Re: virus na rede, clientes se enxergando ..
Para configurar seu DHCP vc usa:
Ps. meu DNS abaixo uso um servidor proprio, vc pode colocar seu gatway como DNS se deixar marcado na config do seu servidor mikrotik do DNS, a opcao allow resquest remotes.
/ip dhcp-server network
add address=10.189.224.0/24 comment="" dns-server=10.253.0.1,10.252.0.1 \
gateway=10.189.224.1 netmask=32
No seu firewall para bloquear o tráfego:
add action=accept chain=forward comment="Trafego entre clientes liberado" \
disabled=no dst-address-list=radios src-address-list=radios
add action=drop chain=forward comment="Bloqueio de Trafego entre Clientes" \
disabled=no dst-address-list=Geral src-address-list=Geral
add action=drop chain=forward comment="FORWARD ENTRE A REDE" disabled=no \
in-interface=rede out-interface=rede
Depois de add a regra, vc vai no firewall, em Address List e adciona na lista GERAL somente os ips que vc quer que fique fora do controle, por exemplo os do seus AP´S mikrotik e o IP de seu computador de casa ou loja, para ter acesso aos rádios, isso para nao ficar desabilitando a regra o tempo todo.
Pode add também quando preciso o IP de algum cliente que deseje ter acesso a ele pelo IP.
Nos AP´S vc pode fazer outros bloqueio úteis:
Ps. onde fala interface Rede abaixo é a minha interface por onde entra o link ether0 na minha rb tem esse nome, vc coloca a sua. Para que o filtro bloqueio todo o tráfego que estiver indo de um cartao para o outro, para evitar tbm de os clientes se enxergarem.
/interface bridge filter
add action=drop chain=input comment="Spanning Tree" disabled=no \
dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
add action=drop chain=forward comment="Boqueia Pacotes entre Interfaces" \
disabled=no in-interface=!rede out-interface=!rede
add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
comment="Descartando ARP esp\FArios " disabled=no mac-protocol=arp
Nao esquece de deixar Default Foward desmarcado nos seus cartoes...
Re: virus na rede, clientes se enxergando ..
Citação:
Postado originalmente por
mascaraapj
sim... se vc quer separar os clientes pela mascara... teras que criar uma rede para cada.
vc tem que criar uma rede para cada cliente...: ip address
ip dhcp-server network
restante é normal.
em ip dhcp-server leases vc envia o ip que vc quer para o cliente... alem de vc prender o cliente a esse ip.
em ip arp, vc tbm prende o cliente a esse ip
no firewall vc libera o acesso ou faz nat da rede dele... eu geralmente adiciono a faixa da rede em IP FIREWALL ADDRESS-LIST... assim fica mais facil fazer essa liberacao.
vc pode ir fazendo isso aos poucos... de acordo com que recebe chamados.
eu uso32 no netmask no dhcp do mikrotik, isso isola os clientes.
Re: virus na rede, clientes se enxergando ..
+ ou - o certo mesmo e separar os clientes em redes ja to tentando implantar a soluçao.