Firewall Mikrotik - INPUT/OUTPUT/FORWARD + Laboratório





O firewall utiliza-se de regras criadas para realizar uma espécie de filtro dos pacotes que chegam, entenderemos sua estrutura e suas regras básicas na opção "Filter".

O filter é composto de três chain, que são:

INPUT (pacotes de entrada): Nesta chain os pacotes que chegam são quando a ORIGEM NÃO É O FIREWALL porém o DESTINO É O FIREWALL.

Ex: Nos pacotes que chegam ao router se você deseja limitar o acesso à endereços configurados em alguma interface do roteador, utilize-se desta opção.

OUTPUT (pacotes de saída):  São pacotes em que a ORIGEM É O FIREWALL porém o DESTINO NÃO É O FIREWALL.

FORWARD (pacotes de passagem): Os pacotes apenas PASSAM PELO FIREWALL, portanto os encaminhamentos não são do firewall nem para o firewall.

Ex: Bloquear ping de uma faixa de rede para outra faixa de rede, que estão previamente configuradas em interfaces no router.

Nesta sequencia demonstro como utilizar a regra forward e input para bloquear os seguintes protocolos:
Ping (ICMP), TCP e UDP, para evitar tentativa de acesso ao roteador e algum outro endereço na rede com a função drop.

O laboratório consiste em 4 faixas de IP diferentes em 4 interfaces distintas, 1 host conectado e recebendo IP via DHCP na interface "ether4", devemos bloquear o ping e acesso web do host para a faixa 192.168.5.0/24 (ether3).

Endereços configurados em cada interface

Note que o host está com um endereço dentro da range da ether4, onde está conectado

É possível obter resposta do ping para outra faixa devido ao roteamento portando neste momento temos acesso total à faixa 192.168.5.0/24 mesmo estando em outra interface e faixa de rede diferente.

Acesso via WEB ao roteador


Para acessar o filtro do Firewall, vá em IP-> Firewall

Adicione um novo filtro. Com a chain INPUT iremos bloquear o acesso ao IP que está configurado na interface do roteador.

em Src. Address coloque a faixa que deseja bloquear.
em Dst Address coloque a faixa destino.
em Protocol defina os protocolos a serem bloqueados na ação

LEMBRANDO que poderá utilizar INTERFACES em vez de faixas de IP. Para isso configure em:
In. Interface (interface de entrada)
Out. Interface (interface de saída/destino)
Ex: bloquear a comunicação da ether3 à ether4.

Em ACTION selecione DROP



 Clique em APPLY e repita esse mesmo processo, porém alterando a CHAIN de INPUT para FORWARD para bloquearmos a passagem dos pacotes, hosts 172.16.0.0/24 para 192.168.5.0/24.
Os filtros ficaram desta forma.

Ao realizar novamente os testes notará que não conseguirá mais acesso à outra faixa de rede.







0 comentários: