Ayrton Lopes

Alguns dias atrás, me deparei com a seguinte situação: bloquear sites no mikrotik sem precisar criar um servidor squid ou cache, andei pesquisando por vários lugares, até que encontrei a solução. O mikrotik, tem uma função que permite bloquear as URLs dos sites, não permitindo o acesso das mesmas; assim como também é possível bloquear as “keywords” desejadas. A regra é bem simples, então lá vai:

[admin@mikrotik] > ip firewall filter add chain=forward content=”www.facebook.com” action=drop

Nesse exemplo, eu bloquei o site do facebook, sendo possível alterar o content somente por “facebook” (lembrando que não é aconselhável, pois qualquer site ou programa que contenha “facebook”, o mikrotik bloqueará o acesso). Para bloquear em um determinado range, é só adicionar:

[admin@mikrotik] > ip firewall filter add chain=forward content=”www.facebook.com” action=drop src-address=192.168.3.0/24

Sendo que no caso, o range a ser bloqueado foi o “192.168.3.0/24″, caso deixado em branco, será bloqueado toda a rede.
É isso, até mais e até o próximo post!

Hoje ensinarei como criar um servidor DHCP no mikrotik, é um procedimento bem simples e bem útil, dando para usar em várias coisas. Eu já havia mostrado como criar um servidor PPPoe, até daria para usar o mesmo post, mas decidi criar algo específico mara não confundir as coisas, até por que irei em aprofundar mais no assunto.
Antes de começarmos, irei dar uma breve explicada sobre o mesmo. O Significado de DHCP: “Dynamic Host Configuration Protocol” traduzido: “Protocolo de configuração de host dinâmico” é um protocolo de serviço TCP/IP que oferece configuração dinâmica de terminais, com concessão de endereços IP de host e outros parâmetros de configuração para clientes de rede (fonte Wikipédia).
Primeiramente, devemos escolher um range de ip para o DHCP. Nesse exemplo usaremos a faixa 192.168.3.1/24.
Abra o terminal do mikrotik, e para começar iremos criar um pool para nosso servidor.

[admin@mikrotik] > ip address add address 192.168.3.1/24 interface=ether2
[admin@mikrotik] > ip pool add ranges=192.168.3.2-192.168.3.254 name=dhcp1

Feito isso, agora criaremos o servidor dhcp.

[admin@mikrotik] > ip dhcp-server add name=dhcp interface=ether2 address-pool=dhcp disabled=no
[admin@mikrotik] > ip dhcp-server network add address=192.168.3.0/24 gateway=192.168.3.1 dns-server=8.8.8.8,8.8.4.4

Agora, nosso servidor já está configurado e pronto para distribuir DHCP. Lembrando que, altere para a interface em que você queira que o DHCP funcione.
Ensinarei algumas opções a mais que podem ser utilizadas, como, após ter esgotados os ips do range criado, tem como configurar para o servidor ir para outro range automático, para isso, é só criar um novo pool, um novo ip e editar nosso pool e nosso servidor:

Crie um novo pool, e em seguida modifique o criado anteriormente:

[admin@mikrotik] > ip pool add ranges=192.168.4.2-192.168.4.254 name=dhcp2
[admin@mikrotik] > ip pool edit dhcp1 next-pool

Após dar enter no ultimo comando acima, irá aparecer uma tela em branco escrito “none”, modifique e coloque o novo pool, que no caso é o “dhcp2″ (feito isso, de um ctrl+o).
Depois de modificado, modificaremos nosso servidor pppoe

[admin@mikrotik] > ip dhcp-server network edit number=0 next-server

O último comando é o mesmo sistema de modificar o pool, de enter e modifique por “192.168.4.0″, que é a rede do novo pool criado, siga com um “ctrl+o” para salvar.
Bem, por enquanto é somente isso, posteriormente mostrarei como “amarar” o MAC ao ip. Até mais galera :)

Começando a série de tutoriais, utilizarei uma máquina virtual do RouterOS para os mesmos, informo que, para um melhor aprendizado de como aprender a fazer um servidor pppoe no mikrotik, recomendo ler Entendendo o básico sobre redes.

Começando, criaremos uma faixa de IP para o servidor PPPoe:

[admin@mikrotik] > ip address add address=192.168.199.1/24 interface=SaidaLink

Lembrando que, esse IP estará que estar na interface de saída, caso coloque na interface de entrada, o servidor PPPoe não funcionará.
Agora crie um Pool (nesse caso, será o range em que o servidor distribuirá os ips)

[admin@mikrotik] > ip pool add name=PPPoe ranges=192.168.199.100-192.168.199.200

Agora, o servidor irá distribuir DHCP nessa faixa de ip (do ip 100 ao 200).
Depois que os ips estão configurados, criaremos um Profile para o PPPoe Server:

[admin@mikrotik] > ppp profile add name=PPPoe local-address=192.168.199.1 remote-address=PPPoe use-mpls=no use-compression=no use-vj-compression=no use-encryption=yes

Nesse profile, definimos que: o “local-address”, é o gateway que o client PPPoe recebera, no nosso caso será o IP que foi levantado na RB (192.168.199.1). Já o “remote-address”, é o Pool que configuramos para distribuir os IPs para os clientes.
Após criado o Profile, será configurado a interface PPPoe Server:

[admin@mikrotik] > interface pppoe-server server add service-name=PPPoe interface=SaidaLink default-profile=PPPoe disabled=no

Lembrando que, esse “default-profile” citado acima, não é o profile que o PPPoe server usará, e sim o profile default, ou seja, caso você não defina nenhum profile no usuário “secret”, ele ira configurar altomaticamente para o profile definido.
Depois de ter criado o servidor PPPoe, só falta criar o usuário para o servidor PPPoe autenticar:

[admin@mikrotik> ppp secret add name=admin password=123456 profile=PPPoe service=pppoe

Agora o principal: criando a regra Masquerade para a faixa de IP do servidor PPPoe:

[admin@mikrotik> ip firewall nat add action=masquerade chain=srcnat src-address=192.168.199.0/24

Pronto, nosso servidor pppoe está configurado e pronto para rodar. Agora vai uma dica: você pode criar vários profiles, cada um como uma limitação. No exemplo abaixo, editarei o profile “PPPoe” que nós criamos, para limitar a velocidade para 500k/500k:

[admin@mikrotik> ppp profile edit PPPoe rate-limit

Após ter digitado o comando acima, dê enter, irá aparecer um editor de texto, coloque a velocidade desejada, no caso ficará como “500k/500k” aperte crtl+o e pronto, o profile PPPoe estará limitado a banda. Pode ser criado vários profiels, cada um com sua configuração. OBS.: caso crie mais de um profile, lembre de alterar no usuario “secret”.

Pois bem, esse nosso servidor PPPoe, é feita pela autenticação direta do mikrotik, logo ensinarei a autenticar com um servidor Radius.

Fala galera, continuando com a série de tutoriais, nesse ensinarei a bloquear o famoso “flood ping” com alguns comandos básicos do Mikrotik. Colocarei aqui também como fazer algumas restrições como limitar o ping.
Primeiramente, a regra básica para bloquear o ping é:

[admin@MikroTik] > ip firewall filter add chain=input protocol=icmp action=drop

Com isso, toda solicitação de ping ao mikrotik será “barrado”, método muito útil para quem tem medo de alguem fazer um flood ping no seu RouterOS.
Para bloquear somente um “range” de ips, também é simples, para isso tera que criar uma “Address List”. A Primeira regra a seguir, ira criar a “address list” a segunda será para bloquear para os ips da primeira regra. Ai vai:

[admin@MikroTik] > ip firewall address-list add list=”bloqueia ips” address=”192.168.88.0/24″
[admin@MikroTik] > ip firewall filter add chain=input protocol=icmp src-address-list=”bloqueia ips” action=drop

Explicando: na primeira regra, eu defini qual ip que eu irei bloquear, no caso eu escolhi bloquear toda a faixa 192.168.88.0/24, para usar a mesma address list com vários ips, é só ir criar a regra deixando o nome igual e mudando sómente o ip.
Na segunda regra, eu defini que, só não irá pingar na RB somente a address list “bloqueia ips”.

Esses dois modelos que eu dei, são dois básicos que acabam se tornando úteis, existem várias regras, algumas considero inúteis, outras de extrema importáncia. Recomendo que, para melhor aprendizado, tente criar novos modelos, existem vários tipos para serem criadas, como eu disse, citei somente dois modelos, porém vai que numa dessas você acaba aprendendo o que faltava para sua regra ficar perfeita?

Olá galera, ao criar um post, me deparei com o seguinte problema: perdi acesso na RB, lógicamente tive que resetar a mesma, pois não consegui acessar ela nem a pau. Que bomba. Eu que já sabia, foi fácil, mas o procedimento não é que nem de roteadores, que você vai no botão Reset, fica apertado e ja reseta, esse botão serve para voltar o backup da RouterBoot.

E agora? Como resetar se o unico botão de reset não funciona? Aí vai a solução: para resetar sua RB, terá que “fechar curto” em um jumper da mesma: na foto abaixo, estará aonde destacado o jumper, ai é só pegar uma chave de fenda, ou algum metal que consiga encostar nos dois lados.

Qualquer modelo de RouterBoard terá esse jumper, porém em lugares diferentes.
Outro método de resetar a RB ou é por cabo serial ou via terminal:

[admin@MikroTik] > system reset-configuration

Se você tem o RouterOS instalado em alguma máquina, sem ser uma RB, para resetar você terá que dar o comando citado acima. Caso você acesse remotamente, terá que ir na máquina real (ou VM mesmo), pois pelo winbox não acessará.

Decidi postar isso (resetando routeros), pois pra quem não sabe resetar, é uma droga mesmo, perde muito tempo, e até conseguir uma resposta pode demorar um pouco. E acredite, se você for começar a fuçar em mikrotik uma hora ou outra irá acontecer de perder acesso ou algo do gênero.

Olá galera, nesse post, ensinarei como fazer redirecionamento de portas no mikrotik. É bem simples e fácil de aprender, sem segredo nenhum. Mostrarei como fazer tanto na parte gráfica (winbox) como no terminal.

Abra o terminal do mikrotik e digite:

[user@MikroTik] > ip firewall nat add chain=dstnat dst-address=185.24.58.125 protocol=tcp dst-port=64322 action=dst-nat to-addresses=192.168.178.254 to-ports=22
[user@MikroTik] >

Explicação: Eu fiz um redirecionamento da porta 22 do ip 192.168.178.254 para o ip 185.24.58.125 na porta 64322, ou seja, ao acesso externo, o usuario irá conectar via ssh pelo ip 185.24.58.125 na porta 64322. Vejam na sintaxe acima, que eu escolho “dstnat” (que vai ser um nat externo, destino) o “dst-addres” (que é o ip de destino ou o ip válido) e a “dst-port” (que é a porta externa). Mais na frente, vai ter a “action”, onde a regra vai fazer a ação dela, veja que em to-address (para o endereço), eu coloco o ip da maquina onde ta instalado o servidor SSH (porta 22).

Ai vai a nat depois de pronta:

Obs.: Os ips que eu utilizei acima, são somente ilustrativos, para saber qual é seu “ip válido” verifique com seu administrador de redes. Nos proximos Posts, ensinarei como fazer uma BRIDGE no modem ADSL, para colocar o Mikrotik como cliente PPPoe e fazendo o roteamento para a rede interna, sabendo assim mais facil de fazer o redirecionamento de portas e outros conteúdos que eu vou ensinar(método muito excelente para quem quer montar um “servidor private” ou algo do gênero em casa).

Existem várias outras configurações avançadas que eu não vou entrar em detalhes agora, mas o principal para deixar a NAT funcionando são as configurações citadas acima.

Olá novamente pessoal, irei começar a falar sobre um assunto em que eu realmente gosto um monte, e que é uma das coisas em que eu mais utilizo na atualidade. Ele é de extrema importancia na minha vida atual (rs) é nele em que eu mais gasto minhas horas tentando aprender coisas novas, as utilidades deles são infinitas, da para usar ele como um gerenciador de uma rede local, assim como gerenciar uma rede com 2000 usuários (é, ele é poderoso a ponto de fazer milagres). Se querem ter um bom conhecimento em redes, eu indico aperfeiçoar seus conhecimentos no Mikrotik, pois eu dúvido um provedor via-rádio que não utilize-o em sua rede.

Além de exister o O.S., as chamadas RouterBoards também utilizam seu sistema, sendo assim possível utilizar cartões wireless para PTP, ou até mesmo para criar um HotSpot ou um servidor PPPoe.

Começarei uma série de tutoriais para o mesmo, como eu não sei tudo sobre a área, qualquer comentário é bem vindo.