Escolar Documentos
Profissional Documentos
Cultura Documentos
Manual:IP/Firewall/Filtro
< Manual:IP | Firewall
Aviso: Este manual foi movido para https://help.mikrotik.com/docs/display/ROS/Filter
Conteúdo
Resumo
Correntes
Propriedades
Estatísticas
Comandos específicos do menu
Exemplos básicos
CLI distintivo
Proteção do roteador
Proteção do cliente
Proteção de força bruta
Gerenciamento de largura de banda
Resumo
Submenu: /ip firewall filter
O firewall implementa filtragem de pacotes e, portanto, fornece funções de segurança usadas para gerenciar o fluxo de
dados de, para e através do roteador. Juntamente com a Tradução de Endereços de Rede, serve como uma ferramenta
para impedir o acesso não autorizado a redes diretamente conectadas e ao próprio roteador, bem como um filtro para o
tráfego de saída.
Os firewalls de rede mantêm as ameaças externas longe dos dados confidenciais disponíveis na rede. Sempre que
diferentes redes são unidas, há sempre a ameaça de que alguém de fora da sua rede invada a sua LAN. Essas invasões
podem resultar no roubo e distribuição de dados privados, na alteração ou destruição de dados valiosos ou no apagamento
completo de discos rígidos. Os firewalls são usados como meio de prevenir ou minimizar os riscos de segurança inerentes à
conexão com outras redes. O firewall configurado corretamente desempenha um papel fundamental na implantação
eficiente e segura da infraestrutura de rede.
MikroTik RouterOS possui uma implementação de firewall muito poderosa com recursos que incluem:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 1/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
Correntes
O firewall opera por meio de regras de firewall. Cada regra consiste em duas partes – o matcher que compara o fluxo de
tráfego com determinadas condições e a ação que define o que fazer com o pacote correspondido.
As regras de filtragem de firewall são agrupadas em cadeias. Ele permite que um pacote seja comparado com um critério
comum em uma cadeia e então passado para processamento com base em algum outro critério comum para outra
cadeia. Por exemplo, um pacote deve ser comparado ao par endereço IP:porta. Claro, isso poderia ser conseguido
adicionando quantas regras com correspondência de endereço IP:porta forem necessárias para a cadeia de
encaminhamento, mas uma maneira melhor poderia ser adicionar uma regra que corresponda ao tráfego de um endereço
IP específico, por exemplo: filtro de firewall /ip adicione src-address=1.1.1.2/32 jump-target="mychain" e, em caso de
correspondência bem-sucedida, passe o controle do pacote IP para alguma outra cadeia, id est mychain neste
exemplo. Em seguida, regras que executam correspondência em portas separadas podem ser adicionadas à cadeia
mychain sem especificar os endereços IP.
entrada - usada para processar pacotes que entram no roteador através de uma das interfaces com o endereço
IP de destino que é um dos endereços do roteador. Os pacotes que passam pelo roteador não são
processados de acordo com as regras da cadeia de entrada
forward - usado para processar pacotes que passam pelo roteador
saída - usada para processar pacotes originados do roteador e saindo por uma das interfaces. Os pacotes que
passam pelo roteador não são processados de acordo com as regras da cadeia de saída
Os diagramas de fluxo de pacotes ilustram como os pacotes são processados no RouterOS.
Ao processar uma cadeia, as regras são retiradas da cadeia na ordem em que são listadas, de cima para baixo. Se um
pacote corresponder aos critérios da regra, então a ação especificada será executada nele e nenhuma outra regra será
processada nessa cadeia (a exceção é a ação de passagem). Se um pacote não corresponder a nenhuma regra da cadeia
integrada, ele será aceito.
Propriedades
Propriedade Descrição
ação ( nome da ação ; Padrão: aceitar ) Ação a ser tomada se o pacote corresponder à
regra:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 2/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
do jump-targetparâmetro
log - adiciona uma mensagem ao log
do sistema contendo os seguintes
dados: in-interface, out-interface, src-
mac, protocol, src-ip:port->dst-ip:port e
comprimento do pacote. Depois que o
pacote é correspondido, ele é passado
para a próxima regra na lista,
semelhante apassthrough
passagem - se o pacote corresponder à
regra, aumente o contador e vá para a
próxima regra (útil para estatísticas)
rejeitar - descarta o pacote e envia
uma mensagem de rejeição ICMP
return - passa o controle de volta para a
cadeia de onde ocorreu o salto
tarpit - captura e mantém conexões
TCP (responde com SYN/ACK ao
pacote TCP SYN de entrada)
timeout da lista de endereços ( nenhum dinâmico | nenhum estático Intervalo de tempo após o qual o endereço será
| tempo ; Padrão: nenhum dinâmico ) removido da lista de endereços especificada
pelo address-listparâmetro. Usado em
conjunto com add-dst-to-address-
listou add-src-to-address-listações
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 3/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
regra corresponderá a qualquer conexão não
marcada.
conexão-nat-state ( srcnat | dstnat ; Padrão:) Pode corresponder a conexões srcnatted,
dstnatted ou ambas. Observe que connection-
state=conexões relacionadas connection-nat-state
é determinado pela direção do primeiro pacote. e
se o rastreamento de conexão precisar usar dst-
nat para entregar esta conexão aos mesmos hosts
da conexão principal, ele estará em connection-
nat-state=dstnat mesmo se não houver nenhuma
regra dst-nat.
taxa de conexão ( Inteiro 0..4294967295 ; Padrão:) Taxa de conexão é um matcher de firewall que
permite capturar tráfego com base na velocidade
atual da conexão. Leia mais >>
estado da conexão ( estabelecido | inválido | novo | relacionado | não Interpreta os dados de análise de rastreamento de
rastreado ; Padrão:) conexão para um pacote específico:
tipo de conexão ( ftp | h323 | irc | pptp | quake3 | sip | tftp ; Padrão:) Corresponde pacotes de conexões relacionadas
com base nas informações de seus auxiliares de
rastreamento de conexão. Um auxiliar de conexão
relevante deve ser habilitado em /ip firewall
service-port
endereço dst ( IP/máscara de rede | intervalo de IP ; Padrão:) Corresponde aos pacotes cujo destino é igual ao
IP especificado ou se enquadra no intervalo de IP
especificado.
lista de endereços dst ( nome ; Padrão:) Corresponde o endereço de destino de um pacote
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 4/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
com a lista de endereços definida pelo usuário
tipo de endereço dst ( unicast | local | broadcast | multicast ; Padrão:) Corresponde ao tipo de endereço de destino:
dst-limit ( integer[/time],integer,dst-address | dst-port | src- Corresponde pacotes até que uma determinada
address[/time] ; Padrão:) taxa seja excedida. A taxa é definida como
pacotes por intervalo de tempo. Ao contrário do
matcher de limite , cada fluxo tem seu próprio
limite. O fluxo é definido pelo parâmetro de
modo. Os parâmetros são escritos no seguinte
formato: count[/time],burst,mode[/expire].
opções ipv4 ( qualquer | roteamento de fonte solta | rota sem registro Corresponde às opções de cabeçalho IPv4.
| alerta sem roteador | roteamento sem fonte | sem carimbo de data
e hora | nenhum | rota de registro | alerta de roteador | roteamento qualquer - combina o pacote com pelo
de origem estrita | carimbo de data/hora ; Padrão:) menos uma das opções ipv4
loose-source-routing - combina pacotes
com opção de roteamento de fonte
solta. Esta opção é usada para rotear o
datagrama da Internet com base nas
informações fornecidas pela fonte
no-record-route - combina pacotes sem
opção de rota de registro. Esta opção é
usada para rotear o datagrama da
Internet com base nas informações
fornecidas pela fonte
no-router-alert - combina pacotes sem
opção de alteração de roteador
no-source-routing - combina pacotes
sem opção de roteamento de origem
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 6/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
limite ( inteiro,tempo,inteiro ; Padrão:) Corresponde pacotes até uma taxa limitada (taxa
de pacotes ou taxa de bits). A regra que usa este
matcher corresponderá até que esse limite seja
atingido. Os parâmetros são escritos no seguinte
formato: count[/time],burst:mode.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 7/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
classificador por conexão ( ValuesToHash:Denominator/Remainder ; O matcher PCC permite dividir o tráfego em fluxos
Padrão:) iguais com a capacidade de manter pacotes com
um conjunto específico de opções em um fluxo
específico. Leia mais >>
porta ( inteiro[-inteiro]: 0..65535 ; Padrão:) Corresponde se alguma porta (de origem ou
destino) corresponde à lista especificada de
portas ou intervalos de portas. Aplicável somente
se protocolfor TCP ou UDP
prioridade ( inteiro: 0..63 ; Padrão:) Corresponde à prioridade do pacote após uma
nova prioridade ter sido definida. A prioridade
pode ser derivada do bit VLAN, WMM, DSCP,
MPLS EXP ou da prioridade que foi definida
usando a ação set-priority . Leia mais >>
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 8/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
porta src ( inteiro[-inteiro]: 0..65535 ; Padrão:) Lista de portas de origem e intervalos de portas
de origem. Aplicável somente se o protocolo for
TCP ou UDP.
src-mac-address ( endereço MAC ; Padrão:) Corresponde ao endereço MAC de origem do
pacote
tcp-flags ( ack | cwr | ece | fin | psh | rst | syn | urg ; Padrão:) Corresponde aos sinalizadores TCP
especificados
horário ( hora-hora,sáb | sex | qui | qua | ter | seg | dom ; Padrão:) Permite criar filtro com base na hora e data de
chegada dos pacotes ou, para pacotes gerados
localmente, hora e data de saída
tls-host ( string ; Padrão:) Permite combinar o tráfego https com base no
nome de host TLS SNI. Aceita sintaxe GLOB para
correspondência de curinga. Observe que o
matcher não será capaz de corresponder ao nome
do host se o quadro de handshake TLS estiver
fragmentado em vários segmentos TCP (pacotes).
ttl ( inteiro: 0..255 ; Padrão:) Corresponde ao valor TTL dos pacotes
Estatísticas
/ip firewall filter print statsmostrará propriedades adicionais somente leitura
Propriedade Descrição
bytes ( inteiro ) Quantidade total de bytes correspondidos pela regra
Por padrão, print é equivalente a print static e mostra apenas regras estáticas.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 9/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
Exemplos básicos
CLI distintivo
Mas com esta configuração você combinará todas as conexões cujo estado não seja NOVO ou RELACIONADO.
/ip filtro de firewall adicionar ação = aceitar cadeia = encaminhar estado de conexão =! novo, relacionado
Proteção do roteador
Digamos que nossa rede privada seja 192.168.0.0/24 e a interface pública (WAN) seja ether1. Configuraremos o firewall
para permitir conexões ao próprio roteador apenas a partir de nossa rede local e descartaremos o resto. Também
permitiremos o protocolo ICMP em qualquer interface para que qualquer pessoa possa executar ping no seu roteador pela
Internet.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 10/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
in-interface=!ether1
add chain=input action=drop comment="Soltar todo o resto"
Proteção do cliente
Para proteger a rede do cliente, devemos verificar todo o tráfego que passa pelo roteador e bloquear os indesejados. Para
tráfego icmp, tcp, udp criaremos cadeias, onde serão descartados todos os pacotes indesejados:
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 11/12
02/09/2023, 18:14 Manual:IP/Firewall/Filtro - MikroTik Wiki
outros códigos ICMP são encontrados aqui .
Bruteforce_login_prevention_(FTP_&_SSH)
Esta regra simples de filtro de firewall limitará o tráfego de saída ether1 a 100 Mbps.
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter 12/12