Filtros para proteger os usuários

Ola pessoal, uma rede segura hoje em dia é praticamente impossível, a ideia é amenizar a experiência dos clientes em nossa rede procurando proteger os acessos de malwares, phishing, spammers e etc.

Listas com estes endereços são caras e quase, em sua maioria, desenvolvida por autônomos.
Descobri uma lista, por sinal muito boa, de um pessoal que esta revolucionando em termo de filtros prontos para mikrotik. Segue:

    * Ads - https://blocklister.gefoo.org/ads
    * Badpeers - https://blocklister.gefoo.org/badpeers
    * Blocklistde_All - https://blocklister.gefoo.org/blocklistde_all
    * Blocklistde_Apache - https://blocklister.gefoo.org/blocklistde_apache
    * Blocklistde_Ftp - https://blocklister.gefoo.org/blocklistde_ftp
    * Blocklistde_Imap - https://blocklister.gefoo.org/blocklistde_imap
    * Blocklistde_Mail - https://blocklister.gefoo.org/blocklistde_mail
    * Blocklistde_Ssh - https://blocklister.gefoo.org/blocklistde_ssh
    * Blocklistde_Strongips - https://blocklister.gefoo.org/blocklistde_strongips
    * Dshield - https://blocklister.gefoo.org/dshield
    * Edu - https://blocklister.gefoo.org/edu
    * Hijacked - https://blocklister.gefoo.org/hijacked
    * Level1 - https://blocklister.gefoo.org/level1
    * Level2 - https://blocklister.gefoo.org/level2
    * Level3 - https://blocklister.gefoo.org/level3
    * Malwaredomainlist - https://blocklister.gefoo.org/malwaredomainlist
    * Microsoft - https://blocklister.gefoo.org/microsoft
    * Openbl - https://blocklister.gefoo.org/openbl
    * Openbl_180 - https://blocklister.gefoo.org/openbl_180
    * Openbl_360 - https://blocklister.gefoo.org/openbl_360
    * Proxy - https://blocklister.gefoo.org/proxy
    * Spamhausdrop - https://blocklister.gefoo.org/spamhausdrop
    * Spamhausedrop - https://blocklister.gefoo.org/spamhausedrop
    * Spider - https://blocklister.gefoo.org/spider
    * Spyware - https://blocklister.gefoo.org/spyware


 

Erro no PPPOE permite multiplas conexões

Hoje, ao dar uma olhada em uma RB minha com mais de 600 clientes haviam 12 clientes com o mesmo login LOGADOS.

Apesar de ter colocado que somente uma conexão por host seria permitido, isso não estava funcionando.

Cacei uns scripts e tal mas umas gambis da miseria, quando me deparei com esta linha:

/ppp profile set numbers=1 only-one=yes

Pronto, resolvido!!! (é mole???)

Discovery para WOM-5000

E ai pessoal tudo bem?  Hoje me deparei com uma bronquinha que me deixou perder  mais um tempinho por não saber que algo existia, me refiro a descobrir os ips de rádios da linha WISP da Intelbrás , no meu caso o WOM 5000, fui a um cliente e o rádio numa torre, tinha de configurar mas, sem subir a torre, dai depois de umas googadas (ixi, forcei) achei esta ferramenta que salvou a patria, alem de me mostrar o ips dos rádios ainda me da a possibilidade de reset.

O link pra baixar é esse aqui: http://www.intelbras.com.br/sites/default/files/downloads/resettool_v1_2_0.rar

Ela como o ubnt discovery é java, então ja sabe né, baixe o java primeiro ok!

step1

Fui!

 

Vlan multiportas gerenciaveis

 

Vou mostrar passo a passo como usar o Mikrotik (RouterOS) em conjunto com o switch gerenciável Planet GSD-1020S (o procedimento deve servir para outros modelos) para criar VLANs e setorizar a rede. Vou exemplificar com um RouterOS e 3 switches em cascata. Veja abaixo o diagrama.

Diagrama de interligação dos equipamentos

A princípio esse switch vem com todas as portas pertencentes à VLAN 1, ou seja, ele funciona como um switch não gerenciável, onde todas as portas se enxergam. Para o nosso cenário, é preciso que cada porta esteja associada a uma VLAN diferente, exceto as portas 9 e 10, que serão do tipo Trunk e serão usadas no cascateamento e a porta 8 que vou reservar para gerência local. Sendo assim teremos 7 VLANs em cada switch, mais uma da gerência (que é comum a todos os switches), perfazendo 22 VLANs.

Por uma questão de convenção, escolhi os IDs de 11 a 17 para o primeiro switch, de 21 a 27 para o segundo switch e de 31 a 37 para o terceiro switch, além da VLAN 8 para a gerência. No primeiro switch, que ficará ligado ao Mikrotik pela porta 9, serão criadas todas as 22 VLANs, pois todas passarão por ele. No segundo só precisamos criar as VLANs dele e do terceiro. No terceiro criamos apenas as VLANs próprias dele. As associações das VLANs com as respectivas portas se darão conforme as tabelas abaixo.

SWITCH 1
Porta Tipo VLAN
 1  Acesso, Untagged  11
 2  Acesso, Untagged  12
 3  Acesso, Untagged  13
 4  Acesso, Untagged  14
 5  Acesso, Untagged  15
 6  Acesso, Untagged  16
 7  Acesso, Untagged 17
 8  Acesso, Untagged  8
 9  Trunk, Tagged  8, 11, 12, 13, 14, 15, 16, 17, 21, 22, 23, 24, 25, 26, 27, 31, 32, 33, 34, 35, 36, 37
 10  Trunk, Tagged  8, 21, 22, 23, 24, 25, 26, 27, 31, 32, 33, 34, 35, 36, 37
SWITCH 2
Porta Tipo VLAN
 1  Acesso, Untagged  21
 2  Acesso, Untagged  22
 3  Acesso, Untagged  23
 4  Acesso, Untagged  24
 5  Acesso, Untagged  25
 6  Acesso, Untagged  26
 7  Acesso, Untagged 27
 8  Acesso, Untagged  8
 9  Trunk, Tagged  8, 21, 22, 23, 24, 25, 26, 27, 31, 32, 33, 34, 35, 36, 37
 10  Trunk, Tagged  8, 31, 32, 33, 34, 35, 36, 37
SWITCH 3
Porta Tipo VLAN
 1  Acesso, Untagged  31
 2  Acesso, Untagged  32
 3  Acesso, Untagged  33
 4  Acesso, Untagged  34
 5  Acesso, Untagged  35
 6  Acesso, Untagged  36
 7  Acesso, Untagged 37
 8  Acesso, Untagged  8
 9  Trunk, Tagged  8, 31, 32, 33, 34, 35, 36, 37
 10  Trunk, Tagged

Agora vamos ao passo a passo.

Ligue um cabo da porta 8 do switch no computador e configure o IP 192.168.0.2.

Acesse o IP 192.168.0.100 pelo navegador.

Logue com o usuário admin e a senha admin.

Vamos mudar logo o IP de gerência. Clique em System/IP Configurations e deixe como na figura abaixo.

Trocando o IP

Trocando o IP

Esse é só um exemplo, escolha o que melhor lhe aprouver. Depois de aplicar, altere o IP do seu computador para 10.0.1.254.

Aproveite para trocar a senha do administrador em User Configuration.

Troca de senha

Troca de senha

E então vá na aba VLAN/Create VLAN e crie todas as VLANs necessárias.

Criando as VLANs

Criando as VLANs

Crie todas, até a 37. Você só precisa preencher com o ID da VLAN no campo VLAN LIST.

Configure as portas no link Interface Settings, selecionando as portas de 1 a 8 e definindo-as como modo acesso, conforme a figura abaixo:

Configurando as portas

Configurando as portas

Em seguida aplique.

Caso as portas 9 e 10 não estejam no modo Trunk, coloque.

Clique no link Port VLAN Membership, edite cada porta. Abaixo um exemplo de como fica a configuração da porta 1 (GE1). Não esqueça de remover a VLAN 1 de todas as portas exceto da porta 8, que estamos usando para configurar o switch, pois o gerenciamento está vinculado à essa VLAN. Vamos mudar isso depois.

screen

Faça a mesma coisa com as portas até a 7. Associe a VLAN 8 a porta 8.

Na porta 9 associe todas as VLANs criadas e remova a VLAN1.

Na porta 10 associe todas as VLANs que virão dos dois outros switches, conforme a primeira tabela.

Não mexa nas portas LAG, que são para fazer agregação de portas, assunto que não será coberto nesse artigo.

A configuração do primeiro switch está quase pronta. Vamos alterar o gerenciamento da VLAN 1 para a VLAN 8.

Vá até o link Management VLAN, selecione a VLAN 8 e aplique. Agora você só conseguirá acessar a interface administrativa do switch pela porta 8 ou pela porta 9 através de uma interface VLAN configurada no Mikrotik RouterOS. Agora você já pode remover a VLAN 1 da porta 8, em Port VLAN Membership.

Repita o procedimento nos outros dois switches, respeitando os valores das tabelas 2 e 3, respectivamente.

Coloque o IP 10.0.1.2 para o segundo e 10.0.1.3 para o terceiro switch.

Por fim vamos criar as VLANs no Mikrotik RouterOS.

Presumindo que a interface física usada para comunicar com a porta 9 do primeiro switch seja a sfp1, vincularemos todas as vlans a essa interface.

E colocamos um IP atrelado à VLAN 8 (8-Gerencia-Switches) para podermos acessar os switches através do roteador.

É possível usar GVRP para não precisar criar as VLANs de um switch no outro, pois eles aprendem automaticamente, mas isso é assunto para outro artigo.

E terminamos. Esse é um cenário ideal para ser usado em um provedor de internet, onde cada porta está ligada a uma rede e é necessário o isolamento. Se a sua necessidade for diferente, adeque o exemplo. A lógica é a mesma.

Até o próximo artigo.

Se foi útil, comente. Obrigado!