Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Configuracao Mikrotik

    Enviado por

    Marcos Garrido
    174 visualizações23 páginas
    1) O documento fornece instruções para configurar interfaces de rede, IP, DHCP, DNS, NAT, firewall e PPPOE server em um roteador Mikrotik. 2) Inclui detalhes sobre como restringir acessos à internet por IP fixo e permitir apenas para usuários autenticados no servidor PPPOE. 3) Também fornece regras de firewall para bloquear portas e serviços conhecidos, além de limitar tráfego P2P e número de conexões por cliente.

    Descrição original:

    Título original

    CONFIGURACAO MIKROTIK

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    DOC, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    1) O documento fornece instruções para configurar interfaces de rede, IP, DHCP, DNS, NAT, firewall e PPPOE server em um roteador Mikrotik. 2) Inclui detalhes sobre como restringir acessos à internet por IP fixo e permitir apenas para usuários autenticados no servidor PPPOE. 3) Também fornece regras de firewall para bloquear portas e serviços conhecidos, além de limitar tráfego P2P e número de conexões por cliente.

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    174 visualizações23 páginas

    Configuracao Mikrotik

    Enviado por

    Marcos Garrido
    1) O documento fornece instruções para configurar interfaces de rede, IP, DHCP, DNS, NAT, firewall e PPPOE server em um roteador Mikrotik. 2) Inclui detalhes sobre como restringir acessos à internet por IP fixo e permitir apenas para usuários autenticados no servidor PPPOE. 3) Também fornece regras de firewall para bloquear portas e serviços conhecidos, além de limitar tráfego P2P e número de conexões por cliente.

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 23

    CONFIGURAO

    MIKROTIK
    VERIFICANDO INTERFACES

    CONFIGURACAO DE IP
    VC PODE PELO WINBOX SELECIONAR O MAC E ENTRAR SEM CONFIG IP NO MIKROTIK, MAS DA MUITO ERRO .
    VC PODE ENTRAR NO MIK. E CONFIG MANUALMENTE O IP PRA TE DAR ACESSO A ELE. DEPOIS Q TIVER DENTRO
    CONFIG A OUTRA INTERFACE.

    DHCP CLIENTE

    CONFIGURANDO A ROTA DEFAULT

    CONFIGURANDO DNS

    CONFIGURANDO NAT

    AINDA COM O NAT NA MESMA JANELA

    PPPOE SERVER.

    Para config preciso que vc desabilite o dhcp Server. Config os ip de eth1 e eth2
    Config somente o Nat e o pppoe Server.
    A maquina do cliente no pegar ip em sua rede local se tentar colocar em ip
    automatico.
    O ip que vai ser atribudo a ele o do pppoe quando se conectar, q pode ser qualquer
    um q vc inventar.
    Se config ip fixo ele vai conseguir acessar se o Nat tiver habilitado. PROBLEMA
    SOLUO: Deixe o Nat e o pppoe Server habilitados e v em INTERFACES,
    ETHER 2 (NO CASO A LOCAL) e muda o campo ARP para REPLY-ONLY. S vai ter
    acesso quem logar no PPPoE. Quem configurar ip fixo no vai conseguir nem pingar no
    servidor. Alm do ip do servidor ficar mascarado.
    PARA AQUELES QUE SO CADASTRADOS NO PPPOE SERVER. NO TENTEM INVADIR O
    SERVIDOR.
    TENHO Q DESABILITAR TELNET, SSH SERVIOS DE ACESSO REMOTOS EM GERAL.
    MUDAR A SENHA, BLOQUEAR PING

    Configurao. Vc pode colocar o dns para atribuir automtico tambm.

    Cadastrando clientes no pppoe Server

    V agora na interfaces para bloquear acessos a internet com ip fixos.

    Bloqueando o FTP,ssh,telnet e ping no firewall.

    Dando acesso a um determinado ip da rede

    Negando o resto. O q ip q for aceito tem q vir antes da regra drop. Seno nega tudo

    Controle de banda

    REGRAS DO FIREWALL
    =======================================================================
    ==============================================
    0 ;;; Conexoes estabelicidas
    chain=forward connection-state=established action=accept
    1 ;;; Relacionamento de conexoes
    chain=forward connection-state=related action=accept
    2 ;;; Dropa conexoes invalidas
    chain=forward connection-state=invalid action=drop
    3 X ;;; Dropa exesso de ping
    chain=forward protocol=icmp limit=50/5s,2 action=drop
    4 ;;; Sem limite de ping
    chain=forward protocol=icmp limit=50/5s,2 action=accept
    5 X ;;; DROPAR ARQUIVOS .SCR
    chain=input content=.scr action=drop
    6 ;;; Bloqueio NETBIOS
    chain=forward protocol=tcp dst-port=137-139 action=drop
    7 ;;; Bloqueio NETBIOS 2
    chain=forward protocol=tcp dst-port=445 action=drop
    8 ;;; Bloqueia host se enxergar
    chain=forward src-address=0.0.0.0 dst-address=0.0.0.0 action=drop
    9 ;;; Limite de conexao P2P por clientes

    chain=forward src-address=192.168.3.2 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop


    10 chain=forward src-address=192.168.3.3 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    11 chain=forward src-address=192.168.3.4 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    12 chain=forward src-address=192.168.3.5 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    13 chain=forward src-address=192.168.3.6 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    14 chain=forward src-address=192.168.3.7 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    15 chain=forward src-address=192.168.3.8 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    16 chain=forward src-address=192.168.3.9 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    17 chain=forward src-address=192.168.3.10 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
    18 ;;; Limite de conexao por cliente
    chain=forward src-address=192.168.3.2 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    19 chain=forward src-address=192.168.3.3 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    20 chain=forward src-address=192.168.3.4 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    21 chain=forward src-address=192.168.3.5 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    22 chain=forward src-address=192.168.3.6 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    23 chain=forward src-address=192.168.3.7 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    24 chain=forward src-address=192.168.3.8 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    25 chain=forward src-address=192.168.3.9 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    26 chain=forward src-address=192.168.3.10 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    27 chain=forward src-address=192.168.3.11 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
    28 ;;; Bloqueia scan via winbox para todos
    chain=input protocol=udp dst-port=5678 action=drop
    29 ;;; Libera winbox para ips locais
    chain=input src-address=192.168.2.2 protocol=tcp dst-port=8291 action=accept
    30 chain=input src-address=192.168.2.4 protocol=tcp dst-port=8291 action=accept
    31 chain=input src-address=192.168.2.3 protocol=tcp dst-port=8291 action=accept
    32 ;;; Libera portas FTP SSH TELNET para ips locais
    chain=input src-address=192.168.2.2 protocol=tcp dst-port=21-23 action=accept
    33 chain=input src-address=192.168.2.3 protocol=tcp dst-port=21-23 action=accept
    34 chain=input src-address=192.168.2.4 protocol=tcp dst-port=21-23 action=accept
    35 ;;; Bloqueia porta winbox range local
    chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=8291 action=drop
    36 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=8291 action=drop
    37 ;;; Bloqueia portas FTP SSH TELNET
    chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=21-23 action=drop
    38 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=21-23 action=drop
    39 ;;; Bloqueio MAC winbox
    chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=20561 action=drop
    40 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=20561 action=drop
    41 ;;; Bloqueio do proxy externo
    chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop
    42 ;;; bloqueio de ssh externo
    chain=input in-interface=LINK protocol=tcp dst-port=22-23 action=drop
    43 ;;; bloqueio de ftp externo
    chain=input in-interface=LINK protocol=tcp dst-port=21 action=drop
    44 ;;; bloqueio de telnet externo
    chain=input in-interface=LINK protocol=tcp dst-port=23 action=drop

    45 X ;;; Bloqueio winbox externo


    chain=input in-interface=LINK protocol=tcp dst-port=8291 action=drop
    46 ;;; bloqueio do DNS externo
    chain=input in-interface=LINK protocol=tcp dst-port=53 action=drop
    47 chain=input in-interface=LINK protocol=udp dst-port=53 action=drop
    48 ;;; bloqueio de VIRUS conhecidos
    chain=virus protocol=tcp dst-port=445 action=drop
    49 chain=virus protocol=udp dst-port=445 action=drop
    50 chain=virus protocol=tcp dst-port=593 action=drop
    51 chain=virus protocol=tcp dst-port=1080 action=drop
    52 chain=virus protocol=tcp dst-port=1363 action=drop
    53 chain=virus protocol=tcp dst-port=1364 action=drop
    54 chain=virus protocol=tcp dst-port=1373 action=drop
    55 chain=virus protocol=tcp dst-port=1377 action=drop
    56 chain=virus protocol=tcp dst-port=1368 action=drop
    57 chain=virus protocol=tcp dst-port=1433-1434 action=drop
    58 chain=virus protocol=tcp dst-port=1024-1030 action=drop
    59 chain=virus protocol=tcp dst-port=1214 action=drop
    60 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=135-139 action=drop
    61 ;;; Drop Messenger Worm
    chain=virus protocol=udp dst-port=135-139 action=drop
    62 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=445 action=drop
    63 ;;; Drop Blaster Worm
    chain=virus protocol=udp dst-port=445 action=drop
    64 ;;; ________
    chain=virus protocol=tcp dst-port=593 action=drop
    65 ;;; ________
    chain=virus protocol=tcp dst-port=1024-1030 action=drop
    66 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=1080 action=drop
    67 ;;; ________
    chain=virus protocol=tcp dst-port=1214 action=drop
    68 ;;; ndm requester
    chain=virus protocol=tcp dst-port=1363 action=drop
    69 ;;; ndm server
    chain=virus protocol=tcp dst-port=1364 action=drop
    70 ;;; screen cast
    chain=virus protocol=tcp dst-port=1368 action=drop
    71 ;;; hromgrafx
    chain=virus protocol=tcp dst-port=1373 action=drop
    72 ;;; cichlid
    chain=virus protocol=tcp dst-port=1377 action=drop
    73 ;;; Worm
    chain=virus protocol=tcp dst-port=1433-1434 action=drop
    74 ;;; Bagle Virus
    chain=virus protocol=tcp dst-port=2745 action=drop
    75 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=2283 action=drop

    76 ;;; Drop Beagle


    chain=virus protocol=tcp dst-port=2535 action=drop
    77 ;;; Drop Beagle.C-K
    chain=virus protocol=tcp dst-port=2745 action=drop
    78 ;;; Drop porta proxy
    chain=virus protocol=tcp dst-port=3127-3128 action=drop
    79 ;;; Drop Backdoor OptixPro
    chain=virus protocol=tcp dst-port=3410 action=drop
    80 ;;; Worm
    chain=virus protocol=tcp dst-port=4444 action=drop
    81 ;;; Worm
    chain=virus protocol=udp dst-port=4444 action=drop
    82 ;;; Drop Sasser
    chain=virus protocol=tcp dst-port=5554 action=drop
    83 ;;; Drop Beagle.B
    chain=virus protocol=tcp dst-port=8866 action=drop
    84 ;;; Drop Dabber.A-B
    chain=virus protocol=tcp dst-port=9898 action=drop
    85 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=10000 action=drop
    86 ;;; Drop MyDoom.B
    chain=virus protocol=tcp dst-port=10080 action=drop
    87 ;;; Drop NetBus
    chain=virus protocol=tcp dst-port=12345 action=drop
    88 ;;; Drop Kuang2
    chain=virus protocol=tcp dst-port=17300 action=drop
    89 ;;; Drop SubSeven
    chain=virus protocol=tcp dst-port=27374 action=drop
    90 ;;; Drop PhatBot, Agobot, Gaobot
    chain=virus protocol=tcp dst-port=65506 action=drop

    BLOQUEIO E LIBERACAO DE PORTAS

    SERVIDOR DHCP

    AMARRANDO O IP NO MAC

    WEB-PROXY
    Fica configurado os dois mascarede e redirect

    REDIRECIONANDO PORTA NO NAT. Para funcionar com o pppoe Server tem q ter esse !

    BLOQUEANDO SITES

    Obs.:
    O hotspot cria automaticamente um server dhcp e funciona junto com webproxy.
    O pppoe Server funciona com webproxy tambm. Com ip fixo sem o ! sem ip com o discador com o !
    NO se deve fazer CACHE de PGINAS DINMICAS (bancos, globo.com, etc etc...)
    Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse efeito:
    IP / WEB-PROXY / CACHE
    Crie uma nova regra (boto +)
    add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" disabled=no
    add url="https://" action=deny comment="no cache dynamic https pages" disabled=no
    interessante realizar uma regra para cada interface de assinantes. Neste caso como possuo
    duas interfaces (LAN/WLAN), criei duas regras, uma para cada interface.
    importante criar uma regra de bloqueio externo ao web-proxy. Caso voc no crie esta regra,
    ela sobrecarregar o seu proxy, travando at mesmo seu servido. Siga abaixo:

    Acesse o menu IP, FIREWALL, FILTER RULES

    HABILITAR GRAFICOS DE TRAFEGOS

    MUDANDO PORTA

    Você também pode gostar