Re: Dúvida - bridge/filters
e ai DR blz
seu switch é uma otima pedida
basta configurar para que todas as portas tenha acesso a porta 1 e a 1 acesso a todas as portas e o resto não tenha comunicacao
Re: Dúvida - bridge/filters
bom o que vc pode fazer é
usar um !ip_do hot
para que ele nao bloqueie a sv tb
o switch gerenciavel é uma boa se ele aceitar um controle como sitei acima
agora se não coloca 4 placa de redes no sv rs
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Benatto
e ai DR blz
seu switch é uma otima pedida
basta configurar para que todas as portas tenha acesso a porta 1 e a 1 acesso a todas as portas e o resto não tenha comunicacao
Opa Bruno!
Valeu pela ajuda!
Mas só completando, essa configuração do switch seria através da criação de vlans mesmo?
Re: Dúvida - bridge/filters
não esta conf no switch vc faz nele mesmo ele tem como vc bloquear exatamente o que vc quer
vc libera a porta 1 para ter acesso a outras as outras ter acesso a porta 1 porem as outras nao tem acesso a outras
Re: Dúvida - bridge/filters
melhor trocar seu switch por uma bridge.
Re: Dúvida - bridge/filters
geek mais ai ele vai ficar na mesma a intensao é de ambas as ether dos mk não ter comunicacao entre si
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Benatto
geek mais ai ele vai ficar na mesma a intensao é de ambas as ether dos mk não ter comunicacao entre si
entao como eu disse da pra ter uma boa segurança usando bridge, olha essa simples regra.
Código :
/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop
A regra diz que tudo q nao vem do router e nao vai para o router é kill :evil: .
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
entao como eu disse da pra ter uma boa segurança usando bridge, olha essa simples regra.
Código :
/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop
A regra diz que tudo q nao vem do router e nao vai para o router é kill :evil: .
Valeu pela ajuda Geek, mas acho que não vai resolver essa regra, porque, por exemplo, se um cliente de um ponto A tentar se comunicar com um cliente de um ponto B, os pacotes vão ter in e out pela mesma eth da RB que o cliente A está... e aí não dá drop!
Re: Dúvida - bridge/filters
Anexo 13896pelo contrario meu amigo é um drop legitimo de camada 2, veja o anexo do Mestre Maya.
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
Anexo 13896pelo contrario meu amigo é um drop legitimo de camada 2, veja o anexo do Mestre Maya.
EXCELENTE material amigo! Valeu mesmo!
Seguinte, fiz a regra usando o endereço MAC da placa local do meu server. Dei Accept apenas no que vai e vem para esse MAC. Porém, precisou habilitar a função External FDS = yes, conforme o material fornecido.
Nos testes de Laboratório funcionou normal. Amanhã vou colocar em produção para ver se tudo transcorre perfeitamente e depois posto o resultado. Muito obrigado amigos!
Grande abraço!
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
Código :
/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop
Boa Geek, so uma questao no meu caso aki, o q eu fiz, montei um Forward dando DROP nas portas 135-139 upd/tcp e na faixa de ip 10.0.0.0/8 e 192.168.0.0/16, q sao padroes de muita gente... ativei na Bridge das RBs.... sendo assim, essa regra sua ai... eu pondo da RB, nao bloquearia o cliente A e B, sendo eles setando na maquinas deles, ips fixo... certo?? pq usaria a interface por ex. numa RB com 3 WANs, eles tivessem na WAN1 e setassem o ip, se comunicariam correto??
Re: Dúvida - bridge/filters
Quem não usa DHCP na rede, pode dar um drop também nas portas utilizadas pelo DHCP na camada2, 67-68 as portas corretas seriam 135-139, e também 445 tcp/udp, essas ultimas sim, bloqueiam um trafego (desnecessário) enorme.
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
aka2005
Boa Geek, so uma questao no meu caso aki, o q eu fiz, montei um Forward dando DROP nas portas 135-139 upd/tcp e na faixa de ip 10.0.0.0/8 e 192.168.0.0/16, q sao padroes de muita gente... ativei na Bridge das RBs.... sendo assim, essa regra sua ai... eu pondo da RB, nao bloquearia o cliente A e B, sendo eles setando na maquinas deles, ips fixo... certo?? pq usaria a interface por ex. numa RB com 3 WANs, eles tivessem na WAN1 e setassem o ip, se comunicariam correto??
Não entendi muito bem sua duvida, mas vou tentar responder que, todo tráfego na bridge com essas portas filtradas seria anulado, mas os clientes conseguiriam se comunicar um com outro com ips setados manualmente sim...
Citação:
Postado originalmente por
Roberto21
Quem não usa DHCP na rede, pode dar um drop também nas portas utilizadas pelo DHCP na camada2, 67-68 as portas corretas seriam 135-139, e também 445 tcp/udp, essas ultimas sim, bloqueiam um trafego (desnecessário) enorme.
correto isso gerra um tráfego enorme mesmo (Windows é o cão nisso).
Re: Dúvida - bridge/filters
Bom eu uso ap bridge nas rb`s e no servidor(Mk) uso mascara 30,ou seja os clientes recebem mascara 255.255.255.252, mesmo assim o pessoal com windows 7 tao se enxergando na rede.
Fui em outro topico,https://under-linux.org/f225/cliente...81/index5.html, e lá tem com resolvido,apliquei as regras que estao lá e os clientes nao receberam por dhcp o ip do servidor, foi bloqueado as portas dhcp. Vendo o post do Roberto21 vi o porque do bloqueio do meu dhcp.
A pergunta: que drop devo usar para os clientes com w7 nao se enxergarem na rede ja que uso dhcp??
abs
Re: Dúvida - bridge/filters
Eu tava vendo uns topicos e estudando uns itens sobre VLAN, como o mikrotik tem o pacote VLAN nele. nao seria melhor no servidor mikrotik, criar a VLAN, e no HUB q chega os clientes a CABO, criar a VLAN idependente um de cada um,.. assim o cliente nao se enxerga mais.
Outra forma q eu tava vendo é nas RBs q manda sinal Wireles... tentei criar nelas VLANs tbm, mas nao consegui pingar... entre as vlans, dela ate o servidor.
Re: Dúvida - bridge/filters
Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2
Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.
Outra é desmarcar o forward nas interfaces wireless de suas Rb's
Re: Dúvida - bridge/filters
Roverto21, entendi sua questao de bloqueio na bridge.... mas a questao q eu tinha comentando é q essas regras bloqueio o DHCP.. so q mesmo fazendo ela, desativando o Forward nas wireless.. o cliente num ponto A colocando ip, e outro no ponto B colocando mesma faixa d ip, eles se comunicam devido a bridge criada... entende, isso q eu quero tirar.
Re: Dúvida - bridge/filters
Compreendo sim, e minha rede é toda em bridge e ninguém se encherga de forma alguma, faça assim, adicione o bloqueio entre interfaces na camada2, e também faça uma contribuição na maquina do cliente, sempre que for fazer uma instalação desative o net-bios, ai você perguntaria...e se o cliente ativar...Certo se o cliente ativar volta, mas nem todos ativam, além disso você pode utilizar de ferramentas em sua rede como o simples ''angry ipscan'' para verificar quem está com a porta 135-139 aberta.
Outra é que existe a possibilidade de desativar o netbios no gerenciador de dispositivos do windows, onde fica mais difícil ele reativar, Já ví que como você não fez isso desde o início de sua rede vai ter uma trabalhinho pra fazer, mas no final valerá a pena, por que além de evitar isso, você diminui um trafego imenso em sua rede, e o pior, desnecessário.
Re: Dúvida - bridge/filters
Boa noite Roberto muito obrigado pela sua ajuda estou passando por esse problema, peço uma ajuda.
no meu caso eu tenho 3 cartao em uma RB e em outras 3 RB tenho somente 2 cartoes, nesse caso como farei as regras paraa cada interface e desculpa qualquer coisa eu sou novo em wireless.
Citação:
Postado originalmente por
Roberto21
Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2
Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.
Outra é desmarcar o forward nas interfaces wireless de suas Rb's