Espertinhos no Hotspot Ajuda!
Ola tenho uma RB433 com cartão Ubiquiti rodando um Hotspot
Minha configuração esta assim:
Cliente se conecta na rede aberta, cliente recebe IP do DHCP Hotspot, se o cliente validar Login e Senha recebe um segundo IP masquered com conexão a internet, Caso ele não valide Login e Senha não consegue navegar e nem recebe esse segundo IP com acesso a internet, Beleza até ai tudo bem
Porém tem uns espertinhos que estão conseguindo passar pelo hotspot, pegar a segunda range de IP com acesso a Internet,e navegar tranquilamente sem ser visto no Hotspot, como se fosse um Bypassed
Alguem me ajuda por favor
Abraço
Pablo
Re: Espertinhos no Hotspot Ajuda!
Fale mais sobre suas configurações ... não podemos lhe ajudar só com estas informações ...
Re: Espertinhos no Hotspot Ajuda!
Certo
Tenho uma RB433 + 3 cartoes Ubiquiti
Todos dentro de uma Bridge
Servidor DHCP Ativo para Bridge Range de IP 200.168.1.1/16 "IPs Hotspot"
Servidor Hotspot Ativo para Bridge!
Range de IP 201.168.10.1/24 "IPs Válidos" para Bridge "Sem DHCP" Apenas no Pool e No Adrees, essa range esta Masquerade com acesso a internet.
No servidor Hotspot está para ir a Pool de IPs válidos!
Intao quando o usuario se conecta na minha rede sem fio Aberta, ele recebe um endereço de "IP Hotspot" 200.168.xxx.xxx, Logo após se ele logar no sistema de login do hotspot ele recebe o endereço de "IPs Válidos" 201.168.10.xxx que está Masquered no Firewall e o cliente consegue navegar na internet.
Porem estou notando no hotspot, em "Host" tem alguns usuário que não estão logados no hotspot, porém possuem o endereço de "IP Válido" 201.168.10.xxx e estao navegando sem aparecer como usuario ativo.
Re: Espertinhos no Hotspot Ajuda!
Filho, um conselho Hotspot não tem segurança nenhuma se alguém sabe a subsequência de IP válido ele vão colocar IP fixo e navegar normalmente, te recomendado usar um firewall ( exemplo "Pfsense") é mega podereso, este lance de hotspot é internet acima de 100 megas que mesmo sendo burlada vai suportar tanto usuários...
Re: Espertinhos no Hotspot Ajuda!
Citação:
Postado originalmente por
Clik
Certo
Tenho uma RB433 + 3 cartoes Ubiquiti
Todos dentro de uma Bridge
Servidor DHCP Ativo para Bridge Range de IP 200.168.1.1/16 "IPs Hotspot"
Servidor Hotspot Ativo para Bridge!
Range de IP 201.168.10.1/24 "IPs Válidos" para Bridge "Sem DHCP" Apenas no Pool e No Adrees, essa range esta Masquerade com acesso a internet.
No servidor Hotspot está para ir a Pool de IPs válidos!
Intao quando o usuario se conecta na minha rede sem fio Aberta, ele recebe um endereço de "IP Hotspot" 200.168.xxx.xxx, Logo após se ele logar no sistema de login do hotspot ele recebe o endereço de "IPs Válidos" 201.168.10.xxx que está Masquered no Firewall e o cliente consegue navegar na internet.
Porem estou notando no hotspot, em "Host" tem alguns usuário que não estão logados no hotspot, porém possuem o endereço de "IP Válido" 201.168.10.xxx e estao navegando sem aparecer como usuario ativo.
Agora fiquei confuso e curioso. Não sabia que era possível mudar o IP de alguém assim, instantaneamente ao fazer o login. Nem mudando no Lease do DHCP Server (apagando e criando outro para o mesmo MAC) a alteração é imediata...
De fato, o que entendi lendo na Wiki da MikroTik sobre o Address Pool do User Profile do Hotspot é que é feita uma tradução dos endereços. Acho que no fim o resultado é o mesmo de que se tivesse realmente mudado o IP no cliente.
Você configurou esse Pool de IPs públicos no User Profile dos clientes, certo?
Se for isso mesmo, eu imaginei a seguinte solução para seu problema:
Há no User Profile um local para definir a Address List onde o IP do cliente autenticado será adicionado ao fazer login. Configure esse campo, coloque nele o nome de uma Address List. Vou usar o nome "autenticado" para exemplificar aqui.
Dessa forma, quem configurar o IP público para roubar Internet não vai ter o IP adicionado nessa Address List, apenas quem realmente fizer o login.
Agora ficou fácil: crie uma regra no Firewall/Filter bloqueando (drop ou reject) o encaminhamento (chain forward) de tráfego para quem tem IP público mas não está na Address List, ex.:
Código :
/ip firewall filter add chain=forward src-address=201.168.10.0/24 src-address-list=!autenticado action=reject reject-with=icmp-net-prohibited
Teste aí e diga se funcionou.