02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki

Manual:IP/Firewall/Filtro
< Manual:IP ‎| Firewall
Aviso: Este manual foi movido para https://help.mikrotik.com/docs/display/ROS/Filter

Conteúdo
Resumo
Correntes
Propriedades
Estatísticas
Comandos específicos do menu
Exemplos básicos
CLI distintivo
Proteção do roteador
Proteção do cliente
Proteção de força bruta
Gerenciamento de largura de banda

Resumo
Submenu: /ip firewall filter

O firewall implementa filtragem de pacotes e, portanto, fornece funções de segurança usadas para gerenciar o fluxo de
dados de, para e através do roteador. Juntamente com a Tradução de Endereços de Rede, serve como uma ferramenta
para impedir o acesso não autorizado a redes diretamente conectadas e ao próprio roteador, bem como um filtro para o
tráfego de saída.

Os firewalls de rede mantêm as ameaças externas longe dos dados confidenciais disponíveis na rede. Sempre que
diferentes redes são unidas, há sempre a ameaça de que alguém de fora da sua rede invada a sua LAN. Essas invasões
podem resultar no roubo e distribuição de dados privados, na alteração ou destruição de dados valiosos ou no apagamento
completo de discos rígidos. Os firewalls são usados ​como meio de prevenir ou minimizar os riscos de segurança inerentes à
conexão com outras redes. O firewall configurado corretamente desempenha um papel fundamental na implantação
eficiente e segura da infraestrutura de rede.

MikroTik RouterOS possui uma implementação de firewall muito poderosa com recursos que incluem:

inspeção de pacotes com estado

Detecção de protocolo da camada 7
filtragem de protocolos ponto a ponto
classificação de tráfego por:
endereço MAC de origem
Endereços IP (rede ou lista) e tipos de endereço (broadcast, local, multicast, unicast)
porta ou intervalo de portas
Protocolos IP
opções de protocolo (campos de tipo e código ICMP, sinalizadores TCP, opções de IP e MSS)
interface pela qual o pacote chegou ou saiu
fluxo interno e marcas de conexão
byte DSCP
conteúdo do pacote

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 1/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki

taxa na qual os pacotes chegam e números de sequência

tamanho do pacote
hora de chegada do pacote
e muito mais!

Correntes
O firewall opera por meio de regras de firewall. Cada regra consiste em duas partes – o matcher que compara o fluxo de
tráfego com determinadas condições e a ação que define o que fazer com o pacote correspondido.

As regras de filtragem de firewall são agrupadas em cadeias. Ele permite que um pacote seja comparado com um critério
comum em uma cadeia e então passado para processamento com base em algum outro critério comum para outra
cadeia. Por exemplo, um pacote deve ser comparado ao par endereço IP:porta. Claro, isso poderia ser conseguido
adicionando quantas regras com correspondência de endereço IP:porta forem necessárias para a cadeia de
encaminhamento, mas uma maneira melhor poderia ser adicionar uma regra que corresponda ao tráfego de um endereço
IP específico, por exemplo: filtro de firewall /ip adicione src-address=1.1.1.2/32 jump-target="mychain" e, em caso de
correspondência bem-sucedida, passe o controle do pacote IP para alguma outra cadeia, id est mychain neste
exemplo. Em seguida, regras que executam correspondência em portas separadas podem ser adicionadas à cadeia
mychain sem especificar os endereços IP.

Existem três cadeias predefinidas, que não podem ser excluídas:

entrada - usada para processar pacotes que entram no roteador através de uma das interfaces com o endereço
IP de destino que é um dos endereços do roteador. Os pacotes que passam pelo roteador não são
processados ​de acordo com as regras da cadeia de entrada
forward - usado para processar pacotes que passam pelo roteador
saída - usada para processar pacotes originados do roteador e saindo por uma das interfaces. Os pacotes que
passam pelo roteador não são processados ​de acordo com as regras da cadeia de saída

Os diagramas de fluxo de pacotes ilustram como os pacotes são processados ​no RouterOS.

Ao processar uma cadeia, as regras são retiradas da cadeia na ordem em que são listadas, de cima para baixo. Se um
pacote corresponder aos critérios da regra, então a ação especificada será executada nele e nenhuma outra regra será
processada nessa cadeia (a exceção é a ação de passagem). Se um pacote não corresponder a nenhuma regra da cadeia
integrada, ele será aceito.

Propriedades
Propriedade Descrição
ação ( nome da ação ; Padrão: aceitar ) Ação a ser tomada se o pacote corresponder à
regra:

aceitar - aceita o pacote. O pacote não

é passado para a próxima regra de
firewall.
add-dst-to-address-list - adiciona o
endereço de destino à lista de
endereços especificada
pelo address-listparâmetro
add-src-to-address-list - adiciona o
endereço de origem à lista de
endereços especificada
pelo address-listparâmetro
drop - descarta silenciosamente o
pacote
fasttrack-connection - processa
pacotes de uma conexão usando
FastPath habilitando FastTrack para a
conexão
jump - salta para a cadeia definida pelo
usuário especificada pelo valor

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 2/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
do jump-targetparâmetro
log - adiciona uma mensagem ao log
do sistema contendo os seguintes
dados: in-interface, out-interface, src-
mac, protocol, src-ip:port->dst-ip:port e
comprimento do pacote. Depois que o
pacote é correspondido, ele é passado
para a próxima regra na lista,
semelhante apassthrough
passagem - se o pacote corresponder à
regra, aumente o contador e vá para a
próxima regra (útil para estatísticas)
rejeitar - descarta o pacote e envia
uma mensagem de rejeição ICMP
return - passa o controle de volta para a
cadeia de onde ocorreu o salto
tarpit - captura e mantém conexões
TCP (responde com SYN/ACK ao
pacote TCP SYN de entrada)

timeout da lista de endereços ( nenhum
| tempo ; Padrão: nenhum dinâmico )
dinâmico | nenhum estático
Intervalo de tempo após o qual o endereço será
removido da lista de endereços especificada
pelo address-listparâmetro. Usado em
conjunto com add-dst-to-address-
listou add-src-to-address-listações

O valor de none-dynamic ( 00:00:00)

deixará o endereço na lista de
endereços até a reinicialização
O valor não estático deixará o endereço
na lista de endereços para sempre e
será incluído na configuração de
exportação/backup

cadeia ( nome ; Padrão:) Especifica a qual regra de cadeia será

adicionada. Se a entrada não corresponder ao
nome de uma cadeia já definida, uma nova cadeia
será criada.
comentário ( string ; Padrão:) Comentário descritivo da regra.

cadeia ( nome ; Padrão:) Especifica a qual regra de cadeia será

adicionada. Se a entrada não corresponder ao
nome de uma cadeia já definida, uma nova cadeia
será criada.
comentário ( string ; Padrão:) Comentário descritivo da regra.

bytes de conexão ( inteiro-inteiro ; Padrão:) Corresponde pacotes somente se uma

determinada quantidade de bytes tiver sido
transferida por meio de uma conexão específica. 0
- significa infinito, por exemplo connection-
bytes=2000000-0significa que a regra
corresponde se mais de 2 MB foram transferidos
através da conexão relevante

limite de conexão ( integer,netmask ; Padrão:) Corresponde conexões por endereço ou bloco de

marca de conexão ( sem
endereço após determinado valor ser
atingido. Deve ser usado junto com connection-
state=new e/ou com tcp-flags=syn porque o
matcher consome muitos recursos.
marca | string ; Padrão:) Corresponde pacotes marcados através do
recurso mangle com uma marca de conexão
específica. Se nenhuma marca for definida, a

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 3/12
02/09/2023, 18:14
conexão-nat-state ( srcnat | dstnat ; Padrão:)
taxa de conexão ( Inteiro
estado da conexão ( estabelecido
rastreado ; Padrão:)
tipo de conexão ( ftp | h323 | irc | pptp | quake3 | sip | tftp ; Padrão:)
conteúdo ( string ; Padrão:)
dscp ( inteiro: 0..63 ; Padrão:)
endereço dst ( IP/máscara
lista de endereços dst ( nome
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Manual:IP/Firewall/Filtro - MikroTik Wiki
0..4294967295 ; Padrão:)
| inválido | novo | relacionado | não
de rede | intervalo de IP ; Padrão:)
; Padrão:)
regra corresponderá a qualquer conexão não
marcada.
Pode corresponder a conexões srcnatted,
dstnatted ou ambas. Observe que connection-
state=conexões relacionadas connection-nat-state
é determinado pela direção do primeiro pacote. e
se o rastreamento de conexão precisar usar dst-
nat para entregar esta conexão aos mesmos hosts
da conexão principal, ele estará em connection-
nat-state=dstnat mesmo se não houver nenhuma
regra dst-nat.
Taxa de conexão é um matcher de firewall que
permite capturar tráfego com base na velocidade
atual da conexão. Leia mais >>
Interpreta os dados de análise de rastreamento de
conexão para um pacote específico:
estabelecido - um pacote que pertence
a uma conexão existente
inválido - um pacote que não possui
estado determinado no rastreamento
de conexão (geralmente - pacotes
gravemente fora de ordem, pacotes
com número de sequência/ack
incorreto ou em caso de uso excessivo
de recursos no roteador), por esse
motivo o pacote inválido não participará
em NAT (como apenas connection-
state=new pacotes fazem) e ainda
conterá o endereço IP de origem
original quando roteado. Sugerimos
fortemente descartar todos os pacotes
connection-state=invalid no filtro de
firewall para frente e nas cadeias de
entrada
novo - o pacote iniciou uma nova
conexão ou está associado a uma
conexão que não viu pacotes em
ambas as direções.
relacionado - um pacote que está
relacionado, mas não faz parte de uma
conexão existente, como erros ICMP ou
um pacote que inicia a conexão de
dados FTP
untracked - pacote que foi configurado
para ignorar o rastreamento de
conexão nas tabelas RAW do firewall .
Corresponde pacotes de conexões relacionadas
com base nas informações de seus auxiliares de
rastreamento de conexão. Um auxiliar de conexão
relevante deve ser habilitado em /ip firewall
service-port
Corresponder pacotes que contêm texto
especificado
Corresponde ao campo do cabeçalho IP DSCP.
Corresponde aos pacotes cujo destino é igual ao
IP especificado ou se enquadra no intervalo de IP
especificado.
Corresponde o endereço de destino de um pacote
4/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
com a lista de endereços definida pelo usuário
tipo de endereço dst ( unicast | local | broadcast | multicast ; Padrão:) Corresponde ao tipo de endereço de destino:

unicast - endereço IP usado para

transmissão ponto a ponto
local - se o endereço dst estiver
atribuído a uma das interfaces do
roteador
broadcast - o pacote é enviado para
todos os dispositivos na sub-rede
multicast - o pacote é encaminhado
para um grupo definido de dispositivos

dst-limit ( integer[/time],integer,dst-address
address[/time] ; Padrão:)
| dst-port | src-
Corresponde pacotes até que uma determinada
taxa seja excedida. A taxa é definida como
pacotes por intervalo de tempo. Ao contrário do
matcher de limite , cada fluxo tem seu próprio
limite. O fluxo é definido pelo parâmetro de
modo. Os parâmetros são escritos no seguinte
formato: count[/time],burst,mode[/expire].

contagem - contagem de pacotes por

intervalo de tempo por fluxo para
corresponder
time - especifica o intervalo de tempo
em que a contagem de pacotes por
fluxo não pode ser excedida (opcional,
1s será usado se não for especificado)
burst - número inicial de pacotes por
fluxo para corresponder: esse número é
recarregado em um a
cada time/ count, até esse número
mode - este parâmetro especifica
quais campos exclusivos definem o
fluxo (endereço src, endereço dst,
endereço src e dst, endereço dst e
porta, endereços e porta dst)
expirar - especifica o intervalo após o
qual o fluxo sem pacotes poderá ser
excluído (opcional)

dst-port ( inteiro[-inteiro]: 0..65535 ; Padrão:) Lista de números de porta de destino ou intervalos

de números de porta
fragmento ( sim|não ; Padrão:) Corresponde a pacotes fragmentados. O primeiro
fragmento (inicial) não conta. Se o rastreamento
de conexão estiver ativado, não haverá
fragmentos, pois o sistema monta
automaticamente cada pacote
hotspot ( auth | from-client | http | local-dst | to-client ; Padrão:) Corresponde pacotes recebidos de clientes
HotSpot com vários matchers HotSpot.

auth - corresponde a pacotes de

clientes HotSpot autenticados
from-client - corresponde aos pacotes
que vêm do cliente HotSpot
http - corresponde às solicitações
HTTP enviadas ao servidor HotSpot
local-dst - corresponde aos pacotes
destinados ao servidor HotSpot
to-client - corresponde aos pacotes
que são enviados para o cliente
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 5/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
HotSpot

opções icmp ( integer:integer ; Padrão:) Corresponde ao tipo ICMP: campos de código

in-bridge-port ( nome ; Padrão:) Interface real: o pacote entrou no roteador, se a

in-bridge-port-list ( nome
interface de entrada for bridge. Funciona apenas
se use-ip-firewall estiver habilitado nas
configurações da ponte.
; Padrão:) Conjunto de interfaces definidas na lista de
interfaces . Funciona da mesma forma
que in-bridge-port

in-interface ( nome ; Padrão:) Interface o pacote entrou no roteador

lista na interface ( nome ; Padrão:) Conjunto de interfaces definidas na lista de

prioridade de entrada ( inteiro: 0..63
política ipsec ( entrada
interfaces . Funciona da mesma forma
que na interface
; Padrão:) Corresponde à prioridade de um pacote de
entrada. A prioridade pode ser derivada do bit
VLAN, WMM, DSCP ou MPLS EXP. consulte Mais
informação"
| saída, ipsec | nenhum ; Padrão:) Corresponde à política usada pelo IpSec. O valor é
escrito no seguinte formato: direction,
policy. A direção é usada para selecionar se
corresponde à política usada para
desencapsulamento ou à política que será usada
para encapsulamento.
in - válido nas cadeias PREROUTING, INPUT
e FORWARD
out - válido nas cadeias POSTROUTING,
OUTPUT e FORWARD

ipsec - corresponde se o pacote está sujeito ao

processamento IpSec;
nenhum - corresponde ao pacote que não está
sujeito ao processamento IpSec (por exemplo,
pacote de transporte IpSec).

Por exemplo, se o roteador receber um pacote

Gre encapsulado em Ipsec, a regra ipsec-
policy=in,ipseccorresponderá ao pacote Gre,
mas a regra ipsec-
policy=in,nonecorresponderá ao pacote ESP.

opções ipv4 ( qualquer | roteamento de fonte solta | rota sem registro Corresponde às opções de cabeçalho IPv4.
| alerta sem roteador | roteamento sem fonte | sem carimbo de data
e hora | nenhum | rota de registro | alerta de roteador | roteamento qualquer - combina o pacote com pelo
de origem estrita | carimbo de data/hora ; Padrão:) menos uma das opções ipv4
loose-source-routing - combina pacotes
com opção de roteamento de fonte
solta. Esta opção é usada para rotear o
datagrama da Internet com base nas
informações fornecidas pela fonte
no-record-route - combina pacotes sem
opção de rota de registro. Esta opção é
usada para rotear o datagrama da
Internet com base nas informações
fornecidas pela fonte
no-router-alert - combina pacotes sem
opção de alteração de roteador
no-source-routing - combina pacotes
sem opção de roteamento de origem

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 6/12
02/09/2023, 18:14
alvo de salto ( nome
protocolo layer7 ( nome
limite ( inteiro,tempo,inteiro
prefixo de log ( string
nth ( inteiro,inteiro ; Padrão:)
out-bridge-port ( nome
out-bridge-port-list ( nome
interface externa (; Padrão:)
out-interface-list ( nome
marca de pacote ( sem
tamanho do pacote ( inteiro[-inteiro]:0..65535
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Manual:IP/Firewall/Filtro - MikroTik Wiki
no-timestamp - combina pacotes sem
opção de timestamp
record-route - combina pacotes com
opção de rota de registro
alerta do roteador - combina pacotes
com a opção de alteração do roteador
roteamento de origem estrito - combina
pacotes com opção de roteamento de
origem estrito
timestamp - combina pacotes com
timestamp
; Padrão:) Nome da cadeia de destino para a qual
saltar. Aplicável apenas seaction=jump
; Padrão:) Nome do filtro Layer7 definido no menu do
protocolo Layer7 .
; Padrão:) Corresponde pacotes até uma taxa limitada (taxa
de pacotes ou taxa de bits). A regra que usa este
matcher corresponderá até que esse limite seja
atingido. Os parâmetros são escritos no seguinte
formato: count[/time],burst:mode.
contagem - contagem de pacotes ou
bits por intervalo de tempo
correspondente
time - especifica o intervalo de tempo
no qual a contagem de pacotes ou bits
não pode ser excedida (opcional, 1s
será usado se não for especificado)
burst - número inicial de pacotes ou
bits correspondentes: esse número é
recarregado a cada 10 ms, portanto o
burst deve ser de pelo menos 1/100 da
taxa por segundo
modo - modo pacote ou bit
; Padrão:) Adiciona o texto especificado no início de cada
mensagem de log. Aplicável seaction=log
Corresponde a cada enésimo pacote. Leia mais
>>
; Padrão:) Interface real: o pacote está saindo do roteador, se
a interface de saída for bridge. Funciona apenas
se use-ip-firewall estiver habilitado nas
configurações da ponte.
; Padrão:) Conjunto de interfaces definidas na lista de
interfaces . Funciona da mesma forma
que out-bridge-port
Interface o pacote está saindo do roteador
; Padrão:) Conjunto de interfaces definidas na lista de
interfaces . Funciona da mesma forma
que a interface externa
marca | string ; Padrão:) Corresponde pacotes marcados através do
recurso mangle com uma marca de pacote
específica. Se nenhuma marca for definida, a
regra corresponderá a qualquer pacote não
marcado.
; Padrão:) Corresponde a pacotes de tamanho ou intervalo
de tamanho especificado em bytes.
7/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki

classificador por conexão ( ValuesToHash:Denominator/Remainder ; O matcher PCC permite dividir o tráfego em fluxos
Padrão:) iguais com a capacidade de manter pacotes com
um conjunto específico de opções em um fluxo
específico. Leia mais >>
porta ( inteiro[-inteiro]: 0..65535 ; Padrão:) Corresponde se alguma porta (de origem ou
destino) corresponde à lista especificada de
portas ou intervalos de portas. Aplicável somente
se protocolfor TCP ou UDP
prioridade ( inteiro: 0..63 ; Padrão:) Corresponde à prioridade do pacote após uma
nova prioridade ter sido definida. A prioridade
pode ser derivada do bit VLAN, WMM, DSCP,
MPLS EXP ou da prioridade que foi definida
usando a ação set-priority . Leia mais >>

protocolo ( nome ou ID do protocolo ; Padrão: tcp ) Corresponde ao protocolo IP específico

psd ( inteiro,hora,inteiro,inteiro
especificado pelo nome ou número do protocolo
; Padrão:) Tentativas de detectar varreduras TCP e UDP. Os
parâmetros estão no seguinte
formatoWeightThreshold, DelayThreshold,
LowPortWeight, HighPortWeight

WeightThreshold - peso total dos

últimos pacotes TCP/UDP com
diferentes portas de destino
provenientes do mesmo host para
serem tratados como sequência de
varredura de porta
DelayThreshold - atraso para que os
pacotes com portas de destino
diferentes provenientes do mesmo host
sejam tratados como possível
subsequência de varredura de porta
LowPortWeight - peso dos pacotes
com porta de destino privilegiada
(<1024)
HighPortWeight - peso do pacote com
porta de destino não privilegiada

aleatório ( inteiro: 1..99 ; Padrão:) Corresponde pacotes aleatoriamente com

determinada probabilidade.
rejeitar com ( icmp-admin-proibido | icmp-net-proibido | icmp- Especifica o erro ICMP a ser enviado de volta se o
protocol-unreachable | icmp-host-proibido | icmp-network- pacote for rejeitado. Aplicável seaction=reject
unreachable | tcp-reset | icmp-host-unreachable | icmp-port-
unreachable ; Padrão: rede icmp inacessível)
tabela de roteamento ( string ; Padrão:) Corresponde aos pacotes cujo endereço de
destino é resolvido em uma tabela de roteamento
específica. Mais detalhes podem ser encontrados
na página Routing Table Matcher
marca de roteamento ( string ; Padrão:) Corresponde pacotes marcados pelo recurso
mangle com uma marca de roteamento específica
endereço src ( Ip/Netmaks, intervalo de IP ; Padrão:) Corresponde aos pacotes cuja origem é igual ao
IP especificado ou se enquadra no intervalo de IP
especificado.

lista de endereços src ( nome ; Padrão:) Corresponde o endereço de origem de um pacote

com a lista de endereços definida pelo usuário
tipo de endereço src ( unicast | local | broadcast | multicast ; Padrão:)
Corresponde ao tipo de endereço de origem:

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 8/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki

unicast - endereço IP usado para

transmissão ponto a ponto
local - se o endereço for atribuído a
uma das interfaces do roteador
broadcast - o pacote é enviado para
todos os dispositivos na sub-rede
multicast - o pacote é encaminhado
para um grupo definido de dispositivos

porta src ( inteiro[-inteiro]: 0..65535 ; Padrão:) Lista de portas de origem e intervalos de portas
de origem. Aplicável somente se o protocolo for
TCP ou UDP.
src-mac-address ( endereço MAC ; Padrão:) Corresponde ao endereço MAC de origem do
pacote

tcp-flags ( ack | cwr | ece | fin | psh | rst | syn | urg ; Padrão:) Corresponde aos sinalizadores TCP
especificados

ack - reconhecendo dados

cwr - janela de congestionamento
reduzida
ece - sinalizador ECN-echo (notificação
explícita de congestionamento)
fin - conexão próxima
psh - função push
primeiro - descartar conexão
syn - nova conexão
urg - dados urgentes

tcp-mss ( inteiro[-inteiro]: 0..65535 ; Padrão:) Corresponde ao valor TCP MSS de um pacote IP

horário ( hora-hora,sáb | sex | qui | qua | ter | seg | dom ; Padrão:) Permite criar filtro com base na hora e data de
chegada dos pacotes ou, para pacotes gerados
localmente, hora e data de saída
tls-host ( string ; Padrão:) Permite combinar o tráfego https com base no
nome de host TLS SNI. Aceita sintaxe GLOB para
correspondência de curinga. Observe que o
matcher não será capaz de corresponder ao nome
do host se o quadro de handshake TLS estiver
fragmentado em vários segmentos TCP (pacotes).
ttl ( inteiro: 0..255 ; Padrão:) Corresponde ao valor TTL dos pacotes

Estatísticas
/ip firewall filter print statsmostrará propriedades adicionais somente leitura

Propriedade Descrição
bytes ( inteiro ) Quantidade total de bytes correspondidos pela regra

pacotes ( inteiro ) Quantidade total de pacotes correspondidos pela regra

Por padrão, print é equivalente a print static e mostra apenas regras estáticas.

[admin@dzeltenais_burkaans] /ip firewall mangle> imprimir estatísticas

Sinalizadores: X - desabilitado, I - inválido, D - dinâmico
# PACOTES DE BYTES DE AÇÃO EM CADEIA
0 pré-roteamento marcação-roteamento 17478158 127631
1 pré-roteamento de marcação de roteamento 782505 4506

Para imprimir também regras dinâmicas, use print all .

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 9/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki

[admin@dzeltenais_burkaans] /ip firewall mangle> imprimir todas as estatísticas

Sinalizadores: X - desabilitado, I - inválido, D - dinâmico
# PACOTES DE BYTES DE AÇÃO EM CADEIA
0 pré-roteamento marcação-roteamento 17478158 127631
1 pré-roteamento de marcação de roteamento 782505 4506
2 D mudança direta-mss 0 0
Mudança direta 3 D-mss 0 0
4 D mudança direta-mss 0 0
Mudança direta 5 D-mss 129372 2031

Ou para imprimir apenas regras dinâmicas, use print dynamic

[admin@dzeltenais_burkaans] /ip firewall mangle> imprimir estatísticas dinâmicas

Sinalizadores: X - desabilitado, I - inválido, D - dinâmico
# PACOTES DE BYTES DE AÇÃO EM CADEIA
0 D mudança direta-mss 0 0
1 D mudança direta-mss 0 0
2 D mudança direta-mss 0 0
Mudança direta 3 D-mss 132444 2079

Comandos específicos do menu

Propriedade Descrição
reset-contadores ( id ) Redefina os contadores de estatísticas para regras de
firewall especificadas.
redefinir contadores-todos () Redefina os contadores de estatísticas para todas as
regras de firewall.

Exemplos básicos

CLI distintivo

Há uma interpretação um pouco diferente em cada seção com configuração semelhante.

Por exemplo, com a seguinte linha de configuração você combinará pacotes onde tcp-flags não possui SYN, mas possui
flags ACK:

/ip filtro de firewall adicionar chain=forward protocol=tcp tcp-flags=!syn,ack

Mas com esta configuração você combinará todas as conexões cujo estado não seja NOVO ou RELACIONADO.

/ip filtro de firewall adicionar ação = aceitar cadeia = encaminhar estado de conexão =! novo, relacionado

Ambos configuram de forma semelhante.

Proteção do roteador

Digamos que nossa rede privada seja 192.168.0.0/24 e a interface pública (WAN) seja ether1. Configuraremos o firewall
para permitir conexões ao próprio roteador apenas a partir de nossa rede local e descartaremos o resto. Também
permitiremos o protocolo ICMP em qualquer interface para que qualquer pessoa possa executar ping no seu roteador pela
Internet.

filtro de firewall /ip

adicionar cadeia = entrada estado de conexão = ação inválida = soltar \
comment="Eliminar conexões inválidas"
adicionar cadeia = entrada estado de conexão = ação estabelecida = aceitar \
comment="Permitir conexões estabelecidas"
adicionar cadeia = protocolo de entrada = ação icmp = aceitar \
comentário = "Permitir ICMP"
adicionar cadeia = entrada src-address = 192.168.0.0/24 ação = aceitar \

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 10/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
in-interface=!ether1
add chain=input action=drop comment="Soltar todo o resto"

Proteção do cliente
Para proteger a rede do cliente, devemos verificar todo o tráfego que passa pelo roteador e bloquear os indesejados. Para
tráfego icmp, tcp, udp criaremos cadeias, onde serão descartados todos os pacotes indesejados:

filtro de firewall /ip

adicionar cadeia = protocolo de encaminhamento = estado de conexão tcp = inválido \
action=drop comment="descartar conexões inválidas"
adicionar cadeia = encaminhamento estado de conexão = ação estabelecida = aceitar \
comment="permitir conexões já estabelecidas"
adicionar cadeia = encaminhamento estado de conexão = ação relacionada = aceitar \
comment="permitir conexões relacionadas"

Bloquear endereços IP "bogon"

adicionar chain=forward src-address=0.0.0.0/8 action=drop

adicionar chain=forward dst-address=0.0.0.0/8 action=drop
adicionar chain=forward src-address=127.0.0.0/8 action=drop
adicionar chain=forward dst-address=127.0.0.0/8 action=drop
adicionar chain=forward src-address=224.0.0.0/3 action=drop
adicionar cadeia=forward dst-address=224.0.0.0/3 action=drop

Faça saltos para novas cadeias:

adicionar cadeia = protocolo de encaminhamento = tcp ação = salto salto-alvo = tcp

adicionar cadeia = protocolo de encaminhamento = udp ação = salto salto-alvo = udp
adicionar cadeia=forward protocol=icmp action=jump jump-target=icmp

Crie uma cadeia TCP e negue algumas portas TCP nela:

adicionar cadeia=protocolo tcp=tcp dst-port=69 action=drop \

comentário = "negar TFTP"
adicionar cadeia=protocolo tcp=tcp dst-port=111 ação=drop \
comentário = "negar portmapper RPC"
adicionar cadeia=protocolo tcp=tcp dst-port=135 ação=drop \
comentário = "negar portmapper RPC"
adicionar cadeia=protocolo tcp=tcp dst-port=137-139 ação=drop \
comentário = "negar NBT"
adicionar cadeia=protocolo tcp=tcp dst-port=445 ação=drop \
comentário = "negar cifs"
add chain=protocolo tcp=tcp dst-port=2049 action=drop comment="deny NFS"
adicionar chain=protocolo tcp=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=protocolo tcp=tcp dst-port=20034 action=drop comment="deny NetBus"
adicionar chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=protocolo tcp=tcp dst-port=67-68 action=drop comment="deny DHCP"

Negar portas udp na cadeia udp:

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"

add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
adicionar cadeia = protocolo udp = udp dst-port = 137-139 ação = descartar comentário = "negar NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

Permitir apenas códigos icmp necessários na cadeia icmp:

adicionar cadeia=protocolo icmp=icmp icmp-options=0:0 ação=aceitar \

comentário = "eco resposta"
adicionar cadeia=protocolo icmp=icmp icmp-options=3:0 ação=aceitar \
comentário = "rede inacessível"
adicionar cadeia=protocolo icmp=icmp icmp-options=3:1 ação=aceitar \
comentário = "host inacessível"
adicionar cadeia=protocolo icmp=icmp icmp-options=3:4 ação=aceitar \
comment="fragmentação inacessível do host necessária"
adicionar cadeia=protocolo icmp=icmp icmp-options=8:0 ação=aceitar \
comment="permitir solicitação de eco"
adicionar cadeia=protocolo icmp=icmp icmp-options=11:0 ação=aceitar \
comment="permitir tempo excedido"
adicionar cadeia=protocolo icmp=icmp icmp-options=12:0 ação=aceitar \
comment="permitir parâmetro incorreto"
add chain=icmp action=drop comment="negar todos os outros tipos"

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 11/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
outros códigos ICMP são encontrados aqui .

Proteção de força bruta

Bruteforce_login_prevention_(FTP_&_SSH)

Gerenciamento de largura de banda

Esta regra simples de filtro de firewall limitará o tráfego de saída ether1 a 100 Mbps.

filtro de firewall /ip

adicionar ação=drop chain=forward out-interface=ether1 limit=!100M,100M:bit

[ Topo | Voltar ao conteúdo ]

Recuperado de " https://wiki.mikrotik.com/index.php?title=Manual:IP/Firewall/Filter&oldid=34540 "

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 12/12