Gostaria de lembrar que alguns não serão compatíveis com suas verssões de mikrotik, teste e não esqueçam de fazer um backup antes, caso não gostem ou não funcione, restaurem backup e não teram problemas.
Algumas regras/script para mikrotik
# fazer backup diários.
/system script
add name=backup_diario_cw policy=\
ftp,reboot,read,write,policy,test,winbox,password source=\
"/sy ba sav name=mk_cw.backup"
# Uso em Mikrotik com Bridge, evita de passar aquele tráfego NetBIOS (compartilhamento do Windows):
0 ;;; Regras para Bloqueio de Tráfego NETBIOS
chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=tcp action=drop
1 chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=udp action=drop
2 chain=forward mac-protocol=ip dst-port=455 ip-protocol=tcp action=drop
# Bloqueio geral de DHCP, evitar de algum espertinho espetar uma ap na sua rede e sair distribuindo DHCP, lembre-se, se vc usa DHCP, creio q vai dar pra usar somente se adaptar a regra.
4 ;;; Bloqueio Geral de DHCP
chain=forward protocol=udp src-port=68 dst-port=67 action=drop
# Script para Backup
/system script
add name=Backup policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff source=\
"/system backup save name=Backup"
add name=Email policy=ftp,reboot,read,write,policy,test,winbox,password,sniff \
source="/tool e-mail send to=l2revolution-pe@hotmail.com subject=Backup_Mikr\
otik file=Backup.backup"
# Script para Agendamento
/system scheduler
add comment="" disabled=no interval=1d name=Backup on-event=Backup \
start-date=apr/06/2006 start-time=00:00:00
add comment="" disabled=no interval=1d name=Email on-event=Email start-date=\
apr/06/2006 start-time=00:01:00
# script para atualizar hora automática no mikrotik
/system ntp client set enabled=yes mode=unicast primary-ntp=200.192.232.8
# SCRIPT PARA REBOOTAR AUTOMATICAMENTE
/system script add name="reboot" source="/system reboot" policy=ftp,reboot,read,write,policy,test,winbox,password
# SCRIPT PARA BACKUP AUTOMÁTICO DO MIKROTIK
/system script add name="backup_diario" source="/sy ba sav name=mk_bkp.backup" policy=ftp,reboot,read,write,policy,test,winbox,password
# SCRIPTS PARA HABILITAR E DESABILITAR TODA A BANDA
# DESABILITA
/system script add name="queue_disable" source="/queue simple { disable [find name=LIBERA_TUDO] }" policy=ftp,reboot,read,write,policy,test,winbox,password
# SCRIPTS PARA HABILITAR E DESABILITAR TODA A BANDA
# HABILITA
/system script add name="queue_enable" source="/queue simple { enable [find name=LIBERA_TUDO] }" policy=ftp,reboot,read,write,policy,test,winbox,password
## AGENDAMENTOS ##
# AGENDAMENTO PARA REBOOT DE 15 EM 15 DIAS
/ system scheduler add name="reboot" on-event=reboot start-date=nov/15/2006 start-time=06:05:00 interval=2w1d comment="REBOOT DE 15 EM 15 DIAS" disabled=no
# AGENDAMENTO PARA BACKUP AUTOMÁTICO DE 6 EM 6 HORAS
/ system scheduler add name="backup diario" on-event=backup_diario start-date=jan/16/2007 start-time=00:00:00 interval=6h comment="CRIA BACKUP DE 6 EM 6 HORAS" disabled=no
Para adicionar comentários, você deve ser membro de MK-AUTH.
Respostas
:global ddnsuser "login"
:global ddnspass "senha"
:global ddnshost "site.ddns.info"
:global ddnsinterface "interface de entrada"
# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# END OF USER DEFINED CONFIGURATION
# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
:global ddnssystem ("mt-" . [/system package get [/system package find name=system] version] )
:global ddnsip [ /ip address get [/ip address find interface=$ddnsinterface] address ]
:global ddnslastip
:if ([:len [/interface find name=$ddnsinterface]] = 0 ) do={ :log info "DDNS: No interface named $ddnsinterface, please check configuration." }
:if ([ :typeof $ddnslastip ] = "nothing" ) do={ :global ddnslastip 0.0.0.0/0 }
:if ([ :typeof $ddnsip ] = "nothing" ) do={
:log info ("DDNS: No ip address present on " . $ddnsinterface . ", please check.")
} else={
:if ($ddnsip != $ddnslastip) do={
:log info "DDNS: Enviado UPDATE!"
:log info [ :put [/tool dns-update name=$ddnshost address=[:pick $ddnsip 0 [:find $ddnsip "/"] ] key-name=$ddnsuser key=$ddnspass ] ]
:global ddnslastip $ddnsip
} else={
:log info "DDNS: Nao Necessita Ser Alterado."
}
}
# END OF SCRIPT
obrigado
# Uso em Mikrotik com Bridge, evita de passar aquele tráfego NetBIOS (compartilhamento do Windows):
0 ;;; Regras para Bloqueio de Tráfego NETBIOS
chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=tcp action=drop
1 chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=udp action=drop
2 chain=forward mac-protocol=ip dst-port=455 ip-protocol=tcp action=drop
JOSE AUGUSTO CERA disse:
ItaNet - Internet Via Radio disse:
/tool dns-update name=SEU_DOMINIO.DDNS.INFO address=127.0.0.255 key-name=USUARIO key=SENHA
ItaNet - Internet Via Radio disse:
/interface bridge filter
Bloqueia ataques de spanning Tree, as mac´s: 01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF são padrão não mude na regra:
add action=drop chain=input comment="Spanning Tree" disabled=no \
dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
Bloqueio de Forward entre as interfaces, a interface REDE na regra é a minha ether1 que recebe o link vinda do servidor:
add action=drop chain=forward comment="Bloqueia Forward entre Redes" disabled=\
no in-interface=!Rede out-interface=!Rede
Descarta trafego de ARP espúrios (tráfego indesejado):
add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
comment="Descartando ARP espurios " disabled=no mac-protocol=arp
Bloqueia o DHCP vindo do cliente mais permite o seu DHCP funcionar, a interface wlan, é wireless que envia sinal para o cliente:
add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
in-interface=wlan ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=wlan \
ip-protocol=udp mac-protocol=ip src-port=67
Obs.: Não uso as regras para Bloqueio de Tráfego NETBIOS no Filter da Bridge na RB, realizo este bloqueio no firewall do servidor. Já cheguei a usar na RB, mais percebi que o mesmo aumentava muito o processamento e os pings ficavam um pouco mais altos. Hoje em dia desmarco tbm o connection traking do firewall já que na RB não vai ser usado.
Alexandre Porfirio Nunes disse:
Eduarlei Avelar disse: