fbpx

Filtragem de tráfego básica com as listas de endereços do MikroTik

Filtragem de tráfego básica com as listas de endereços do MikroTik

Por Tag ,

A filtragem de tráfego é um método de identificação e priorização de diferentes tipos de tráfego que passam por um roteador comum, aplicando regras de filtro com base nos requisitos de sua rede. Ao usar o MikroTik RouterOS, existem várias maneiras de conseguir isso. Uma das técnicas mais comuns é aplicar limitações de tráfego fazendo uso de listas de endereços IP .

Filtro de tráfego em endereços IP de origem ou destino

O tráfego pode ser filtrado por endereços IP de origem ou de destino. Se você deseja filtrar usuários específicos em sua LAN, isso pode ser feito usando endereços de origem . Qualquer tráfego saindo da LAN (Internet) será classificado com endereços de destino . Uma combinação dessas e outras configurações também pode ser usada para obter resultados mais específicos, dependendo de seus requisitos.

Bloqueio de tráfego para sites específicos

Uma das perguntas mais comuns feitas pelos novos usuários do MikroTik é ‘Como faço para bloquear sites?’ . Em nosso exemplo, bloquearemos todo o tráfego que vai para o Facebook.

Em um mundo perfeito, o Facebook teria apenas um único endereço IP e poderíamos configurar uma regra simples. Se fosse esse o caso, poderíamos configurar qualquer endereço IP de destino do facebook.com para ser descartado. No filtro de firewall do MIkroTik, a cadeia Forward deve ser usada para capturar todo o tráfego que passa pelo roteador. Aqui está um exemplo de como seria essa configuração.

Filtro de Firewall

Exemplo CLI

/ip firewall filter
add action=drop chain=forward dst-address=185.60.219.35

O problema acima é que o Facebook usa vários endereços IP para acessar seus servidores globalmente. Portanto, o acima não seria muito eficaz. Uma solução possível seria descobrir quais endereços IP estão sendo usados ​​e, em seguida, adicionar várias regras de filtro para fazer isso; no entanto, fazer isso usaria recursos desnecessários no roteador, o que não é escalável nem prático. Uma solução melhor seria gerar uma Lista de endereços de todos os IPs associados e criar uma única regra para filtrá-los.

Gerar uma lista de endereços do MikroTik

Você pode criar entradas individuais usando IPs específicos, intervalos de IP ou nomes de host DNS.

Use a lista em vez do campo dst-address em sua regra de filtro de firewall na guia Avançado.

Exemplo CLI

/ip firewall address-list
add address=185.60.219.35 list=Facebook
add address=mobile.facebook.com list=Facebook
add address=102.132.96.0/20 list=Facebook
/ip firewall filter
add action=drop chain=forward dst-address-list=Facebook

Criando Listas de Endereços Grandes

Adicionar entradas individuais para sites menores é ótimo, mas o Facebook tem milhares de endereços IP. Para superar esse problema, você precisaria criar suas próprias listas e importá-las para o roteador. Para obter informações atualizadas, você pode usar este kit de ferramentas BGP.

Aqui você poderá pesquisar todos os endereços IP de vários servidores atualizados regularmente. Esses endereços IP podem ser simplesmente copiados em um documento que pode ser carregado no roteador posteriormente.

Para preparar essas informações para o MikroTik, você precisará fazer uma planilha com uma coluna para os endereços IP que você copiou deixando uma coluna separada para o comando usado para criar a lista de endereços no roteador. Para fazer isso, você precisa usar a sintaxe da CLI como se estivesse adicionando endereços usando a CLI do RouterOS.

Command: ip firewall address-list add list=Facebook address=

Depois de copiar, colar e remover qualquer informação irrelevante. Sua planilha deve ficar assim:

Em seguida, você precisará converter sua planilha em texto não formatado. Exporte como arquivo CSV ou copie e cole em um editor de bloco de notas. Ao usar CSV, verifique as opções do delimitador para manter a sintaxe correta para evitar erros ao carregar sua configuração.

Simplesmente copie e cole seu texto não formatado em um novo terminal ou salve no formato RSC e importe o arquivo de script via terminal (certifique-se de ter copiado o arquivo na lista de arquivos primeiro). Você pode verificar as novas entradas no menu Address List do firewall.

Command: import file=name_of_your_file.rsc

Você pode testar a configuração e monitorar o contador de bytes para confirmar se tudo está funcionando

Fazer uso de listas de endereços é simples, mas eficaz, e não se limita apenas a bloquear sites. Existem muitos aplicativos em que essa técnica pode ser aplicada para filtragem ou QoS, e é por isso que ela é tão amplamente usada no RouterOS.

Deixe uma resposta

0
YOUR CART
  • No products in the cart.
Subtotal:
R$0,00
CHECKOUT
BEST SELLING PRODUCTS
Mkauth-Configurar Planos de Venda
Mkauth-Configurar Planos de Venda
R$49,90
Curso Troubleshooting de Redes Industriais com Wireshark!
Curso Troubleshooting de Redes Industriais com Wireshark!
CURSO MIKROTIK PPPOE SERVER
CURSO MIKROTIK PPPOE SERVER
Curso de Mikrotik Básico para leigos
Curso de Mikrotik Básico para leigos
Fibra Óptica do Zero 2023
Fibra Óptica do Zero 2023