Laboratório Firewall - Parte Capítulo 4 (Entendendo Redes TCP/IP com MikroTik - Teoria e prática)

Para o nosso curso de firewall, o cenário terá estrutura mostrada na Figura 4.26, e seguirá a seguinte configuração: Duas redes (A e B) se conectam à Internet (WAN) por intermédio de suas interfaces ether1 de seus roteadores (RB1 e RB2), e a suas sub-redes (LAN) usando as interfaces ether2. Implementaremos um interface loopback dentro de nossa WAN (RB3) para simbolizar o acesso a alvos externos (8.8.8.8 e 4.2.2.1 por exemplo). Com este cenário adicionaremos diversas opções ao firewall do RouterOS, e, assim, manipularemos chains e tabelas fazendo uso de alguns exemplos de regras desde a filtragem simples ao tratamento de pacotes com a tabela Mangle.

Figura 4.26 – Cenário para o testar o RouterOS IP firewall.

Começaremos preparando o cenário seguindo a configuração nas listagens 4.1, 4.2 e 4.3.

 

Criando um filtro simples

Iniciaremos nosso laboratório usando a tabela Filter do RouterOS firewall. Teremos como primeiro exemplo a criação de uma regra que bloqueia o acesso a nosso própria máquina (127.0.0.1 – loopback). Primeiro daremos um ping para verificar seu funcionamento, utilizaremos New Terminal para isto, conforme Listagem 4.4.

 

Com o menu/comando ip firewall add adicionamos a nossa primeira regra de firewall, conforme Listagem 4.5.

A Listagem 4.6 mostra o resultado de uma nova tentativa de ping no localhost.

Conforme Listagem 4.6, desta vez a máquina 127.0.0.1 não respondeu, pois, todos os pacotes com o destino 127.0.0.1 (dst-address=127.0.0.1) são rejeitados (action=drop). A opção add é usada para adicionar novas regras no final do chain. Além de action=drop que serve para rejeitar os pacotes e também usar action=accept para aceitar pacotes. A opção action é usada para determinar o que deve ser feito com o que foi marcado (Match). Este exemplo, somente define o destino do pacote que atravessa a regra. A action=accept sempre será usada como padrão caso nenhuma action seja especificada.

O acesso a interface loopback não deve ser de forma alguma bloqueado, pois muitos aplicativos utilizam soquetes TCP para realizarem conexões, mesmo que você não possua uma rede interna.

Para listar a regra criada anteriormente usamos o comando no New Terminal, conforme Listagem 4.7, ou deve-se utilizar o Winbox com o menu/comando ip firewall filter rules (Figura 4.27).

Figura 4.27 – Janela firewall, tabela Filter. Regra criada.

Dê um clique duplo sobre a regra criada para obter mais detalhes usando os recursos gráficos do Winbox. Observe a Figura 4.28.

Figura 4.28 – Primeira regra criada, detalhes no modo gráfico.

Para apagar uma regra, é necessário saber qual é o número dela no índice do firewall listado anteriormente com a opção ip firewall filter print. Daí, é possível referenciar o número diretamente, por exemplo, para apagar a regra criada anteriormente – siga a Listagem 4.8.