Concordo com vc. :)
Versão Imprimível
Desculpa de entrar na conversa..
opa
só para comentar.
Aqui no provedor eu utilizo nos clientes /30 ou /29 ...
E ainda utilizo AP router nos clientes. Para que o cliente só tenha acesso a rede dele mesmo .. e ainda tenho varias regras de firewall para que nenhum cliente possa pingar em outro e ainda IP+MAC.
E olha mesmo assim tenho problema com clientes.
Seguração nunca é d +.
Herbert, aqui nao tem dessa nao, pode entrar na conversa sim, estamos trocando experiencias.
Complementando ou sei lá, tentando dar uma dica....
Aqui no radio dos clientes (nao utilizo placa a nao ser q eu monte um mk para a rede do cliente - com gerenciamento meu logico), sempre utilizo masca /30, sempre. Ai eu faço NAT no rádio, desse jeito o clienten nunca tem acesso ao mac/senha do radio, se ele precisar de 1 pc apenas na rede dele, a porta lan do ap/mk fica com mascara /30 se ele precisar de 2 a 5 eu coloco mascara /29, e bloqueio por firewall no ap/mk os ips nao utilizados, vou escalonando de acordo com a necessidade do cliente.
Aqui eu permito apenas 2 pc na lan, se o cara quiser mais de 2 pcs ai começo a fazer um valor diferenciado.
Antes que acontecam discussoes sobre o cliente conseguir compartilhar assim mesmo vou logo explicar, se o cliente quiser colocar 2 placas na maquina dele e compartilhar pelo windows ai é problema dele, nao me comprometo com a qualidade da internet, me comprometo até onde eu configurei.
para quem utiliza placa nos clientes muito cuidado, a coisa mais facil do mundo é descobrir a senha de seu radio/torre no windows e passar o mac e senha para "amigos". resultado: prejuízo.
"Segurança nunca é demais" (Herbert - Under-Linux)
Melhor gastar um pouco mais com o ap, ou ter um valor de adesão um pouco mais salgado e ter um sistema seguro do que querer concorrer sem escrúpulos e ter prejuízos.
Essa sim é uma remediação mais cara.
Já pensou em ter que trocar as placas por APs? O cliente vai ter pagar adesão novamente? Duvido.
neon
Também trabalho dessa forma aqui, se o cliente quiser compartilhar por conta e risco dele, eu fico descompromissado de dar assistência. Se quiser mais que uma máquina, cobro 10 reais por máquina adicional. Mas ainda uso as placas pci, que na realidade são maioria aqui. Faço controle de MAC x IP x usuário x senha com o www.myauth.com.br , e faço block relay no MK, além de filtrar as portas da Netbios do Windows. Tem alguns filtros também no firewall, embora use o MK apenas como bridge e controle de banda, fazendo o NAT, proxy e autenticação e um segundo controle de banda tudo no Myauth.
Na questão do controle de banda, tenho feito assim: no MK down de 256 e up de 128 (256 é o plano máximo q tenho) e no myauth é definido o valor da banda real do cliente. Acredito que dessa forma, se algo passar pelo MK, ficará no Myauth. Estou correto neste meu modo de pensar?
meu cenario aqui é assim:
internet <--> roteadores <--> srv-linux <--> mk-bb <--> mk-torre <--> cliente
em srv-linux: firewall definitivo, controle de banda com htb, proxy com squid, srv email com qmail (configurando), serv http, rotas, controle de balanceamento de links, ips publicos
em mk-bb: mk em router, rotas das sub-redes de clientes, block relay, back bone das torres com outros mks, radios, firewall de portas validas (aqui nao libero p2p), ips invalidos, todos os clientes passam por aqui, todos.
em mk-torre: mk em router, rotas, block relay, autenticacao wpa2, casamento mac x ip, firewall de ips, ips invalidos, ips mask /30 (lado provedor)
clientes: mask /30, ips invalidos
so faço o controle de banda no srvlinux pq tenho no meu squid/htb o patch ZPH, cache a full.
se o cliente acessar paginas ja acessadas ele pega do proxy sem controle de banda, melhora a QoS.
se um cliente precisar de um ip publico nunca configuro no radio, so faço SNAT DNAT no srvlinux e pronto.
:)
neon
Olá pessoal,
Se for rede wireless basta desmarcar o default forward, sem se ver no máximo o que vai acontecer é parar a máquina de quem clonou o ip do mk, mais os outros clientes navegam normalmente. Agora se for rede cabeada é problema!!