Et cætera

Acesso externo pode ser um problema se você não tiver um ip fixo, alguns modos podem ser usados, aqui mesmo já falei sobre o no-ip , que ainda uso, mas agora com este script alem de manter o no-ip funcional também recebo o ip externo por e-mail fora sair fora de falhas , lembre-se de ativar o envio de e-mail dentro de tools . #insira entre as aspas informações complementares a serem inclusas no e-mail :local Complemento "" #Insira o e-mail a receber o bkp :local Email email@gmail.com.br #Definindo variaveis :local IdentityRB [/system identity get name] :local ModeloRouterBoard [/system routerboard get model] :local ModRB [/system resource get board-name] :local VersaoRouterOS [/system resource get version] # Atualização automático No-IP DNS dinâmico # --------------- Alterar valores nesta seção para coincidir com sua configuração ------------------ # Informações sobre a conta do usuário No-IP, nome host e interface de entrada de internet :local noipusernam

Aqui falei sobre o scripts e citei o backup, abaixo deixo um script que gera o backup e envia para um e-mail pre definido, necessário ter seguido a dica numero 2 aqui . Lembre-se de alterar para um e-mail seguro e que você tenha acesso #insira entre as aspas informações complementares a serem inclusas no e-mail :local Complemento "" #Insira o e-mail a receber o bkp :local Email email@gmail.com.br #Definindo variaveis :local IdentityRB [/system identity ge name] :local ModeloRouterBoard [/system routerboard get model] :local ModRB [/system resource get board-name] :local VersaoRouterOS [/system resource get version] /system backup save name="$IdentityRB Auto" :delay 5s /tool e-mail send to=$Email subject="Backup $IdentityRB" file="$IdentityRB Auto.backup" body="Em anexo backup Mikrotik $IdentityRB modelo: $ModeloRouterBoard / $ModRB versão RouterOS: $VersaoRouterOS utilizada no gerenciamento de internet $Complemento." e claro faça

Mesmo com todo potencial do RouterOS algumas ferramentas não existem, mas isto pode ser sanado criando uma sequência de comandos que resolva a equação. lembre-se de  manter o relógio correto para não ter falhas na execução vou deixar aqui 2 scripts simples para indicar o caminho 1º para reiniciar a RB 1 vez ao mês sempre na segunda feira, em System > Scripts adicione este script com o nome reboot /system reboot no Terminal digite: /system scheduler add interval=4w name=reboot on-event=reboot policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=oct/09/2017 start-time=05:00:00 2º ciar um backup semanal eliminando o anterior todo domingo, mesmo caminho anterior agora o nome é backup :local IdentityRB [/system identity ge name] /system backup save name="$IdentityRB Auto" no Terminal digite: /system scheduler add interval=1w name=backup on-event=backup policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon sta

Queues cria filas que são usadas para limitar e priorizar o tráfego, e não vou me adentrar no mesmo hoje, como já expliquei a implementação do hospot vou apresentar o Burst para ser usado no mesmo. Burst é um recurso que permite satisfazer o requisito da fila para largura de banda adicional, mesmo que a taxa requerida seja maior que MIR ( limite máximo ) por um período de tempo limitado. A explosão pode ocorrer somente se a taxa média da fila para os últimos segundos de tempo de explosão for menor que o limite de explosão . Burst irá parar se a taxa média da fila para os últimos segundos do período de explosão for maior ou igual ao limite de explosão O mecanismo de explosão é simples - se o estouro é permitido , o valor limite máximo é substituído pelo valor do limite de ruptura . Quando a explosão está impedida , o valor do limite máximo permanece inalterado. Sendo Mais direto com o Burst é possível liberar velocidades mais agressivas para os usuários, com a tranquilidade que se

Apresentei aqui o hotspot do RouterOS agora trago dicas para otimizar seu uso e controle. 1º Faça uso sempre do "Rate Limit" presente no profile, assim reduzirá os  sanguessuga de trafego. 2º "Http Cookie Lifetime" presente em server profile, cria na aba cookies um controle para novos login automáticos 3º "Idle Timeout", "Keepalive Timeout" e "Login Timeout" limpa conexões mortas 4º "Shared Users" permite uma quantidade de conexões por usuário 5º "Session Timeout" derruba usuário apos expirar time mas não impede uma reconexão 6º Usuário pode ser atrelado a uma unica maquina através de "ip address", "mac address" ou ambos 7º Usuário pode ter seu uso controlado em GB ou tempo dentro da aba "Limits", uma vez alcançado permanecera bloqueado ate o aumento do limite ou reinicio dos contadores "Reset Counters". 8º Em "IP Bindings" é possível adicionar Addres

Para sanar dificuldades como usuários muito gastões de banda, ou mesmo que passam muito tempo navegando e pouco produzindo o controle através de Hotspot pode ser a solução. Na sequencia de post vou documentar informações sobre a configuração da ferramenta. Todas as configurações serão feitas em IP > Hotspot Começamos criando um perfil /ip hotspot profile add dns-name=www.internethotspot.com.br http-cookie-lifetime=30m login-by=cookie,http-chap name=HS-profile rate-limit=1M limitado a 1 Megabit de velocidade e agora o servidor /ip hotspot add disabled=no interface=ether3 name=server1 profile=HS-profile acerte a interface de distribuição se não possuir uma interface html execute este codigo /ip hotspot reset-html server1 posteriormente pode ser personalizado Agora criamos os perfis de usuários /ip hotspot user profile add idle-timeout=2m keepalive-timeout=2m name=Basic rate-limit=1M shared-users=1 status-autorefresh=1m transparent-proxy=no add idle-timeout=2m ke

Dica número 1 vá em System Packages e desative os serviços que não for utilizar, algum desempenho é ganho com isso e elimina opções não usadas da tela. Dica número 2 ative e configure o envio de e-mail dentro de Tools, exemplo: /tool e-mail set address=smtp.gmail.com from=<exemplo.gmail.com> password=senha port=587 user=exemplo.gmail.com Dica número 3 use sempre o botãozinho maroto Safe Mode, enquanto ativado todas as alterações serão desfeitas em caso de uma queda de conexão acidental do winbox, para commit as alterações basta desativar. Dica número 4 em Ip Services é possível desativar e mesmo alterar as portas de acesso a RB auxiliando na  segurança. /ip service set api disabled=yes /ip service set api-ssl disabled=yes /ip service set ftp disabled=yes /ip service set ssh disabled=yes /ip service set telnet disabled=yes /ip service set www  port=8080 /ip service set www-ssl disabled=yes Dica número 5 Ajustar MTU das interfaces para melhorar o u

O NTP é um protocolo para sincronização dos relógios dos computadores baseado no protocolo UDP sob a porta 123, para sincronização do relógio de um conjunto de computadores em redes de dados com latência variável. O NTP permite manter o relógio de um computador com a hora sempre certa e com grande exatidão. Originalmente idealizado por David L. Mills da Universidade do Delaware e ainda hoje mantido por si e por uma equipe de voluntários, o NTP foi utilizado pela primeira vez antes de 1985, sendo ainda hoje muito popular e um dos mais antigos protocolos da internet. Uma característica básica e ao mesmo tempo importante do tempo é que ele sempre avança. O tempo não para e não volta atrás. Vários programas de computador fazem uso dessa característica e podem ter seu funcionamento comprometido se o relógio do computador inesperadamente passar a indicar um horário errado, especialmente se for um horário no passado. Isso se complica ainda mais na Internet, com vários computadores trocando

RSA é um algoritmo de criptografia de dados, que deve o seu nome a três professores do Instituto de Tecnologia de Massachusetts (MIT), Ronald Rivest, Adi Shamir e Leonard Adleman, fundadores da actual empresa RSA Data Security, Inc., que inventaram este algoritmo — até a data (2008) a mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se em teorias clássicas dos números. É considerado dos mais seguros, já que mandou por terra todas as tentativas de quebrá-lo. Foi também o primeiro algoritmo a possibilitar criptografia e assinatura digital, e uma das grandes inovações em criptografia de chave pública. O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. A criptografia RSA atua diretamente na internet, por exemplo, em mensagens de emails, em compras on-line e o que você im

Rede privada virtual, do inglês Virtual Private Network (VPN), é uma rede de comunicações privada construída sobre uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrões, não necessariamente seguros. Em resumo, cria uma conexão segura e criptografada, que pode ser considerada como um túnel, entre o seu computador e um servidor operado pelo serviço VPN. Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Alguns desses protocolos que são normalmente aplicados em uma VPN estão: Layer 2 Tunneling Protocol (L2TP), L2F, Point-to-Point Tunneling Protocol (PPTP) e o IP Security Protocol (IPsec). Q

Um novo estudo parece chegar para provar o que nós já sabíamos: tuitar, atualizar o status do Facebook e checar o LinkedIn durante o horário de trabalho reduz a produtividade. Stoney Brooks, professor de computação da Middle Tennessee State University, descobriu que o "canto da sereia" das mídias sociais atrapalha até os profissionais mais capazes de realizar diversas tarefas ao mesmo tempo. "O uso pessoal de redes sociais causa efeitos negativos tanto na eficiência quanto no bem-estar dos profissionais", diz a pesquisa. Se está vivenciando esta dificuldade talvez este bloqueio abaixo possa resolver o problema. Apenas horário comercial com almoço liberado. /ip firewall filter add action=jump chain=forward comment="Saltar para a cadeia criada redes sociais" jump-target="redes sociais" time=08h-12h,mon,tue,wed,thu,fri /ip firewall filter add action=jump chain=forward comment="Saltar para a cadeia criada redes sociais" jump-target=

As funções utilizadas neste post para controle p2p deixaram de ser suportadas  no RouterOS 6.39 Peer-to-peer (do inglês par-a-par ou simplesmente ponto-a-ponto, com sigla P2P) é uma arquitetura de redes de computadores onde cada um dos pontos ou nós da rede funciona tanto como cliente quanto como servidor, permitindo compartilhamentos de serviços e dados sem a necessidade de um servidor central. As redes P2P podem ser configuradas em casa, em Empresas e ainda na Internet. Todos os pontos da rede devem usar programas compatíveis para ligar-se um ao outro. Uma rede peer-to-peer pode ser usada para compartilhar músicas, vídeos, imagens, dados, enfim qualquer coisa com formato digital. Um exemplo de transmissão de dados via peer-to-peer são os Torrents. Sendo sincero este método não funciona para todas as conexões p2p mas ajuda muito /ip firewall mangle add action=mark-connection chain=prerouting comment="CONTROLE P2P 1/7" new-connection-mark=p2p_conn p2p=all-p2p passthrough

Dificilmente isto sera usado mas como tudo é possível deixo aqui o método mais eficaz para bloquear o TeamViewer /ip firewall filter add action=accept chain=forward comment="Bloqueio TeamViewer 5/5" dst-address-list=TeamViewer src-address-list=TeamViewer_Liberado time=7h-18h,mon,tue,wed,thu,fri add action=accept chain=forward comment="Bloqueio TeamViewer 4/5" dst-address-list=TeamViewer_Liberado src-address-list=TeamViewer time=7h-18h,mon,tue,wed,thu,fri add action=drop chain=forward comment="Bloqueio TeamViewer 3/5" dst-address-list=TeamViewer add action=drop chain=forward comment="Bloqueio TeamViewer 2/5" src-address-list=TeamViewer add action=add-dst-to-address-list address-list=TeamViewer address-list-timeout=4w chain=forward comment="Bloqueio TeamViewer 1/5" dst-port=5938 protocol=tcp /ip firewall address-list add address=192.168.0.1 list=TeamViewer_Liberado

O que é spam? Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail). O que são spam zombies? Spam zombies são computadores de usuários finais que foram comprometidos por códigos maliciosos em geral, como worms, bots, vírus e cavalos de tróia. Estes códigos maliciosos, uma vez instalados, permitem que spammers utilizem a máquina para o envio de spam, sem o conhecimento do usuário. Enquanto utilizam máquinas comprometidas para executar suas atividades, dificultam a identificação da origem do spam e dos autores também. Os spam zombies são muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege. Com esta breve explicação vamos continuar já passei por usuários comprometidos e gerando transtornos para os demais membros da lan, depois de muito garimpo reuni as id

Não é muito sensato investir em uma RB e deixar ela com as pernas abertas para o mundo, por isto vou começa hoje a deixar aqui algumas regras que tenho prontas para prevenir alguns problemas que podem ocorrer. 1º a porta UTP 53 é responsável pelo serviço DNS já a TCP constantemente é atacada /ip firewall filter add action=drop chain=input comment="Bloqueio Porta 53" dst-port=53 protocol=tcp /ip firewall filter add action=drop chain=input comment="Bloqueio Porta 53 Externo" dst-port=53 in-interface=pppoe-out1 protocol=udp 2º ataques DDos podem tirar suas noites de sono já tenho de antemão preparado esta sequencia de regras em caso de emergência ativo a 3 regra e deixo a RB trabalhar /ip firewall filter add action=add-src-to-address-list address-list=DDos_blacklist address-list-timeout=1d chain=input comment="Prote\E7\E3o DDos 1/5" connection-limit=32,32 protocol=tcp add action=tarpit chain=input comment="Prote\E7\E3o DDos 2/5" connectio

Um método muito utilizado para acessar externamente serviços locais desde um simples monitoramento de câmeras ate um servidor ftp/web u mesmo acesso remoto é o direcionamento de portas via NAT (Network Address Translation). Com o surgimento das redes privadas com internet compartilhada, surgiu o problema de como os computadores pertencentes a esta rede privada poderiam receber as respostas aos seus pedidos feitos para fora da rede. Por se tratar de uma rede privada, os números de IP interno da rede (como 10.0.0.0/8, 172.16.0.0/16 e 192.168.0.0/24) nunca poderiam ser passados para a Internet pois não são roteados nela e o computador que recebesse um pedido com um desses números não saberia para onde enviar a resposta. Sendo assim, os pedidos teriam de ser gerados com um IP global do router. Mas quando a resposta chegasse ao router, seria preciso saber a qual dos computadores presentes na LAN pertencia aquela resposta. A solução encontrada foi fazer um mapeamento baseado no IP intern

Ensinei aqui a montar o servidor DHCP , mas logo em seguida deparei-me com o seguinte questão, como controlar o trafego destas conexões para não arrebentar com o link? Pesquisando encontrei uma forma bacana, simples e pronta, mas resolvi adicionar o controle de velocidade via burst threshold para poder abusar um pouco mais. Segue o script para inserir no terminal, Velocidade liberada = 4Mb /ip dhcp-server set lease-script="#Lease to Simple Queues\r\n#V.1 by Virtual IT Export\r\n#V.2 by Guilherme Moura\r\n:local queueName \"DHCP-\$leaseActMAC\";\r\n\r\n:if (\$leaseBound = \"1\") do={\r\n     /queue simple add name=\$queueName target=(\$leaseActIP . \"/32\") max-limit=492K/1639K burst-limit=1229K/4M burst-threshold=787K/2622K burst-time=64/64 priority=6/6 limit-at=369K/1229K comment=[/ip dhcp-server lease get [find where active-mac-address=\$leaseActMAC && active-address=\$leaseActIP] host-name];\r\n} else={\r\n     /queue simple remove \$

O DHCP, Dynamic Host Configuration Protocol (protocolo de configuração dinâmica de host), é um protocolo de serviço TCP/IP que oferece configuração dinâmica de terminais, com concessão de endereços IP de host, máscara de sub-rede, default gateway (gateway padrão), número IP de um ou mais servidores DNS, sufixos de pesquisa do DNS e número IP de um ou mais servidores WINS. Este protocolo é o sucessor do BOOTP que, embora mais simples, tornou-se limitado para as exigências atuais. Navegue através de ip > DHCP Server click em DHCP Setup 1º escolha a porta eth que irá distribuir o DHCP 2º Informe a classe de ip (normalmente esta correto) 3º o Gateway da rede (normalmente esta correto) 4º deixe em branco 5º faixa de ip para gerir o DHCP 6º DNS Server (normalmente esta correto) 7º tempo da sessão (altero para 12:00:00) pronto, já esta distribuindo ip na rede, abaixo código para configuração via terminal /ip pool add name=dhcp ranges=192.168.0.128/27 /ip dhcp-server add add-a

O Domain Name System (DNS) é um sistema de gerenciamento de nomes hierárquico e distribuído para computadores, serviços ou qualquer recurso conectado à Internet ou numa rede privada. Mesmo com as configurações aqui apresentadas você ainda pode estar tendo dificuldade em navegar na internet ou mesmo sofrendo com lentidão, recomendo fazer esta configuração e observar o resultado. Vá em /Ip DNS set manualmente os servidores DNS, estou habituado a utilizar o OpenDNS e o GoogleDNS  na data que escrevo com o código abaixo cadastra os endereços corretos automaticamente /ip dns set allow-remote-requests=yes servers="208.67.222.123,208.67.220.123,208.67.222.222,208.67.220.220,8.8.8.8,8.8.4.4" Com esta configuração você pode ate mesmo apontar a RB como servidor DNS de sua rede acelerando processamento de endereços mais utilizados. Obs: se você definiu os servidores manualmente ative a opção Allow remore Requests para processar todos endereços solicitados. Para analisar qual

Vamos agora definir um ip static para a RB Na barra lateral click em Quick Set Em IP Address defina o endereço local para ser o gateway abaixo informe a Mascara de rede recomendo o 255.255.255.0 Agora basta aplicar Mais informações em:  https://wiki.mikrotik.com/wiki/Manual:IP/Address

Para distribuir internet dentro da lan 1º criamos a conexão e agora criaremos uma regra NAT (Network Address Translation) para mascarar a navegação. Varias são as formas de criar a regra NAT, uma é criar o mascaramento baseado na porta WAN (eth onde esta o cabo de rede da net) /ip firewall nat add chain=srcnat action=masquerade out-interface=Public outra e fazer o NAT baseado no rage ip utilizado na rede interna /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 Agora a internet já esta utilizável pelos demais dispositivos da rede interna, dentro de configuração de rede aponte gateway = ip da RB, se ainda não definiu o ip da RB vamos fazer isso agora Mais informações em:  https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

PPPoE (sigla em inglês para Point-to-Point Protocol over Ethernet) é um protocolo de rede para encapsular quadros PPP dentro de quadros Ethernet. Ele surgiu em 1999, no contexto da explosão da DSL como a solução para tunelamento de pacotes sobre a conexão DSL para a rede IP dos ISPs e a partir daí para o resto da Internet. Um livro de redes de 2005 observou que "a maioria dos provedores DSL usam PPPoE, que fornece autenticação, criptografia e compressão. O uso típico do PPPoE envolve alavancar os recursos do PPP para autenticação do usuário com um nome de usuário e senha, predominantemente por meio do protocolo PAP e menos frequentemente pelo CHAP. Vamos Agora conectar nossa RB a uma rede externa "Internet" via pppoe, estou utilizando a versão 6.3x.x Na barra lateral click em Quick Set Em Address Acquisition marque PPPoE abaixo informe o nome de usuário e a senha Agora basta aplicar Com este processo foi criado dentro de Interfaces uma conexão PPPoE e o RouterOS

Para atualiza o RouterOS primeiro temos que  localizar qual o modelo ou qual o tipo de arquivo atualizador que ele utiliza, ambras as informações podem ser localizadas na barra de titulo do winbox Agora  acesse esta página  para efetuar o download da atualização recomento a Bugfix only. Agora vamos carregar o arquivo para dentro da RB via winbox, no menu lateral click em files > arraste o arquivo da atualização para dentro desta tela ou use a opção upload para localizar. Agora em New Terminal system reboot y Nas versões mais novas também é possível atualizar acessando na barra lateral Quick Set > Check for updates. Em Channel escolha "bugfix only" > Download&Install Agora basta aguardar. Pronto RouterOS está atualizado Mais informações em:  https://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS

Já apresentei para vocês aqui a MikroTik suas RouterBoard e seu RouterOS, agora vou documentar aqui o processo para instalar umas RB (RouterBoard). Primeiramente vamos fazer o download do Winbox . Agora ligamos os aparelhos e espetamos o cabo de rede, no RouterOS as portas de rede são direcionadas para a finalidade, vou preparar a RB para ter 40% das portas com link de entrada (WAN) e os outros 60% para saída na rede interna (LAN), assim fico com espaço para adicionar link reserva, com este raciocínio vou colocar o cabo na porta 3 da minha RB750Gr3. Voltamos agora para a aplicação winbox que já concluiu o download. Click em Neighbors > Refresh Selecione a RB através do MAC Address Usuário padrão: admin Password: em branco Connect Esta é a tela inicial do RouterOS Eu normalmente Removo esta configuração inicial e começo do zero. Também executo uma atualização do RouterOS neste momento. Não se esqueça de trocar a senha do admin ou ate mesmo criar um novo usuá

MikroTik é uma empresa da Letônia, fabricante de equipamentos para redes de computadores. Vende produtos wireless e roteadores. Foi fundada em 1995, com intenção de venda no mercado emergente de tecnologias wireless. Seus equipamentos são muito utilizados por provedores de banda larga e empresas dos mais variados segmentos (hotéis, pousadas, universidades, empresas, etc) em todo o mundo, em função de sua conhecida estabilidade e versatilidade.  O principal produto da empresa é o sistema operacional baseado em Linux chamado MikroTik RouterOS. Ele permite que qualquer plataforma x86 torne-se um poderoso roteador, com funções como VPN, Proxy, Hotspots, Controle de Banda, QoS, Firewall, dentre outras, que variam de acordo com o nível de licença do sistema adquirido. Com o RouterOS pode-se criar uma rede muito segura, com um firewall eficiente e concatenação de links. Além disso, o sistema conta com o suporte de protocolos de roteamento, entre eles BGP, RIP, OSPF, MPLS, etc.  RouterB