Treinamento MikroTik Bsico

Avisos importantes

Favor, manter o celular no silencioso ou desligado durante a aula.

Evite o uso inapropriado da internet.

Busque absorver ao mximo os conceitos.

Perguntas sempre sero bem vindas.

Evite conversas paralelas.

Firewall
O Firewall normalmente usado como ferramenta de segurana para prevenir o
acesso no autorizado rede interna e ou acesso ao roteador em si, bloquear
diversos $pos de ataques e controlar o %uxo de dados tanto de entrada como de
sada.

A classi(cao do trfego feita no Firewall pode ser baseada em vrios

classi(cadores como endereos MAC, endereos IP, $pos de endereos IP
(broadcast, mul$cast, etc) portas de origem e de des$no, range de portas,
protocolos, Tipo do Servio (ToS), tamanho do pacote, contedo do pacote, etc.

Firewall

Filter Rules: onde (cam as regras de (ltros de pacotes;

NAT: onde feito a traduo de endereos (mascaramento por exemplo);

Mangle: onde feita a marcao de pacotes, conexes e roteamento;

Connecons: onde so visualizadas as conexes existentes;

Address Lists: lista de endereos IP inserida manual ou dinamicamente que

podem ser u$lizados em vrias partes do Firewall.

Firewall
Uma regra uma expresso lgica que diz ao roteador o que fazer com um $po
par$cular de pacote.
- Regras so organizadas em canais (chains) e existem 3 canais pr de(nidos:

Input : responsvel pelo trfego que vai PARA o router

Forward : responsvel pelo trfego que PASSA pelo router

Output : responsvel pelo trfego que SAI do router

Diagrama da estrutura de filtro

Princpios gerais
1 As regras de Firewall so sempre processadas por canal, na ordem que so
listadas, ou seja de cima para baixo.
2 As regras de (rewall funcionam como o que em programao chamamos de
expresses condicionais , ou seja se <condio> ento <ao>
3 Se um pacote no atende TODAS as condies de uma regra ele passa para a
regra seguinte.
4 Quando o pacote atende a TODAS as condies da regra tomada uma ao
com ele, no importam as regras que estejam abaixo nesse canal, pois estas NO
sero processadas
5 Existem algumas excesses ao critrio acima, que a ao de passthrough
(passar adiante)
6 - Um pacote que no se enquadre em qualquer regra do canal, ser por default
aceito.

Exibio das regras

As regras de (ltro podem ser organizadas e mostradas das seguintes maneiras:

all: todas.

dynamic: regras dinamicamente criadas por servios (ex. Hotspot).

input: regras do canal input.

output: regras do canal output.

forward: regras do canal forward.

Aes de regras
Algumas aes que se pode tomar nas regras de (ltro:

accept: aceita o pacote

passthrough: ignora a regra (mas contabiliza) e passa para a regra seguinte

drop: descarta silenciosamente o pacote

reject: descarta o pacote e responde com uma mensagem de icmp ou tcp reset

tarpit: Respondendo com SYN/ACK ao um pacote TCP/SYN entrante, mas no

conclui a conexo.

Filtro de Firewall
Protegendo o prprio roteador e os clientes.
Proteo do prprio roteador

tratamento das conexes e eliminao de trfego prejudicial/in$l

permi$r somente os servios necessrios no prprio roteador

prevenir e controlar ataques e acesso no autorizado ao roteador

Proteo da rede interna

tratamento das conexes e eliminao de trfego prejudicial/in$l

permi$r somente os servios necessrios nos clientes

prevenir e controlar ataques e acesso no autorizado em clientes.

Canais de filtros
Alm dos canais padro, o administrador pode criar canais prprios, bastando dar
nomes a eles. Essa pr$ca ajuda muito na organizao do Firewall.
Para u$lizar um canal criado devemos desviar o %uxo atravs de uma ao JUMP..
No exemplo abaixo, alm de input, output e forward, esto criados canais
chamados sanidade, segurana, vrus, etc.

Funcionalidade de novos canais

Alm dos canais padro, o administrador pode criar canais prprios e associa-los a
um canal padro.
Caso exista uma regra que tome a ao RETURN, o retorno feito antecipadamente
e as regras abaixo deste so ignoradas

Ao de Jump
Aes rela$vas a canais criados pelo usurio que se pode tomar nas regras de (ltro:

Jump: salta para o canal de(nido em jump-target

Jump Target: nome do canal para onde deve saltar

Return: Volta para o canal que chamou o jump.

NAT
NAT Network Address Transla$on uma tcnica que permite que hosts em uma LAN usem um
conjunto de endereos IP para comunicao interna e outro para comunicao externa.
Existem dois $pos de NAT:

Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de origem e ou a

porta por um outro IP de des$no.

Desnaon NAT (dstnat), ou NAT de des$no quando o roteador reescreve o endereo ou a

porta de des$no.

NAT de origem
Source NAT - Mascarando a rede 192.168.0.0/24 atrs do IP 200.200.200.200 que
est con(gurado na interface ether1.
Os pacotes de qualquer host da rede 192.168.0.0/24 sairo com o IP
200.200.200.200.

NAT (1:1)
Desnaon NAT e Source NAT (1:1) Apontando o IP 200.200.200.200 para o host
interno 192.168.0.100.

Redirecionamento de portas
Redirecionamento de Portas: Fazendo com que tudo que chegue na porta 5100
v para o servidor WEB que est na mquina interna 192.168.0.100 e tudo que
chegar na porta 5200 v para a mquina 192.168.0.200.

Address list
Uma Address List, ou lista de endereos uma lista de endereos IP que pode ter
vrias u$lizaes. Pode-se adicionar dinamicamente entradas a essas listas no Filtro
ou no Mangle.
Aes:

add dst to address list: adiciona o IP de des$no lista

add src to address list: adiciona o IP de origem lista

Address List: nome da lista de endereos

Timeout: por quanto tempo a entrada ir permanecer

Connection Tracking
Connec$on Tracking ( seguimento de conexes ) se refere a habilidade do roteador
de manter o estado da informao rela$va s conexes, tais como endereos IP de
origem ou des$no e pares de porta, estados da conexo, $pos de protocolos e
$meouts. Firewalls que fazem connec$on tracking so chamados de "stateful" e so
mais seguros que aqueles que fazem o processamento "stateless.

O sistema de Connec$on Tracking ou Conntrack o corao do Firewall. Ele

obtem e mantm informaes sobre todas as conexes a$vas.
Quando se desabilita a Funo de Connec$on Tracking so perdidas as
funcionalidades de NAT e marcao de pacotes que dependam de conexo.
Pacotes no entanto podem ser marcados diretamente.
Conntrack exigente de recursos de hardware. Quando o equipamento
trabalha apenas como AP Bridge por exemplo, indicado desabilita-la

Status do Tracking
O estado de uma conexo pode ser:

established: signi(cando que o pacote parte de uma conexo j estabelecida

anteriormente
new: signi(cando que o pacote est iniciando uma nova conexo ou faz parte
de uma conexo que ainda no trafegou pacotes em ambas direes
related: signi(cando que o pacote inicia uma nova conexo, mas que essa
associada a uma conexo existente como FTP por exemplo
invalid: signi(cando que o pacote no pertence nenhuma conexo conhecida
nem est iniciando outra.

Dvidas?