MIKROTIK BÁSICO

    MikroTik é um sistema operacional de rede que pode ser executado em um computador ou roteador dedicado. Ele é usado para gerenciar e controlar redes de computadores, permitindo que os administradores de rede configurem e monitorem as redes com facilidade.

Passo 1: Configuração básica

    Para começar, conecte o roteador MikroTik ao seu computador usando um cabo Ethernet e abra um navegador da web. Digite o endereço IP padrão do roteador na barra de endereço do navegador e pressione Enter. O endereço IP padrão do roteador MikroTik é 192.168.88.1.

    A página de login aparecerá. O nome de usuário padrão é "admin" e a senha padrão é em branco. Clique em Login.

    Você será solicitado a alterar a senha padrão do roteador MikroTik. Digite a nova senha e clique em Change Password.

Passo 2: Configurar as informações básicas do roteador

    Agora, você precisará configurar as informações básicas do roteador, como o nome do roteador, a data e a hora e a configuração da interface de rede.

    Para configurar o nome do roteador, vá para System > Identity. Digite o nome desejado na caixa de texto e clique em Apply.

    Para configurar a data e hora, vá para System > Clock. Configure a data e hora corretas e clique em Apply.

    Para configurar as interfaces de rede, vá para Interfaces. Aqui, você pode configurar as interfaces de rede do roteador, como Ethernet, Wi-Fi e PPPoE.

Passo 3: Configurar as regras de firewall

    A próxima etapa é configurar as regras de firewall. As regras de firewall ajudam a proteger sua rede contra ataques de hackers e malware.

    Vá para IP > Firewall > Filter Rules. Clique no botão Add New para adicionar uma nova regra de firewall. Configure a regra de firewall com as configurações desejadas e clique em Apply.

Passo 4: Configurar o roteamento

    Agora, você precisará configurar o roteamento no roteador MikroTik. O roteamento permite que os pacotes de dados sejam enviados de um dispositivo para outro na rede.

    Vá para IP > Routes. Aqui, você pode configurar as rotas para os dispositivos em sua rede. Clique no botão Add New para adicionar uma nova rota e configure as informações necessárias.

Passo 5: Configurar o DHCP

    A última etapa é configurar o servidor DHCP. O servidor DHCP ajuda a atribuir endereços IP aos dispositivos em sua rede.

Vá para IP > DHCP Server. Clique no botão Add New para adicionar um novo servidor DHCP. Configure as informações necessárias, como o pool de endereços IP e a duração do aluguel, e clique em Apply.

Conclusão

    Essas são as etapas básicas para configurar um roteador MikroTik. Existem muitas outras configurações avançadas que você pode fazer, dependendo das necessidades de sua rede. Com essas configurações básicas, você pode começar a usar seu roteador MikroTik para gerenciar sua rede com facilidade.

Leia Mais

 Controle de Banda direto no DHCP server

Vamos lá, fiz um vídeo para ficar mais fácil, no momento ainda não tenho como gravar áudio, porém ele essa configuração é bem simples e pode ser usada em roteados mikrotik domésticos.

 Ou se preferirem podem adicionar um script no DHCP server, para fazer um controle de banda automático, óbvio que só poderia ter uma velocidade.

Script adicionar em

if ($leaseBound=1) do={

/queue simple add max-limit=5M/10M target=$leaseActIP comment=$leaseActMAC

} else={

/queue simple remove [find comment=$leaseActMAC]

} 

Leia Mais

 Regras Mikrotik para deter ataque DDoS e Synfood

O Que é DDoS?

    DDoS é o acrônimo para Distributed Denial of Service que, traduzido do inglês, significa algo aproximado a Negação Distribuída de Serviço, termo que evidencia a natureza coordenada destes tipos de ataques maliciosos.

    O DDoS é uma derivação, na verdade, de DoS (Denial of Service, ou Negação de Serviço, do português) um tipo de ataque malicioso que envolve apenas um atacante, que pode ser um único servidor ou computador controlado por um hacker.

    O DDoS nada mais é do que um conjunto de ataques DoS, só que diversos atacantes (como computadores ou servidores) distribuem e coordenam os ataques em um alvo, sobrecarregando todo sistema, deixando-o fora do ar.

O que é um Ataque DDos?

    Um ataque do tipo DDoS é um ataque malicioso que tem como objetivo sobrecarregar um servidor ou um computador, esgotar seus recursos como memória e processamento e fazê-lo ficar indisponível para acesso de qualquer usuário a internet.

  Eles são diferentes dos ataques tradicionais, em que hackers e agentes maliciosos infestam computadores com pragas virtuais para danificar arquivos. Os ataques DDoS são apenas para fins de sobrecarga, deixando servidores e sites lentos e indisponíveis para acesso.

    Um ataque DDoS exige a cooperação de vários atacantes para ser classificado como tal. No caso, um computador comandado por uma pessoa má intencionada é capaz de controlar vários outros computadores infectados para direcionar uma rede de ataques a um alvo muito específico.

  Como resultado, os servidores de um site atacado simplesmente não aguenta a demanda das requisições de acesso e simplesmente sai do ar, impossibilitando qualquer tipo de acesso ou interação com ele.

    Um ataque DDoS é geralmente motivado por hackers que, por algum motivo especial, tenham um objetivo malicioso em comum, fazendo de tudo para que um alvo fique indisponível na internet e o prejudique de várias maneiras diferentes.

    Caso o ataque tenha sucesso, os estragos podem ser grandes. Se um site de uma rede varejista for atacado, por exemplo, as perdas nas vendas totais e no retorno de investimento em campanhas de marketing e reposição de produtos podem ser catastróficas.

    Algo semelhante pode acontecer com um grande portal de notícias. Um veículo de comunicação fora do ar significa que toda a publicidade nele investido não estará visível para seus usuários, o que não gerará retorno para o site e muito menos para quem investiu nele.

SYN Flood

    SYN Flood (ou de fragmentação) é um método de ataque DDoS que causa uma sobrecarga direta na camada de transporte (camada 4) e indireta na camada 7 (camada de aplicação).

Basta abrir o terminal no mikrotik e colar as regras:

/ip firewall filter add chain=input protocol=tcp connection-limit=400,32 action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d comment="SYN Flood protect"

/ip firewall filter add chain=input protocol=tcp src-address-list=blocked-addr connection-limit=3,32 action=tarpit comment="SYN Flood protect"

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="SYN Flood protect" disabled=no

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="SYN Flood protect" disabled=no

/ip settings set tcp-syncookies=yes

IP FIREWALL FILTER

/ip firewall filter

add chain=forward connection-state=new action=jump jump-target=detect-ddos comment="DDoS protect"

/ip firewall filter

add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return comment="DDoS protect"

add chain=detect-ddos src-address=192.168.0.1 action=return comment="DDoS protect"

/ip firewall filter

add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m comment="DDoS protect"

add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m comment="DDoS protect"

/ip firewall filter

add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop comment="DDoS protect"

Leia Mais

 Como evitar ataques de força bruta e de scanner de porta MikroTik

    Criando listas de endereços dinâmicas para cada porta e protocolo relevantes; SSH, Telnete as Winboxportas que virão com os Brute Force ataques na Internet ou na rede local impedirão futuras varreduras de portas.

    Em nossa estrutura de código, os ataques de força bruta são evitados passando por quatro diferentes estágios com um salto, regra, nível 1, nível 2, etapa da lista de rastreamento de nível 3 e regra da Black List , que controla a frequência das solicitações de conexão, para cada um dos SSH, regras telnet e Winbox separadamente.

    Desta forma, a estrutura projetada concede o direito de enviar uma solicitação incorreta por 3 vezes para solicitações de conexão de entrada, após 3 tentativas malsucedidas, a fonte de onde vem a solicitação é bloqueada adicionando à lista negra de forma que seja bloqueada por 30 dias.

NOTA: 

    Os códigos em nosso documento podem não ser compatíveis com o nome da interface de acesso à Internet ou com os números de porta usados ​​em seu sistema. Para uma implementação sem problemas, primeiro, copie o código para um bloco de notas e certifique-se de que os campos nas seções ar “ in-interface=” e “ dst-port=” da de todas as regras são compatíveis com seu sistema. Por exemplo, em vez de “ in-interface=WAN”, ” in-interface=modem1″.

Regras de proteção de força bruta para porta SSH

/ ip firewall address-list
add list = “(SSH) Black List” comment = “(SSH) Black List” 

/ ip firewall filter
WAN comment = “(SSH) Blocks everyone in the Black List.” log-yes-log-prefix = “KL_ (SSH) Blacklist” src-address-list = “(SSH) Blacklist”
WAN comment = “(SSH) Black List Chain Skip Rule.” dst-port = 22 jump-target = “(SSH) Blacklist Chain” protocol = tcp
add-in-interface = WAN action = add-src-to-address-list address-list = “(SSH) Blacklist” address-list-timeout = 4w2d chain = “(SSH) Blacklist Chain” comment = “Repeating moves the initiatives (SSH) from the Level-3 Tracking List (SSH) to the Black List. ” connection-state = new log = yes log-prefix = “SSH) Added to Blacklist” src-address-list = “(SSH) Level-3 Tracking List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(SSH) Level-3 Tracking List” address-list-timeout = 1m chain = “(SSH) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute Tracking List (SSH) Level-3.” connection-state = new log = yes log-prefix = “Level-3 (SSH) added to Track List” src-address-list = “(SSH) Level-2 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(SSH) Level-2 Tracking List” address-list-timeout = 1m chain = “(SSH) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute Follow-up List (SSH) Level-2.” log-prefix = “Level-2 (SSH) added to the Track List” src-address-list = “(SSH) Level-1 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(SSH) Level-1 Track List” address-list-timeout = 1m chain = “(SSH) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute Track (SSH) Level-1 Tracking List.” connection-state = new log = yes log-prefix = “Level-1 (SSH) added to the Track List”
add action = return chain = “(SSH) Blacklist Chain” comment = “(SSH) Components from the Blacklist Chain.”

Regras de proteção de força bruta para porta Telnet

/ ip firewall address-list
add list = “(Telnet) Black List” comment = “(Telnet) Black List” 

/ ip firewall filterWAN comment = “(Telnet) Blocks everyone in the Black List.” log-yes-log-prefix = “KL_ (Telnet) Blacklist” src-address-list = “(Telnet) Blacklist”
WAN comment = “(Telnet) Black List Chain Skip Rule.” dst-port = 23 jump-target = “Black List Chain” (Telnet) protocol = tcp
add-in-interface = WAN action = add-src-to-address-list address-list = “Black List” (Telnet) address-list-timeout = 4w2d chain = “Black List Chain” comment = “Repeating moves the initiatives from the Level-3 Tracking List (Telnet) to the Black List. connection-state = new log = yes log-prefix = “Telnet) Added to Blacklist” src-address-list = “(Telnet) Level-3 Tracking List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(Telnet) Level-3 Tracking List” address-list-timeout = 1m chain = “(Telnet) Blacklist Chain” comment = “Adds recurring attempts to the 1-minute (Telnet) Level-3 Tracking List.” connection-state = new log = yes log-prefix = “Added to Level-3 (Telnet) Track List” src-address-list = “(Telnet) Level-2 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(Telnet) Level-2 Tracking List” address-list-timeout = 1m chain = “(Telnet) Black List Chain” comment = “Adds recurring attempts to the 1-minute (Telnet) Level-2 Tracking List.” connection-state = new log = yes log-prefix = “Added to Level-2 (Telnet) Track List” src-address-list = “(Telnet) Level-1 Track List”
add-in-interface = WAN action = add-src-to-address-list Address-list = “(Telnet) Level-1 Track List” address-list-timeout = 1m chain = “(Telnet) Blacklist Chain” comment = “Adds repeated attempts to the 1-minute (Telnet) Level-1 Tracking List.” connection-state = new log = yes log-prefix = “Level-1 (Telnet) added to the Track List”
add action = return chain = “(Telnet) Blacklist Chain” comment = “(Telnet) Blacklist Chain.

Regras de proteção de força bruta para porta Winbox

/ip firewall address-list
add list=”(Winbox) Kara Liste” comment=”(Winbox) Kara Liste”

/ip firewall filter
add action=drop chain=input in-interface=WAN comment=”(Winbox) Kara Liste icerisindeki herkesi engeller.” log=yes log-prefix=”KL_(Winbox) Kara Liste” src-address-list=”(Winbox) Kara Liste”
add action=jump chain=input in-interface=WAN comment=”(Winbox) Kara Liste Zinciri Atlama Kurali.” dst-port=8291 jump-target=”(Winbox) Kara Liste Zinciri” protocol=tcp
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Kara Liste” address-list-timeout=4w2d chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri (Winbox) Seviye-3 Takip Listesinden (Winbox) Kara Liste icerisine tasir.” connection-state=new log=yes log-prefix=”Winbox) Kara Listeye Eklendi” src-address-list=”(Winbox) Seviye-3 Takip Listesi”
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Seviye-3 Takip Listesi” address-list-timeout=1m chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-3 Takip Listesi icerisine ekler.” connection-state=new log=yes log-prefix=”Seviye-3(Winbox) Takip Listesine eklendi” src-address-list=”(Winbox) Seviye-2 Takip Listesi”
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Seviye-2 Takip Listesi” address-list-timeout=1m chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-2 Takip Listesi icerisine ekler.” connection-state=new log=yes log-prefix=”Seviye-2(Winbox) Takip Listesine eklendi” src-address-list=”(Winbox) Seviye-1 Takip Listesi”
add in-interface=WAN action=add-src-to-address-list address-list=”(Winbox) Seviye-1 Takip Listesi” address-list-timeout=1m chain=”(Winbox) Kara Liste Zinciri” comment=”Tekrar eden girisimleri 1 dakikaliginia (Winbox) Seviye-1 Takip Listesi icerisine ekler.” connection-state=new log=yes log-prefix=”Seviye-1(Winbox) Takip Listesine eklendi”
add action=return chain=”(Winbox) Kara Liste Zinciri” comment=”(Winbox) Kara Liste Zincirinden donenler.”

Regras de bloqueio do scanner de porta

/ ip firewall address-list
add list = “Black List (Port Scanner WAN)” comment = “Black List (Port Scanner WAN)” 

/ ip firewall filter
Add action = drop chain = input in-interface = WAN comment = “(Port Scanner WAN) Block everyone in the Black List.” log-yes-log-prefix = “KL_ (Port Scanner WAN) Black List” src-address-list = “(Port Scanner WAN) Black List”
add action = drop chain = forward in-interface = WAN comment = “(Port Scanner WAN) Block everyone in the Black List.” log-yes-log-prefix = “KL_ (Port Scanner WAN) Black List” src-address-list = “(Port Scanner WAN) Black List”
add-in-interface = WAN action = add-src-to-address-list address-list = “Black List (Port Scanner WAN)” address-list-timeout = 4w2d chain = input comment = “IP addresses that scan TCP ports Scanner WAN) Adds to Blacklist and blocks for 30 days “log = yes log-prefix =” (Port Scanner WAN) is added to Blacklist “protocol = tcp psd = 21.3s, 3.1

Leia Mais

Configurando um firewall basico

Configuração de Firewall     

    Configurar um firewall em um roteador MikroTik é uma tarefa importante para garantir a segurança da sua rede. Abaixo estão algumas etapas básicas para configurar um firewall no MikroTik:

1. Acesse o MikroTik RouterOS usando o Winbox ou o navegador da web.

2. Selecione a guia "IP" na barra lateral e clique em "Firewall" no menu suspenso.

3. Na guia "Firewall Rules", clique em "Add New" para criar uma nova regra de firewall.

4. Na seção "General", configure a ação da regra, como "accept", "drop" ou "reject", dependendo do que você deseja fazer com o tráfego que atinge a regra.

5. Na seção "Src. Address", defina o endereço IP de origem do tráfego que você deseja bloquear ou permitir.

6. Na seção "Dst. Address", defina o endereço IP de destino do tráfego que você deseja bloquear ou permitir.

7. Na seção "Protocol", defina o protocolo de rede que você deseja bloquear ou permitir, como TCP, UDP ou ICMP.

8. Na seção "Action", defina a ação que você deseja tomar quando o tráfego atinge a regra, como "accept", "drop" ou "reject".

9. Clique em "OK" para salvar a regra.

10. Repita os passos acima para criar todas as regras de firewall que você precisa para proteger sua rede.

    Além disso, você pode usar recursos avançados do MikroTik Firewall, como NAT, Mangle, Filter e outros, para personalizar a sua configuração de firewall de acordo com as necessidades específicas da sua rede. Recomenda-se também revisar regularmente as configurações do firewall para garantir que ele esteja configurado corretamente e atendendo às suas necessidades de segurança.

Leia Mais

 Como configurar VLANs no Mikrotik

Para configurar VLANs no Mikrotik, siga os seguintes passos:

1. Crie uma interface de VLAN: a. Acesse o menu "Interfaces" e selecione "VLAN"; b. Clique em "+" para criar uma nova interface VLAN; c. Defina o número da VLAN e o nome da interface (por exemplo, VLAN10); d. Selecione a interface física na qual a VLAN será criada (por exemplo, ether1).

2. Configure as portas que se conectarão às VLANs: a. Acesse o menu "Interfaces" e selecione a interface física (por exemplo, ether2); b. Na aba "VLAN", clique em "+" para adicionar uma nova VLAN; c. Defina o número da VLAN (por exemplo, VLAN10) e selecione a interface VLAN criada anteriormente (por exemplo, VLAN10).

3. Configure as regras de firewall: a. Acesse o menu "Firewall"; b. Crie uma nova regra de entrada para a VLAN; c. Defina a interface de entrada como a interface VLAN (por exemplo, VLAN10); d. Defina a ação da regra (por exemplo, permitir ou negar o tráfego).

4. Atribua endereços IP às VLANs: a. Acesse o menu "IP" e selecione "Addresses"; b. Clique em "+" para adicionar um novo endereço IP; c. Defina o endereço IP da VLAN (por exemplo, 192.168.10.1/24) e selecione a interface VLAN correspondente (por exemplo, VLAN10).

    Com esses passos, você configurou com sucesso VLANs no seu Mikrotik. É importante lembrar que você precisará configurar o switch físico que está conectado ao Mikrotik para suportar VLANs também.

Leia Mais

COMO CONFIGURAR FAILOVER NO MIKROTIK

COMO CONFIGURAR FAILOVER NO MIKROTIK | WISSAM QUEMEL

Failover

    O failover é uma técnica usada para garantir que o sistema continue operando mesmo que ocorra uma falha em algum componente crítico. No contexto de redes, o failover pode ser usado para garantir a disponibilidade de serviços importantes, como acesso à Internet, mesmo que ocorra uma falha no roteador principal.

    O Mikrotik é um sistema operacional de roteamento e firewall bastante popular entre empresas e provedores de Internet. Ele oferece suporte a várias técnicas de failover, que podem ser usadas para garantir a alta disponibilidade de serviços.

    Neste artigo, iremos explorar as principais técnicas de failover disponíveis no Mikrotik.

1. Failover de link WAN

    A técnica de failover de link WAN é usada para garantir que o acesso à Internet continue funcionando mesmo que um dos links WAN falhe. O Mikrotik suporta várias opções de failover de link WAN, incluindo failover baseado em ping e failover baseado em interface.

    No failover baseado em ping, o Mikrotik verifica periodicamente se um determinado endereço IP na Internet pode ser alcançado através de cada link WAN. Se o endereço não puder ser alcançado através de um dos links WAN, o Mikrotik assume que o link falhou e muda automaticamente para o link de backup.

    No failover baseado em interface, o Mikrotik verifica se a interface física do link WAN está ativa ou inativa. Se a interface estiver inativa, o Mikrotik assume que o link falhou e muda automaticamente para o link de backup.

2. Failover de gateway

    A técnica de failover de gateway é usada para garantir que os dispositivos da rede continuem acessando a Internet mesmo que o gateway padrão falhe. No Mikrotik, é possível configurar vários gateways padrão, cada um apontando para um link WAN diferente.

    O Mikrotik monitora periodicamente cada gateway padrão e, se um deles falhar, muda automaticamente para o próximo gateway disponível.

3. Failover de servidor

    A técnica de failover de servidor é usada para garantir que os serviços da rede continuem disponíveis mesmo que um servidor falhe. No Mikrotik, é possível configurar vários servidores para oferecer o mesmo serviço, como DNS ou SMTP.

    O Mikrotik monitora periodicamente cada servidor e, se um deles falhar, muda automaticamente para o próximo servidor disponível.

4. Failover de roteador

    A técnica de failover de roteador é usada para garantir que a rede continue operando mesmo que o roteador principal falhe. No Mikrotik, é possível configurar um roteador secundário para assumir automaticamente as funções do roteador principal em caso de falha.

    Para configurar o failover de roteador, é necessário configurar o roteador secundário com as mesmas configurações do roteador principal, incluindo endereços IP, configurações de interface e regras de firewall.

Conclusão

    O Mikrotik oferece várias técnicas de failover para garantir a alta disponibilidade de serviços críticos. É importante entender as diferentes opções de failover disponíveis e escolher a que melhor se adapta às necessidades da sua rede. Ao configurar o failover no Mikrotik, é importante testar cuidadosamente a configuração para garantir que ela funcione conforme.

Um exemplo muito bom é este vídeo do Wissan Quemel, onde ele ensina como fazer um excelente failover.

Leia Mais

Mikrotik Firewall

FIREWALL

 Resumo

O firewall implementa a filtragem de pacotes e, assim, fornece funções de segurança que são usadas para gerenciar o fluxo de dados para, de e através do roteador. Juntamente com a tradução de endereço de rede, ele serve como uma ferramenta para impedir o acesso não autorizado a redes conectadas diretamente e ao próprio roteador, bem como um filtro para o tráfego de saída.

Os firewalls de rede mantêm as ameaças externas longe dos dados confidenciais disponíveis na rede. Sempre que diferentes redes são unidas, há sempre uma ameaça de que alguém de fora da sua rede invada sua LAN. Tais invasões podem resultar no roubo e distribuição de dados privados, na alteração ou destruição de dados valiosos ou no apagamento de discos rígidos inteiros. Os firewalls são usados ​​como meio de prevenir ou minimizar os riscos de segurança inerentes à conexão com outras redes. O firewall configurado corretamente desempenha um papel fundamental na implantação de infraestrutura de rede eficiente e segura.

O MikroTik RouterOS possui uma implementação de firewall muito poderosa com recursos que incluem:

• inspeção de pacotes com estado
• Detecção de protocolo da camada 7
• filtragem de protocolos ponto a ponto
• classificação do tráfego por:
• endereço MAC de origem
• Endereços IP (rede ou lista) e tipos de endereço (broadcast, local, multicast, unicast)
• porta ou intervalo de portas
• protocolos IP
• opções de protocolo (tipo ICMP e campos de código, sinalizadores TCP, opções IP e MSS)
• interface de onde o pacote chegou ou saiu
• fluxo interno e marcas de conexão
• byte DSCP
• conteúdo do pacote
• taxa na qual os pacotes chegam e números de sequência
• tamanho do pacote
• tempo de chegada do pacote
• e muito mais!

Chains

O firewall opera por meio de regras de firewall. Cada regra consiste em duas partes - o correspondente que corresponde ao fluxo de tráfego em determinadas condições e a ação que define o que fazer com o pacote correspondente.

As regras de filtragem do firewall são agrupadas em cadeias. Ele permite que um pacote seja comparado com um critério comum em uma cadeia e, em seguida, encaminhado para processamento em relação a algum outro critério comum para outra cadeia. Por exemplo, um pacote deve corresponder ao par endereço IP:porta. Obviamente, isso pode ser obtido adicionando quantas regras com endereço IP: correspondência de porta forem necessárias para a cadeia de encaminhamento, mas uma maneira melhor seria adicionar uma regra que corresponda ao tráfego de um endereço IP específico, por exemplo: /ip filtro de firewall adicione src-address=1.1.1.2/32 jump-target="mychain" e, em caso de correspondência bem-sucedida, passe o controle sobre o pacote IP para alguma outra cadeia, id est mychain neste exemplo. Em seguida, as regras que executam a correspondência em portas separadas podem ser adicionadas à cadeia mychain sem especificar os endereços IP.

Existem três cadeias predefinidas, que não podem ser excluídas:

• input - usado para processar os pacotes que entram no roteador por uma das interfaces com o endereço IP de destino que é um dos endereços do roteador. Os pacotes que passam pelo roteador não são processados ​​contra as regras da cadeia de entrada
• forward - usado para processar pacotes que passam pelo roteador
• saída - utilizada para processar os pacotes originados no roteador e saindo dele por uma das interfaces. Os pacotes que passam pelo roteador não são processados ​​contra as regras da cadeia de saída

Os diagramas de fluxo de pacotes ilustram como os pacotes são processados ​​no RouterOS.

Ao processar uma cadeia, as regras são retiradas da cadeia na ordem em que são listadas de cima para baixo. Se um pacote corresponder aos critérios da regra, a ação especificada será executada nele e nenhuma outra regra será processada nessa cadeia (a exceção é a ação de passagem). Se um pacote não corresponder a nenhuma regra dentro da cadeia integrada, ele será aceito.

Propriedades

action 

    Ação a ser tomada se o pacote corresponder à regra:

• accept - aceita o pacote. O pacote não é passado para a próxima regra de firewall.
• add-dst-to-address-list - adiciona o endereço de destino à lista de endereços especificada pelo address-listparâmetro
• add-src-to-address-list - adiciona o endereço de origem à lista de endereços especificada pelo address-listparâmetro
• drop - descarta silenciosamente o pacote
• fasttrack-connection - processa pacotes de uma conexão usando FastPath ativando o FastTrack para a conexão
• jump - salta para a cadeia definida pelo usuário especificada pelo valor do jump-targetparâmetro
• log - adiciona uma mensagem ao log do sistema contendo os seguintes dados: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port e comprimento do pacote. Depois que o pacote é correspondido, ele é passado para a próxima regra na lista, semelhante apassthrough
• passthrough - se o pacote corresponder à regra, aumente o contador e vá para a próxima regra (útil para estatísticas)
• reject - descarte o pacote e envie uma mensagem de rejeição ICMP
• return - passa o controle de volta para a cadeia de onde o salto ocorreu
• tarpit - captura e mantém conexões TCP (responde com SYN/ACK ao pacote TCP SYN de entrada)

address-list-timeout

    Intervalo de tempo após o qual o endereço será removido da lista de endereços especificada pelo address-listparâmetro. Usado em conjunto com add-dst-to-address-listou add-src-to-address-listações

• O valor de none-dynamic ( 00:00:00) deixará o endereço na lista de endereços até a reinicialização
• O valor de none-static deixará o endereço na lista de endereços para sempre e será incluído na configuração de exportação/backup

chain

    

    Especifica a qual regra de cadeia será adicionada. Se a entrada não corresponder ao nome de uma cadeia já definida, uma nova cadeia será criada.

comment

    Comentário descritivo para a regra.

connection-bytes

    Corresponde aos pacotes somente se uma determinada quantidade de bytes foi transferida por meio da conexão específica. 0 - significa infinito, por exemplo, connection-bytes=2000000-0significa que a regra corresponde se mais de 2 MB tiverem sido transferidos pela conexão relevante

connection-limit

    Corresponde às conexões por endereço ou bloco de endereços após o valor fornecido ser alcançado. Deve ser usado junto com connection-state=new e/ou com tcp-flags=syn porque o matcher consome muitos recursos.

connection-mark

    Corresponde aos pacotes marcados por meio do mangle com a marca de conexão específica. Se nenhuma marca for definida, a regra corresponderá a qualquer conexão não marcada.

connection-nat-state

    Pode corresponder a conexões que são srcnatted, dstnatted ou ambas. Observe que connection-state=conexões relacionadas connection-nat-state é determinado pela direção do primeiro pacote. e se o rastreamento de conexão precisar usar dst-nat para entregar esta conexão aos mesmos hosts que a conexão principal, ela estará em connection-nat-state=dstnat, mesmo que não haja nenhuma regra dst-nat.

connection-rate

Taxa de conexão é um matcher de firewall que permite capturar o tráfego com base na velocidade atual da conexão

connection-state

    Interpreta os dados de análise de rastreamento de conexão para um pacote específico:

• established - um pacote que pertence a uma conexão existente
• invalid - um pacote que não possui determinado estado no rastreamento de conexão (geralmente - pacotes fora de ordem graves, pacotes com sequência/número de confirmação errados ou em caso de uso excessivo de recursos no roteador), por esse motivo o pacote inválido não participará no NAT (como somente o estado da conexão = novos pacotes fazem) e ainda conterá o endereço IP de origem original quando roteado. Sugerimos enfaticamente descartar todos os pacotes connection-state=invalid no filtro de firewall e cadeias de entrada
• new - o pacote iniciou uma nova conexão ou, de outra forma, associado a uma conexão que não viu pacotes em ambas as direções.
• related - um pacote que está relacionado, mas não faz parte de uma conexão existente, como erros de ICMP ou um pacote que inicia uma conexão de dados FTP
• untracked - pacote que foi definido para ignorar o rastreamento de conexão nas tabelas RAW do firewall .

connection-type

    Corresponde pacotes de conexões relacionadas com base nas informações de seus auxiliares de rastreamento de conexão. Um auxiliar de conexão relevante deve ser habilitado em /ip firewall service-port

content 

    Corresponde aos pacotes que contêm o texto especificado

dscp 

    Corresponde ao campo de cabeçalho IP DSCP.

dst-address

    Corresponde aos pacotes cujo destino é igual ao IP especificado ou cai no intervalo de IP especificado.

dst-address-list

    Corresponde ao endereço de destino de um pacote com a lista de endereços definida pelo usuário

dst-address-type

    Corresponde ao tipo de endereço de destino:

• unicast - endereço IP usado para transmissão ponto a ponto
• local - se o endereço dst for atribuído a uma das interfaces do roteador
• broadcast - o pacote é enviado para todos os dispositivos na sub-rede
• multicast - o pacote é encaminhado para um grupo definido de dispositivos

dst-limit

    Corresponde aos pacotes até que uma determinada taxa seja excedida. A taxa é definida como pacotes por intervalo de tempo. Ao contrário do matcher de limite , cada fluxo tem seu próprio limite. O fluxo é definido pelo parâmetro de modo. Os parâmetros são escritos no seguinte formato: count[/time],burst,mode[/expire].

• count - contagem de pacotes por intervalo de tempo por fluxo para corresponder
• time - especifica o intervalo de tempo em que a contagem de pacotes por fluxo não pode ser excedida (opcional, 1s será usado se não for especificado)
• burst - número inicial de pacotes por fluxo para combinar: este número é recarregado por um a cada time/ count, até este número
• mode - este parâmetro especifica quais campos únicos definem o fluxo (endereço-origem, endereço-dst, endereço-src-e-dst, endereço-dst-e-porta, endereços-e-porta-dst)
• expire - especifica o intervalo após o qual o fluxo sem pacotes poderá ser excluído (opcional)

dst-port

    Lista de números de porta de destino ou intervalos de números de porta

fragment

    Corresponde a pacotes fragmentados. O primeiro fragmento (inicial) não conta. Se o rastreamento de conexão estiver ativado, não haverá fragmentos, pois o sistema monta automaticamente cada pacote.

hotspot 

    Corresponde os pacotes recebidos de clientes HotSpot com vários correspondentes HotSpot.

• auth - corresponde a pacotes de clientes HotSpot autenticados
• from-client - corresponde aos pacotes que vêm do cliente HotSpot
• http - corresponde a solicitações HTTP enviadas ao servidor HotSpot
• local-dst - corresponde aos pacotes destinados ao servidor HotSpot
• to-client - corresponde aos pacotes enviados ao cliente HotSpot

icmp-options

    Corresponde ao tipo de ICMP:campos de código

in-bridge-port

    Interface real em que o pacote entrou no roteador, se a interface de entrada for uma ponte. Funciona apenas se use-ip-firewall estiver ativado nas configurações de ponte.

in-bridge-port-list

    Conjunto de interfaces definidas na lista de interfaces . Funciona da mesma forma que na porta em ponte

in-interface

Interface o pacote entrou no roteador

in-interface-list

    Conjunto de interfaces definidas na lista de interfaces . Funciona da mesma forma que na interface

ingress-priority

    Corresponde à prioridade de um pacote de entrada. A prioridade pode ser derivada do bit VLAN, WMM, DSCP ou MPLS EXP. consulte Mais informação"

ipsec-policy

    Corresponde à política usada pelo IpSec. O valor é escrito no seguinte formato: direction, policy. Direção é Usado para selecionar se deve corresponder à política usada para desencapsulamento ou à política que será usada para encapsulamento.

• in - válido nas cadeias PREROUTING, INPUT e FORWARD
• out - válido nas cadeias POSTROUTING, OUTPUT e FORWARD

• ipsec - corresponde se o pacote está sujeito ao processamento IpSec;
• none - corresponde ao pacote que não está sujeito ao processamento IpSec (por exemplo, pacote de transporte IpSec).

    Por exemplo, se o roteador receber o pacote Gre encapsulado Ipsec, a regra ipsec-policy=in,ipseccorresponderá ao pacote Gre, mas a regra ipsec-policy=in,nonecorresponderá ao pacote ESP.

ipv4-options

    Corresponde às opções de cabeçalho IPv4.

• any - corresponde ao pacote com pelo menos uma das opções ipv4
• loose-source-routing - combina pacotes com opção de roteamento de fonte solta. Esta opção é usada para rotear o datagrama da internet com base nas informações fornecidas pela fonte
• no-record-route - corresponde a pacotes sem opção de rota de registro. Esta opção é usada para rotear o datagrama da internet com base nas informações fornecidas pela fonte
• no-router-alert - corresponde a pacotes sem opção de alteração de roteador
• no-source-routing - corresponde a pacotes sem opção de roteamento de origem
• no-timestamp - corresponde a pacotes sem opção de registro de data e hora
• record-route - combina os pacotes com a opção de rota de registro
• router-alert - combina os pacotes com a opção de alteração do roteador
• strict-source-routing - corresponde a pacotes com a opção de roteamento de fonte estrita
• timestamp - combina pacotes com timestamp

jump-target

    Nome da cadeia de destino para a qual pular. Aplicável apenas seaction=jump

layer7-protocol

    Nome do filtro Layer7 definido no menu do protocolo Layer7 .

limit

    Corresponde a pacotes até uma taxa limitada (taxa de pacote ou taxa de bits). A regra que usa este correspondente corresponderá até que este limite seja atingido. Os parâmetros são escritos no seguinte formato: count[/time],burst:mode.

• count - contagem de pacotes ou bits por intervalo de tempo para corresponder
• time - especifica o intervalo de tempo em que a contagem de pacotes ou bits não pode ser excedida (opcional, 1s será usado se não for especificado)
• burst - número inicial de pacotes ou bits para corresponder: esse número é recarregado a cada 10 ms, então o burst deve ser de pelo menos 1/100 da taxa por segundo
• mode - modo de pacote ou bit

log-prefix

    Adiciona o texto especificado no início de cada mensagem de log. Aplicável seaction=log

nth 

    Corresponde a cada enésimo pacote.

out-bridge-port

    Interface real, o pacote está saindo do roteador, se a interface de saída for uma ponte. Funciona apenas se use-ip-firewall estiver ativado nas configurações de ponte.

out-bridge-port-list

    Conjunto de interfaces definidas na lista de interfaces . Funciona da mesma forma que out-bridge-port.

out-interface

    Interface o pacote está saindo do roteador.

out-interface-list

    Conjunto de interfaces definidas na lista de interfaces . Funciona da mesma forma que a interface externa

packet-mark

    Corresponde aos pacotes marcados por meio do mangle com a marca de pacote específica. Se nenhuma marca for definida, a regra corresponderá a qualquer pacote não marcado.

packet-size

    Corresponde a pacotes de tamanho especificado ou intervalo de tamanho em bytes.

per-connection-classifier

    O matcher PCC permite dividir o tráfego em fluxos iguais com capacidade de manter pacotes com um conjunto específico de opções em um fluxo específico.

port 

    Corresponde se alguma porta (origem ou destino) corresponder à lista especificada de portas ou intervalos de portas. Aplicável apenas se protocolfor TCP ou UDP

priority

    Corresponde à prioridade do pacote depois que uma nova prioridade foi definida. A prioridade pode ser derivada do bit VLAN, WMM, DSCP, MPLS EXP ou da prioridade que foi definida usando a ação set-priority .

protocol 

    Corresponde ao protocolo IP específico especificado pelo nome ou número do protocolo

psd

    Tenta detectar varreduras TCP e UDP. Os parâmetros estão no seguinte formatoWeightThreshold, DelayThreshold, LowPortWeight, HighPortWeight

• WeightThreshold - peso total dos últimos pacotes TCP/UDP com diferentes portas de destino provenientes do mesmo host a serem tratados como sequência de varredura de porta
• DelayThreshold - atraso para os pacotes com diferentes portas de destino provenientes do mesmo host serem tratados como possível subsequência de varredura de porta
• LowPortWeight - peso dos pacotes com porta de destino privilegiada (<1024)
• HighPortWeight - peso do pacote com porta de destino não privilegiada

random

    Corresponde aos pacotes aleatoriamente com determinada probabilidade.

reject-with 

    Especifica o erro de ICMP a ser devolvido se o pacote for rejeitado. Aplicável seaction=reject

routing-table

    Corresponde aos pacotes cujo endereço de destino é resolvido em uma tabela de roteamento específica. Mais detalhes podem ser encontrados na página Matcher da Tabela de Roteamento

routing-mark

    Corresponde aos pacotes marcados pela facilidade mangle com a marca de roteamento específica

src-address-list

    Corresponde ao endereço de origem de um pacote com a lista de endereços definida pelo usuário.

src-address-type

    Corresponde ao tipo de endereço de origem:

• unicast - endereço IP usado para transmissão ponto a ponto
• local - se o endereço for atribuído a uma das interfaces do roteador
• broadcast - o pacote é enviado para todos os dispositivos na sub-rede
• multicast - o pacote é encaminhado para um grupo definido de dispositivos

src-port

    Lista de portas de origem e intervalos de portas de origem. Aplicável apenas se o protocolo for TCP ou UDP.

src-mac-address

    Corresponde ao endereço MAC de origem do pacote

tcp-flags

    Corresponde aos sinalizadores TCP especificados

• ack - reconhecimento de dados
• cwr - janela de congestionamento reduzida
• ece - sinalizador ECN-echo (notificação explícita de congestionamento)
• fin - conexão próxima
• psh - função push
• rst - queda de conexão
• syn - nova conexão
• urg - dados urgentes

tcp-mss

    Corresponde ao valor TCP MSS de um pacote IP

time

    Permite criar filtro com base na hora e data de chegada dos pacotes ou, para pacotes gerados localmente, hora e data de saída

tls-host

    Permite corresponder o tráfego https com base no nome do host TLS SNI. Aceita a sintaxe GLOB para correspondência de curinga. Observe que o correspondente não poderá corresponder ao nome do host se o quadro de handshake TLS estiver fragmentado em vários segmentos TCP (pacotes).

ttl 

Corresponde ao valor TTL dos pacotes

Estatísticas

/ip firewall filter print statsmostrará propriedades adicionais somente leitura

bytes 

Quantidade total de bytes correspondidos pela regra

packets 

Quantidade total de pacotes correspondidos pela regra

Leia Mais