ou não acessíveis de ips públicos.
emerson alexandre de o. correa disse:
SpeedyNet CEARÁ disse:
regras demais consomen processamento demais. pensem nisso ?
e esse forum nao e para descutir o ego de cada. e sim para trocar informaçoes que possam ajudar uns aos outros
vlw galera.
Grande Jhonne Jossy... sabias palavras as suas...
tenho poucas regras criadas no firewall devido somente a grandes necessidades e os demais serviços não ultilizados todos desativados....
não adianta ctrl+c ctrl+v ... tem que interpretar e entender as regras e vê se realmente vai ter alguma ulitilidade em sua rede...
excesso de regras " desnecessárias" faz o processamento da RB ficar alto, podendo ter travamentos e/ou falha nos serviços configurados...
Abraço a todos...
.
Resposta muito inteligente.
Alicson R. Miranda disse: