+ Responder ao Tópico



  1. #1

    Padrão Bloqueando NETBIOS no Mikrotik Bridge

    As regras não são minhas, no final tem o link da matéria.


    Para bloquear o NETBIOS (Compartilhamento de arquivos) no Mikrotik Bridge, é necessário utilizar o filtro no menu BRIDGE do Mikrotik. Muitos tutoriais informam fazer isso no menu IP->Firewall, mas se o Mikrotik estiver configurado como Bridge, esse filtro não funciona.

    Primeiro, após logado no Mikrotik, acesse o menu BRIDGE.

    A chain forward já vem selecionada pro padrao.

    Em seguida clique na seta ao lado esquerdo de MAC Protocol, selecione o protocolo 800 (ip), mais embaixo selecione o protocolo 6 (tcp) e para finalizar essa guia, digite o range (intervalo) das portas a bloquear, no caso 135-139.


    Feito isso selecione a guia Action, e mude o action de accept para drop.


    Para que o bloqueio seja feito por completo, repita os procedimentos para as portas 135-139 no protocolo UDP e para a porta 455 no protocolo TCP.
    Se tiver o interesse em bloquear o acesso entre clientes na mesma porta do AP, desative a função default forward do Mikrotik.






    Quem gostar, pode agradecer !
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         bridgefilteractionxk0.jpg
Visualizações:	1534
Tamanho: 	23,0 KB
ID:      	5577   Clique na imagem para uma versão maior

Nome:	         bridgefiltergeneralxj4.jpg
Visualizações:	1849
Tamanho: 	37,8 KB
ID:      	5578  

    Clique na imagem para uma versão maior

Nome:	         bridgefilterstatisticshe1.jpg
Visualizações:	1287
Tamanho: 	24,4 KB
ID:      	5579  
    Última edição por superxandaoce; 16-10-2009 às 13:02.

  2. #2

    Padrão Colocar PC acima do MK na rede

    Citação Postado originalmente por superxandaoce Ver Post
    As regras não são minhas, no final tem o link da matéria.


    Para bloquear o NETBIOS (Compartilhamento de arquivos) no Mikrotik Bridge, é necessário utilizar o filtro no menu BRIDGE do Mikrotik. Muitos tutoriais informam fazer isso no menu IP->Firewall, mas se o Mikrotik estiver configurado como Bridge, esse filtro não funciona.

    Primeiro, após logado no Mikrotik, acesse o menu BRIDGE.

    A chain forward já vem selecionada pro padrao.

    Em seguida clique na seta ao lado esquerdo de MAC Protocol, selecione o protocolo 800 (ip), mais embaixo selecione o protocolo 6 (tcp) e para finalizar essa guia, digite o range (intervalo) das portas a bloquear, no caso 135-139.


    Feito isso selecione a guia Action, e mude o action de accept para drop.


    Para que o bloqueio seja feito por completo, repita os procedimentos para as portas 135-139 no protocolo UDP e para a porta 455 no protocolo TCP.
    Se tiver o interesse em bloquear o acesso entre clientes na mesma porta do AP, desative a função default forward do Mikrotik.

    Quem gostar, pode agradecer !
    Boa noite amigo, interessante as dicas que vc postou, será que vc pode me ajudar??

    Montei um server MK com Load balance, para duas conexões, ate aí tudo ok! Uma conexão é via satelite, então coloquei um PC para fazer a autenticação antes do MK. Através de outra placa de rede no PC "jogo"a conexão para o MK. Neste Servidor MK, esta configurado, DHCP, Load Balance, NAT e config. básicas.

    Meu problema: Este PC que faz a autenticação da conexão via satélite, tem uma impressora compartilhada, onde todos os PC`s da rede o utilizavam para fazer impressão, antes de ser implantado o server MK para LB. Agora como este PC esta 'antes' do MK, ele não esta aparecendo na rede e conseguinte a impressora tb não.

    Voce pode me indicar como posso resolver? Isso sem ter que instalar a impressora em outro pc pois ela fica em um lugar estratégico e as outras máquinas são todos notebooks.

    Tem algum redirecionamento para o IP do PC que faz a autenticação, liberar portas e etc ???

    Em anexo enviarei um esboço para compreender melhor a estrutura de rede.

    Desde já agradeço..
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Rede com Server MK.jpg
Visualizações:	1013
Tamanho: 	82,4 KB
ID:      	6114  
    Última edição por rasonline; 19-11-2009 às 01:12.

  3. #3

    Padrão Olá Preciso de sua Ajuda !!!

    Grande Xandaoce, já faz algum tempo que vc me ajudou e novamente venho solicitar sua ajuda !
    Estou com uma duvida e já louco de tanto procurar respostas aqui no forum e não encontrar respostas diretas. É o seguinte, tenho verificado através do comando torch que meus clientes as vezes abrem 40, 50, ou as vezes mais conexões simultaneas isso um só cliente !!! Então me partiu uma duvida, será que isso pode fazer minha rede ficar mais lenta ??? Isso pode comprometer meu link ??? É dedicado com 2 megas full !!! Se isso pode comprometer vc sabe como limitar estas conexões simultaneas ??? Tipo a regra que devo usar, e se é uma regra geral ou se tenho que fazer a regra individual, ou seja uma regra para cada ip.
    Em fim meu amigo se for possível e estiver ao seu alcance, aguardo pela ajuda.
    Desde já agradeço e aguardo, ABS.

  4. #4

    Padrão

    https://under-linux.org/customavatars/avatar54793_3.gif rasonline https://under-linux.org/images/statu...er_offline.gif
    https://under-linux.org/images/ranks/underlinuxbaby.gif


    Amigo, da uma olhada no seu filte rules no Firewall, se vc pegou alguma configuração do forum ou de algum amigo, provavelmente deve ter uma regra para os clientes nao se enxergarem tipo:

    ;;; FORWARD ENTRE A REDE
    chain=forward action=drop in-interface=rede out-interface=rede

    da uma conferida ! para tira sua duvida vc pode desabilitar suas regras de filter, e tentar ver se o compartilhamento ta ok.. se sim, ai vc vai ativando e vendo qual delas ta impedindo.

  5. #5

    Padrão

    https://under-linux.org/customavatars/avatar64062_2.gif Prime https://under-linux.org/images/statu...er_offline.gif
    https://under-linux.org/images/ranks/iniciante.gif

    Tenho uma regra no meu filter assim:

    /ip firewall filter

    add action=drop chain=forward comment="Controle de conexo por cliente 20/32" \
    connection-limit=20,32 disabled=no protocol=tcp src-address-list=\
    limit_conexao tcp-flags=syn


    la em ADDRESS LIST depois que criar a regra no filter, vc add os ips ou faixa de ip´s no qual vc quer limitação.

    tipo:

    /ip firewall address-list
    add address=10.253.0.0/16 comment="" disabled=no list=limit_conexao
    add address=172.16.0.0/24 comment="" disabled=no list=limit_conexao

  6. #6

    Padrão

    Citação Postado originalmente por superxandaoce Ver Post
    https://under-linux.org/customavatars/avatar64062_2.gif Prime https://under-linux.org/images/statu...er_offline.gif
    https://under-linux.org/images/ranks/iniciante.gif

    Tenho uma regra no meu filter assim:

    /ip firewall filter

    add action=drop chain=forward comment="Controle de conexo por cliente 20/32" \
    connection-limit=20,32 disabled=no protocol=tcp src-address-list=\
    limit_conexao tcp-flags=syn


    la em ADDRESS LIST depois que criar a regra no filter, vc add os ips ou faixa de ip´s no qual vc quer limitação.

    tipo:

    /ip firewall address-list
    add address=10.253.0.0/16 comment="" disabled=no list=limit_conexao
    add address=172.16.0.0/24 comment="" disabled=no list=limit_conexao

    Esta regra que voce citou limita a abertura de no maximo 20 conexoes por mascara 32 (1 IP)... Ou seja, eh a limitacao de conexoes que voce esta querendo...

    No entanto, este tipo de limitacao soh funciona para as conexoes que o seus clientes fazem para a internet... Nao funciona para as conexoes iniciadas da internet para seu cliente, por este motivo voce deve ver mais de 20...

    As conexoes da Internet para seu cliente nao tem como limitar... Pois do connection-limit soh trabalha com source do pacote... Ou seja, se voce tentar fazer uma regra inversa a esta que voce ja tem voce vai bloquear um IP da internet a ter X conexoes para TODOS os seus clientes... Ex: Apenas 20 acessos simultaneos ao Google poderiam ocorrer divididos entre todos os seus clientes...

    O numero de conexoes simultaneas nao influi em nada com a performance do seu link se voce faz controle de banda... A unica coisa que poderia acontecer eh, se voce tem um hardware de baixa performance, o numero de conexoes poderia pesar um pouco... Mas para um link de 2MBs qualquer 486 da vida rotearia sem problema algum...