Diogo contratou com uma empresa um serviço de internet com ip fixo(Público) 187.37.170.149, autenticando o link no seu próprio Mikrotik para que o mesmo tenha total gerencia da sua rede, o mesmo notou que partindo de uma rede externa era possível pingar no seu IP 187.37.170.149, o Diogo entrou em contato com o suporte corporativo pedindo auxilio para ser criada uma regra de firewall para que não os pings não cheguem até o seu IP. Dessa forma, qual configuração deve ser feita no Mikrotik para que os pings partindo da rede externa não cheguem no seu IP?
Soluções para a tarefa
Resposta:
Acesse o seu Mikrotik e clique no menu “New Terminal” e vamos fazer um teste de ping no ip dns do Google e nos certificarmos de que o roteador ainda não tem saída para a internet.
Agora acesse o menu IP e selecione a opção DHCP Client, você verá que ainda não ha configuração para a interface que será a WAN (Wide Area Network).
Como no exemplo usaremos a interface “ether1-wan“. A rede WAN é a rede de longa distancia, ou seja, a rede mundial. O acesso a essa conexão é providenciada pelo provedor de internet.
Agora vamos até o menu IP, onde configurações de “Rede”, “Firewall”, “Mascaramento” dentre outras são realizadas. Selecione as opções, Addresses, DHCP Client e Routes.
Ao clicar em Addresses será aberta uma janela onde estão listadas os ips de todas as interfaces e/ou redes configuradas no seu Mikrotik, se você não tem configurações no seu roteador está lista estará vazia.
DHCP Client, nessa área podemos configurar definir a interface WAN para receber o ip do modem (provedor de internet) de forma dinâmica ou manual (estática).
Dessa forma o Mikrotik será integrado a rede local de onde virá a liberação e mascaramento para o acesso a internet.
Usaremos o modo automático, onde o roteador receberá as definições de endereço “ip”, “máscara de rede”, “gateway” e as definições de servidor “dns”.
Clicamos no botão de addição “+” e na tela seguinte selecionamos a interface WAN , mantemos marcadas as opções “Use Peer DNS” para o recebimento automático do dns da rede e a “Use Peer NTP” para o RouterOS o horário local.
Uma das opções mais importantes nesse processo é manter como “yes” a opção “Add Default Route“.
Essa configuração permite ao Mikrotik criar automaticamente a rota de saída dos dispositivos da rede para o modem de internet, de onde vem a liberação.
Após definido isso, clicamos em “Applay” e “OK“. Logo veremos na janela “Route List” as rotas criadas automaticamente através da nossa configuração em DHCP-Client.
Se voltarmos a fazer o teste de ping teremos o retorno de “timeout” ou seja “tempo esgotado”. Isso significa que não houve resposta da internet para a solicitação.
O que acontece é que a nossa solicitação de ping assim como qualquer outra que estiver sendo feita nesse momento está na rede local.
Ele só consegue sair para a internet através de um “mascaramento” feito pelo roteador onde o ip da rede local é substituído pelo ip válido na internet, que pertence ao modem, liberado pelo provedor de internet.
Nesse caso, precisamos voltar ao menu “IP“, selecionar a opção “Firewall” e selecionamos a aba “NAT” e clique em “+” para adicionar essa máscara.
Precisaremos definir apenas três configurações nessa área, definir a “Chain“, “Out. Interface” na aba General. Na aba Action definiremos como ação “masquerade“.
Agora podemos clicar e Apply e OK para aplicarmos as configurações.
Fazendo o teste de ping novamente verificamos que já há resposta da internet no nosso roteador Mikrotik.
Explicação: