{"id":5523,"date":"2018-09-03T15:43:06","date_gmt":"2018-09-03T18:43:06","guid":{"rendered":"http:\/\/www.entelco.com.br\/blog\/?p=5523"},"modified":"2019-08-14T16:36:38","modified_gmt":"2019-08-14T19:36:38","slug":"firewall-mikrotik-regras-e-configuracoes","status":"publish","type":"post","link":"http:\/\/www.entelco.com.br\/blog\/firewall-mikrotik-regras-e-configuracoes\/","title":{"rendered":"Firewall MikroTik – Regras e Configura\u00e7\u00f5es"},"content":{"rendered":"

O Firewall\u00a0MikroTik \u00e9 eficiente?<\/h2>\n

Sempre quando falamos em prote\u00e7\u00e3o de uma rede TCP\/IP, podemos citar o Firewall\u00a0MikroTik.<\/p>\n

Quando usamos a palavra Firewall significa que temos por objetivo aplicar uma pol\u00edtica de seguran\u00e7a.<\/p>\n

Sua fun\u00e7\u00e3o consiste em regular o tr\u00e1fego de\u00a0dados entre redes distintas e impedir a transmiss\u00e3o e\/ou recep\u00e7\u00e3o de acessos\u00a0nocivos ou n\u00e3o autorizados.<\/p>\n

O Firewall MikroTik torna ainda mais simples os controles e pol\u00edticas.<\/p>\n

Esse conceito inclui equipamentos, filtros de pacotes e de proxy ou de aplica\u00e7\u00f5es, comumente\u00a0associados a redes de arquitetura TCP\/IP.<\/p>\n

Afinal, os primeiros sistemas de firewall nasceram exclusivamente para\u00a0suportar seguran\u00e7a no conjunto de protocolos.<\/p>\n

O termo ingl\u00eas firewall faz alus\u00e3o comparativa da fun\u00e7\u00e3o que este\u00a0desempenha para evitar o alastramento de acessos nocivos.<\/p>\n

Enfim, estes acessos ocorrem dentro ou fora de uma\u00a0rede de computadores, que evita o\u00a0alastramento de dados, recursos e outros m\u00e9todos objetivos.<\/p>\n

\"Firewall

Diagrama de Firewall MikroTik<\/p><\/div>\n

No MikroTik temos tudo isso de forma personalizada, pois, \u00e9 poss\u00edvel\u00a0desenvolver nossa pol\u00edtica baseada em uma rede de arquitetura TCP\/IP,\u00a0com os benef\u00edcios do routerOS.<\/p>\n

Como criar as Regras de Firewall \u00a0?<\/h2>\n

1. As regras de Firewall MikroTik s\u00e3o sempre processadas por cadeia, contudo, na ordem\u00a0que s\u00e3o listadas, ou seja, de cima para baixo.
\n2. As regras de Firewall MikroTik funcionam como em programa\u00e7\u00e3o (express\u00f5es\u00a0condicionais, \u201cse <condi\u00e7\u00e3o> ent\u00e3o <a\u00e7\u00e3o>\u201d).
\n3. Se um pacote n\u00e3o atende TODAS as condi\u00e7\u00f5es de uma regra, ele\u00a0passa para a regra seguinte.
\n4. Quando o pacote atende a TODAS as condi\u00e7\u00f5es da regra \u00e9\u00a0formada afinal, uma a\u00e7\u00e3o com ele, n\u00e3o importando as regras que estejam abaixo\u00a0dessa cadeia, pois N\u00c3O ser\u00e3o processadas.
\n5. Existem algumas exce\u00e7\u00f5es ao cr\u00e9dito acima, que s\u00e3o as a\u00e7\u00f5es de\u00a0\u201cpassthrougth\u201d (passar adiante), log e add to address list.
\n6. Um pacote que n\u00e3o se enquadre em qualquer regra da cadeia, ser\u00e1\u00a0por default aceito.<\/p>\n

Regras do Firewall MikroTik<\/h2>\n

Subredes e comandos\/servi\u00e7os autorizados<\/h3>\n

Exemplos:<\/p>\n

\/ip firewall filter\r\nadd chain=input connection-state=invalid action=drop comment=\u201dDescarta Conexoes Invalidas\u201d\r\nadd chain=input connection-state=established action=accept comment=\u201dPermite conexoes estabelecidas\u201d\r\nadd chain=input protocol=icmp action=accept comment=\u201dPermite ICMP\u201d\r\nadd chain=input src-address=192.168.0.0\/24 action=accept in-interface=!ether1\r\nadd chain=input action=drop comment=\u201dIgnora todo o restante\u201d<\/pre>\n
\u00a0<\/address>\n
\n
Configurando uma cadeia TCP e negando algumas portas TCP<\/h3>\n
Exemplos:<\/p>\n
\/ip firewall filter\r\nadd chain=tcp protocol=tcp dst-port=69 action=drop comment=\u201dNegar TFTP\u201d\r\nadd chain=tcp protocol=tcp dst-port=111 action=drop comment=\u201dNegar RPC portmapper\u201d\r\nadd chain=tcp protocol=tcp dst-port=135 action=drop comment=\u201dNegar RPC portmapper\u201d\r\nadd chain=tcp protocol=tcp dst-port=137-139 action=drop comment=\u201dNegar NBT\u201d\r\nadd chain=tcp protocol=tcp dst-port=445 action=drop comment=\u201dNegar cifs\u201d\r\nadd chain=tcp protocol=tcp dst-port=2049 action=drop comment=\u201dNegar NFS\u201d\r\nadd chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=\u201dNegar NetBus\u201d\r\nadd chain=tcp protocol=tcp dst-port=20034 action=drop comment=\u201dNegar NetBus\u201d\r\nadd chain=tcp protocol=tcp dst-port=3133 action=drop comment=\u201dNegar BackOriffice\u201d\r\nadd chain=tcp protocol=tcp dst-port=67-68 action=drop comment=\u201dNegar DHCP\u201d<\/pre>\n<\/address>\n
Bloqueio de acesso FTP por for\u00e7a Bruta com 10 tentativas<\/h3>\n
Exemplos:<\/p>\n
\/ip firewall filter\r\nadd chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment=\u201dDescarta forca bruta FTP\u201d\r\nadd chain=output action=accept protocol=tcp content=\u201d530 Login incorreto\u201d dstlimit=1\/1m,9,dst-address 1m\r\nadd chain=output action=add-dst-to-address-list protocol=tcp content=\u201d530 Login incorreto\u201d address-list=ftp_blacklist address-list-timeout=3h<\/pre>\n
Como obter mais informa\u00e7\u00f5es do Firewall MikroTik?<\/h2>\n
Convido a todos a adquirirem os Livros MikroTik ou a participarem de nosso treinamento MTCNA, onde abordo temas que v\u00e3o al\u00e9m do Firewall MikroTik com dicas, configura\u00e7\u00f5es e procedimentos.<\/p>\n
Clique aqui para saber maiores informa\u00e7\u00f5es sobre o curso OFICIAL MTCNA.<\/a><\/p>\n
Clique aqui para comprar os Livros MikroTik<\/a><\/p>\n
Portanto, deixe a sua rede mais segura, use o MikroTik da forma correta.<\/p>\n
Abra\u00e7os<\/p>\n
Rog\u00e9rio Barion<\/address>\n
ENTELCO TELECOM<\/address>\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"
O Firewall\u00a0MikroTik \u00e9 eficiente? Sempre quando falamos em prote\u00e7\u00e3o de uma rede TCP\/IP, podemos citar o Firewall\u00a0MikroTik. Quando usamos a palavra Firewall significa que temos por objetivo aplicar uma pol\u00edtica de seguran\u00e7a. Sua fun\u00e7\u00e3o consiste em regular o tr\u00e1fego de\u00a0dados entre redes distintas e impedir a transmiss\u00e3o e\/ou recep\u00e7\u00e3o de acessos\u00a0nocivos ou n\u00e3o autorizados. O […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[14],"tags":[1961,2418,2419,2499,2500,141,510,15,504,2422,2420,528,2421,562],"_links":{"self":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/5523"}],"collection":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5523"}],"version-history":[{"count":17,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/5523\/revisions"}],"predecessor-version":[{"id":5991,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/5523\/revisions\/5991"}],"wp:attachment":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5523"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5523"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5523"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}