Clientes PPPoE se enxergam na rede?

Pessoal, me surgiu uma dúvida agora.

Fiz em bancada a configuração de 1 RB como concentrador PPPoE, criei 2 usuários e configurei cada um deles em um notebook.
Autentiquei e fiz o teste de ping. Para minha surpresa, cada notebook consegue pingar normalmente no outro.

Feito isso, ativei o compartilhamento de pastas do windows e acessei os compartilhamentos de cada um dos notebooks.

Ou seja, se eu colocar isso nos meus clientes a rede vai virar uma bagunça pois todos vão se enchergar.

Eu acreditava que no PPPoE isso não ocorria por default, achei que já havia uma isolação natural por ser um ip com máscara /32.

Vale ressaltar que o concentrador PPPoE está rodando na interface wireless da RB, esta interface não tem nenhum IP configurado nela, apenas escuta requisições PPPoE. A propriedade default forward está desativada, para testar configurei um IP em cada interface wireless e realmente elas não se pingam, mas quando eu ativo o default forward elas pingam. Mas com o IP do PPPoE mesmo com o default forward habilitado ou não elas pingam do mesmo jeito.

Alguém sabe se tem alguma maneira de evitar que a rede fique tão escancarada assim para os clientes fazerem o que quiserem?

acompanhando

Ninguém ?

Bloqueia a Netbios Amigo
vá em Ip> Firewall, aba NAT e add uma regra.
chain=forward protocol=tcp dst-port=137-139 action=drop

Repita o processo mudando apenas o protocolo para UDP

Espero ter ajudado!

Pois é, eu estava pensando nisso, mas minha dúvida era se isso é normal de acontecer em PPPoE, todos se enxergarem.... Eu achava que como ele cria um /32 para cada um, isso não aconteceria.

Sobre o NetBIOS ok, fácil resolver.

Mas vou ter problema com broadcast, vírus na rede, outros protocolos, etc, etc ??

desmarque a opção de "default forward" do cartao ...

Amigo, obrigado pela dica, mas como citei no primeiro post, com a opção default forward marcada ou desmarcada a comunicação entre IPs atribuidor por PPPoE ocorre do mesmo jeito. Com default forward o que para de comunicar são os IPs atribuidos direto nas placas wireless dos notebooks.

Mas mesmo assim, caso o default forward resolvesse a questão da comunicação entre usuários PPPoE, seria somente para usuários do mesmo cartão, usuários de outras RBs iria comunicar do mesmo jeito.

faça os filtros das portas 137 a 139, 445 ..

bom isto so poderia ocorrer se vc esta consentrando totas as conexoes em um unico ponto, deixando a rede toda em bridge, mas se vc rotear sua rede fazer cada rota um concentrador pppoe fazer como o amigo falou desmacar o defaul forward os broadcast ficam limitado a um unico dominio de rede.

bom pelo menos este e meu ponto de vista que pode estar ocorrendo na sua rede

Citação:

---

Postado originalmente por demattos

bom isto so poderia ocorrer se vc esta consentrando totas as conexoes em um unico ponto, deixando a rede toda em bridge, mas se vc rotear sua rede fazer cada rota um concentrador pppoe fazer como o amigo falou desmacar o defaul forward os broadcast ficam limitado a um unico dominio de rede.

bom pelo menos este e meu ponto de vista que pode estar ocorrendo na sua rede

---

Então amigo, esse teste que fiz foi em bancada mesmo, pois estou passando minha rede de bridge para roteada e isto ocorreu mesmo assim.

na aba nat ???? não sera na firewall rule ?

Gustavo, eu uso minha rede pppoe roteada, e sim, os clientes pppoe que estiverem usando o mesmo gateway vão conseguir um ping. Quanto ao broadcast, ele é tão pouco quando a rede está roteada e segmentada, que não influi em nada. E eu tenho uma conexão adsl em casa, e quando uso um scanner de ips, tipo o netscan, enxergo todos os usuários da rede deles, pingo nos computadores e os que não tem firewall ou estão protegidos por senha, consigo inclusive acessar. Ou seja, as grandes deixam aberto mesmo, cabe a cada um usar firewall e senha.
Por isso acho que você não deve se preocupar muito com isso.

Citação:

---

Postado originalmente por douglasesmeriz

Gustavo, eu uso minha rede pppoe roteada, e sim, os clientes pppoe que estiverem usando o mesmo gateway vão conseguir um ping. Quanto ao broadcast, ele é tão pouco quando a rede está roteada e segmentada, que não influi em nada. E eu tenho uma conexão adsl em casa, e quando uso um scanner de ips, tipo o netscan, enxergo todos os usuários da rede deles, pingo nos computadores e os que não tem firewall ou estão protegidos por senha, consigo inclusive acessar. Ou seja, as grandes deixam aberto mesmo, cabe a cada um usar firewall e senha.
Por isso acho que você não deve se preocupar muito com isso.

---

Tem razão, talvez isso não seja tão crítico assim. Acho que foi só um estranhamento que tive pois eu imagina que o PPPoE faria isso por sí só...

Mas tranquilo, vamos adiante... hehe

Obrigado a todos que colaboraram.

Noo tem um amigo que não sei se pela versão ele fez oseguinte sempre colocou os clientes com ip fixo separados por casa tipo: Carlosa 11.0.4.1 Mariana:11.0.5.1 joaber: 11.0.6.1 faz o teste aew lembrese que isso vc vai colocar no Remote address blzz?

Citação:

---

Postado originalmente por hodesanionetx

Noo tem um amigo que não sei se pela versão ele fez oseguinte sempre colocou os clientes com ip fixo separados por casa tipo: Carlosa 11.0.4.1 Mariana:11.0.5.1 joaber: 11.0.6.1 faz o teste aew lembrese que isso vc vai colocar no Remote address blzz?

---

Amigo eu fiz o teste com faixas diferentes, até mesmo totalmente diferentes e mesmo assim ocorre a comunicação entre os usuários.

Até outro teste que fiz foi configurar 2 RBs como concentradores PPPoE na mesma rede (fazendo o papel de 2 POPs) e mesmo assim ocorre.

Mas pelo que o pessoal tem respondido acredito que seja normal mesmo.

pelomenos desse jeito aew os clientes não se enxergaram

Citação:

---

Postado originalmente por hodesanionetx

pelomenos desse jeito aew os clientes não se enxergaram

---

Pois é pela lógica eu tbm achava que não deveriam enxergar, pois são faixas diferentes, mas não foi o que ocorreu. E pelo que o pessoal disse acima é normal, infelizmente.

Eu hein rss , q mal o pergunte ql a sua versão do MK?

Citação:

---

Postado originalmente por hodesanionetx

Eu hein rss , q mal o pergunte ql a sua versão do MK?

---

Testei com a 5.14, mas pq ?? Vc está suspeitando de bug ?

Num é falando mal não mass das 5.xx eu tenho medo rsrs

Amigo, é simples.........olha na sua tabela de rotas....la vão existir as rotas para as redes....
O que você precisa fazer é uma regra de firewall que bloqueie tudo o que vier da mesma rede, e for para mesma rede.....dropa.

Ou tudo que for da rede x e for para a rede y e vice versa, dropa.

Gustavinho, exatamente isso, eu acessei o topico para postar isso e você se adiantou. O que acontece ai não é culpa de pppoe. Se teus clientes estão usando um gateway em comum, independente do ip deles, vai haver roteamento. Criando uma regra de firewall bloqueando o acesso oriundo da sua rede para a sua rede, seus clientes não se comunicarão. Porém, vamos supor que você queira permitir que dois clientes seus joguem entre si, usando os ips da sua rede. Já não funcionaria. E repito, as operadoras grandes tão nem ai para isso. Deixam aberto, e eu consigo "enxergar" todos os clientes do ADSL que eu uso aqui. A maior preocupação dos pequenos provedores seria o broadcast, mas precisa ter muitoooo cliente para te causar problemas.

Muito obrigado pessoal. Vocês conseguiram tirar isso da minha cabeça definitivamente... rsrs

Citação:

---

Postado originalmente por douglasesmeriz

Gustavinho, exatamente isso, eu acessei o topico para postar isso e você se adiantou. ....

---

Exato....eu tinha essas regras nao sei a onde......depois preciso ver no meu micro, se eu achar eu posto aqui.

Como os gateways são o mesmo e o forward da placa eth do mk ativo por padrão soluções possíveis:
bloquear o forward na filter (/ip firewall filter chain=forward action=drop src-address=x.x.x.x/x dst-address=x.x.x.x/x


criar vlans por area e cria um concentrador pra kda vlan isolano assim as redes e segmentando-a em pequnas células facilitando a administração.
ou entregando um gateway para kda cliente (inviavél)



obs: se entregar ip válido qq maquina pode acessar aquele ip.

se possuir problemas com muitas conexões limite o numero de conexões no firewall.

Se ajudei clica na estrelinha ai.

Obrigado!

Engraçado aqui to usando hotspot com a rede ainda em brigie e os clientes nao conseguem pingar um no outro