Você está na página 1de 23

CONFIGURAO

MIKROTIK
VERIFICANDO INTERFACES

CONFIGURACAO DE IP
VC PODE PELO WINBOX SELECIONAR O MAC E ENTRAR SEM CONFIG IP NO MIKROTIK, MAS DA MUITO ERRO .
VC PODE ENTRAR NO MIK. E CONFIG MANUALMENTE O IP PRA TE DAR ACESSO A ELE. DEPOIS Q TIVER DENTRO
CONFIG A OUTRA INTERFACE.

DHCP CLIENTE

CONFIGURANDO A ROTA DEFAULT

CONFIGURANDO DNS

CONFIGURANDO NAT

AINDA COM O NAT NA MESMA JANELA

PPPOE SERVER.

Para config preciso que vc desabilite o dhcp Server. Config os ip de eth1 e eth2
Config somente o Nat e o pppoe Server.
A maquina do cliente no pegar ip em sua rede local se tentar colocar em ip
automatico.
O ip que vai ser atribudo a ele o do pppoe quando se conectar, q pode ser qualquer
um q vc inventar.
Se config ip fixo ele vai conseguir acessar se o Nat tiver habilitado. PROBLEMA
SOLUO: Deixe o Nat e o pppoe Server habilitados e v em INTERFACES,
ETHER 2 (NO CASO A LOCAL) e muda o campo ARP para REPLY-ONLY. S vai ter
acesso quem logar no PPPoE. Quem configurar ip fixo no vai conseguir nem pingar no
servidor. Alm do ip do servidor ficar mascarado.
PARA AQUELES QUE SO CADASTRADOS NO PPPOE SERVER. NO TENTEM INVADIR O
SERVIDOR.
TENHO Q DESABILITAR TELNET, SSH SERVIOS DE ACESSO REMOTOS EM GERAL.
MUDAR A SENHA, BLOQUEAR PING

Configurao. Vc pode colocar o dns para atribuir automtico tambm.

Cadastrando clientes no pppoe Server

V agora na interfaces para bloquear acessos a internet com ip fixos.

Bloqueando o FTP,ssh,telnet e ping no firewall.

Dando acesso a um determinado ip da rede

Negando o resto. O q ip q for aceito tem q vir antes da regra drop. Seno nega tudo

Controle de banda

REGRAS DO FIREWALL
=======================================================================
==============================================
0 ;;; Conexoes estabelicidas
chain=forward connection-state=established action=accept
1 ;;; Relacionamento de conexoes
chain=forward connection-state=related action=accept
2 ;;; Dropa conexoes invalidas
chain=forward connection-state=invalid action=drop
3 X ;;; Dropa exesso de ping
chain=forward protocol=icmp limit=50/5s,2 action=drop
4 ;;; Sem limite de ping
chain=forward protocol=icmp limit=50/5s,2 action=accept
5 X ;;; DROPAR ARQUIVOS .SCR
chain=input content=.scr action=drop
6 ;;; Bloqueio NETBIOS
chain=forward protocol=tcp dst-port=137-139 action=drop
7 ;;; Bloqueio NETBIOS 2
chain=forward protocol=tcp dst-port=445 action=drop
8 ;;; Bloqueia host se enxergar
chain=forward src-address=0.0.0.0 dst-address=0.0.0.0 action=drop
9 ;;; Limite de conexao P2P por clientes

chain=forward src-address=192.168.3.2 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop


10 chain=forward src-address=192.168.3.3 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
11 chain=forward src-address=192.168.3.4 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
12 chain=forward src-address=192.168.3.5 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
13 chain=forward src-address=192.168.3.6 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
14 chain=forward src-address=192.168.3.7 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
15 chain=forward src-address=192.168.3.8 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
16 chain=forward src-address=192.168.3.9 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
17 chain=forward src-address=192.168.3.10 protocol=tcp p2p=all-p2p connection-limit=3,32 action=drop
18 ;;; Limite de conexao por cliente
chain=forward src-address=192.168.3.2 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
19 chain=forward src-address=192.168.3.3 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
20 chain=forward src-address=192.168.3.4 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
21 chain=forward src-address=192.168.3.5 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
22 chain=forward src-address=192.168.3.6 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
23 chain=forward src-address=192.168.3.7 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
24 chain=forward src-address=192.168.3.8 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
25 chain=forward src-address=192.168.3.9 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
26 chain=forward src-address=192.168.3.10 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
27 chain=forward src-address=192.168.3.11 protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
28 ;;; Bloqueia scan via winbox para todos
chain=input protocol=udp dst-port=5678 action=drop
29 ;;; Libera winbox para ips locais
chain=input src-address=192.168.2.2 protocol=tcp dst-port=8291 action=accept
30 chain=input src-address=192.168.2.4 protocol=tcp dst-port=8291 action=accept
31 chain=input src-address=192.168.2.3 protocol=tcp dst-port=8291 action=accept
32 ;;; Libera portas FTP SSH TELNET para ips locais
chain=input src-address=192.168.2.2 protocol=tcp dst-port=21-23 action=accept
33 chain=input src-address=192.168.2.3 protocol=tcp dst-port=21-23 action=accept
34 chain=input src-address=192.168.2.4 protocol=tcp dst-port=21-23 action=accept
35 ;;; Bloqueia porta winbox range local
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=8291 action=drop
36 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=8291 action=drop
37 ;;; Bloqueia portas FTP SSH TELNET
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=21-23 action=drop
38 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=21-23 action=drop
39 ;;; Bloqueio MAC winbox
chain=input src-address=192.168.2.0/24 protocol=tcp dst-port=20561 action=drop
40 chain=input src-address=192.168.3.0/24 protocol=tcp dst-port=20561 action=drop
41 ;;; Bloqueio do proxy externo
chain=input in-interface=LINK protocol=tcp dst-port=3128 action=drop
42 ;;; bloqueio de ssh externo
chain=input in-interface=LINK protocol=tcp dst-port=22-23 action=drop
43 ;;; bloqueio de ftp externo
chain=input in-interface=LINK protocol=tcp dst-port=21 action=drop
44 ;;; bloqueio de telnet externo
chain=input in-interface=LINK protocol=tcp dst-port=23 action=drop

45 X ;;; Bloqueio winbox externo


chain=input in-interface=LINK protocol=tcp dst-port=8291 action=drop
46 ;;; bloqueio do DNS externo
chain=input in-interface=LINK protocol=tcp dst-port=53 action=drop
47 chain=input in-interface=LINK protocol=udp dst-port=53 action=drop
48 ;;; bloqueio de VIRUS conhecidos
chain=virus protocol=tcp dst-port=445 action=drop
49 chain=virus protocol=udp dst-port=445 action=drop
50 chain=virus protocol=tcp dst-port=593 action=drop
51 chain=virus protocol=tcp dst-port=1080 action=drop
52 chain=virus protocol=tcp dst-port=1363 action=drop
53 chain=virus protocol=tcp dst-port=1364 action=drop
54 chain=virus protocol=tcp dst-port=1373 action=drop
55 chain=virus protocol=tcp dst-port=1377 action=drop
56 chain=virus protocol=tcp dst-port=1368 action=drop
57 chain=virus protocol=tcp dst-port=1433-1434 action=drop
58 chain=virus protocol=tcp dst-port=1024-1030 action=drop
59 chain=virus protocol=tcp dst-port=1214 action=drop
60 ;;; Drop Blaster Worm
chain=virus protocol=tcp dst-port=135-139 action=drop
61 ;;; Drop Messenger Worm
chain=virus protocol=udp dst-port=135-139 action=drop
62 ;;; Drop Blaster Worm
chain=virus protocol=tcp dst-port=445 action=drop
63 ;;; Drop Blaster Worm
chain=virus protocol=udp dst-port=445 action=drop
64 ;;; ________
chain=virus protocol=tcp dst-port=593 action=drop
65 ;;; ________
chain=virus protocol=tcp dst-port=1024-1030 action=drop
66 ;;; Drop MyDoom
chain=virus protocol=tcp dst-port=1080 action=drop
67 ;;; ________
chain=virus protocol=tcp dst-port=1214 action=drop
68 ;;; ndm requester
chain=virus protocol=tcp dst-port=1363 action=drop
69 ;;; ndm server
chain=virus protocol=tcp dst-port=1364 action=drop
70 ;;; screen cast
chain=virus protocol=tcp dst-port=1368 action=drop
71 ;;; hromgrafx
chain=virus protocol=tcp dst-port=1373 action=drop
72 ;;; cichlid
chain=virus protocol=tcp dst-port=1377 action=drop
73 ;;; Worm
chain=virus protocol=tcp dst-port=1433-1434 action=drop
74 ;;; Bagle Virus
chain=virus protocol=tcp dst-port=2745 action=drop
75 ;;; Drop Dumaru.Y
chain=virus protocol=tcp dst-port=2283 action=drop

76 ;;; Drop Beagle


chain=virus protocol=tcp dst-port=2535 action=drop
77 ;;; Drop Beagle.C-K
chain=virus protocol=tcp dst-port=2745 action=drop
78 ;;; Drop porta proxy
chain=virus protocol=tcp dst-port=3127-3128 action=drop
79 ;;; Drop Backdoor OptixPro
chain=virus protocol=tcp dst-port=3410 action=drop
80 ;;; Worm
chain=virus protocol=tcp dst-port=4444 action=drop
81 ;;; Worm
chain=virus protocol=udp dst-port=4444 action=drop
82 ;;; Drop Sasser
chain=virus protocol=tcp dst-port=5554 action=drop
83 ;;; Drop Beagle.B
chain=virus protocol=tcp dst-port=8866 action=drop
84 ;;; Drop Dabber.A-B
chain=virus protocol=tcp dst-port=9898 action=drop
85 ;;; Drop Dumaru.Y
chain=virus protocol=tcp dst-port=10000 action=drop
86 ;;; Drop MyDoom.B
chain=virus protocol=tcp dst-port=10080 action=drop
87 ;;; Drop NetBus
chain=virus protocol=tcp dst-port=12345 action=drop
88 ;;; Drop Kuang2
chain=virus protocol=tcp dst-port=17300 action=drop
89 ;;; Drop SubSeven
chain=virus protocol=tcp dst-port=27374 action=drop
90 ;;; Drop PhatBot, Agobot, Gaobot
chain=virus protocol=tcp dst-port=65506 action=drop

BLOQUEIO E LIBERACAO DE PORTAS

SERVIDOR DHCP

AMARRANDO O IP NO MAC

WEB-PROXY
Fica configurado os dois mascarede e redirect

REDIRECIONANDO PORTA NO NAT. Para funcionar com o pppoe Server tem q ter esse !

BLOQUEANDO SITES

Obs.:
O hotspot cria automaticamente um server dhcp e funciona junto com webproxy.
O pppoe Server funciona com webproxy tambm. Com ip fixo sem o ! sem ip com o discador com o !
NO se deve fazer CACHE de PGINAS DINMICAS (bancos, globo.com, etc etc...)
Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse efeito:
IP / WEB-PROXY / CACHE
Crie uma nova regra (boto +)
add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" disabled=no
add url="https://" action=deny comment="no cache dynamic https pages" disabled=no
interessante realizar uma regra para cada interface de assinantes. Neste caso como possuo
duas interfaces (LAN/WLAN), criei duas regras, uma para cada interface.
importante criar uma regra de bloqueio externo ao web-proxy. Caso voc no crie esta regra,
ela sobrecarregar o seu proxy, travando at mesmo seu servido. Siga abaixo:

Acesse o menu IP, FIREWALL, FILTER RULES

HABILITAR GRAFICOS DE TRAFEGOS

MUDANDO PORTA