Filtro de Bridge

**doriedson** · 04-01-2009, 20:52

Caros colegas, fiz um filtro de de bridge para impedir que clientes de uma interface se comunique com os clintes de outra interface. Meu bloqueio ficou da seguinte forma:
chain = forward in interface = wlan1 out interface = wlan2 action = drop repetindo com as interfaces invertidas.

Ai me ocorreu uma dúvida, na wlan1 existe dinamicamente uma interface chamada wds1, será que preciso criar uma regra pra wds1 tambem?

Cheguei até fazer, porém depois de um tempo onde a regra bloqueia a wds1 aparece a palavra know.

Desde já agradecido

Doriedson

**Raniel** · 04-01-2009, 21:11

Use redes com /30. Ex: 192.168.10.1/30 - apenas 4 host, sendo que apenas dois serão usados (servidor - cliente).

**doriedson** · 04-01-2009, 21:31

Postado originalmente por Raniel

Use redes com /30. Ex: 192.168.10.1/30 - apenas 4 host, sendo que apenas dois serão usados (servidor - cliente).

Amigo, eu já uso esta mascara, mas pra reforçar utilizo o bloqueio de clientes na rb, e ai tá minha dúvida, porque a opção forwarding não isola clientes que estão em outra interface.

Grato

Doriedson

**alexandrecorrea** · 05-01-2009, 01:05

o problema É o pessoal ACHAR que a mascara /30 impede a comunicação intra-cliente. ela apenas isola os clientes, porem um cliente consegue acessar o outro normalmente ... acredito q um meio mais seguro seria pppoe ou tuneis pptp ... de qualquer outra forma fica inseguro....

voltando ao assunto da thread, precisa criar para a regra wds sim, mas quando aparece esse "know" , é porque a interface wds pode ter sido desconectada tornando a regra invalida, algum tempo depois o wds volta.. mas a regra continua invalida..

existe uma versao mais recente do mikrotik que resolve este problema.. aconselho usar a 3.17 e ver se resolve !!

**Raniel** · 05-01-2009, 01:44

Olá amigo alexandre,
Jamais citei que com mascara /30 seria resolvido o problema de comunicação entre os clientes.

**Binhos5** · 18-01-2009, 14:56

Postado originalmente por doriedson

Caros colegas, fiz um filtro de de bridge para impedir que clientes de uma interface se comunique com os clintes de outra interface. Meu bloqueio ficou da seguinte forma:
chain = forward in interface = wlan1 out interface = wlan2 action = drop repetindo com as interfaces invertidas.

Ai me ocorreu uma dúvida, na wlan1 existe dinamicamente uma interface chamada wds1, será que preciso criar uma regra pra wds1 tambem?

Cheguei até fazer, porém depois de um tempo onde a regra bloqueia a wds1 aparece a palavra know.

Desde já agradecido

Doriedson

Amigo se vc estiver usando mais de uma interface num ap em bridge e quer bloquear q os clientes se enxerguem na rede a solução é essa:

/interface bridge filter
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp \
mac-protocol=ip

Espero ter ajudado n meu funcionol q uma blz .............

**doriedson** · 18-01-2009, 18:29

Valeu vou testar aqui.

Obrigado

**JHONNE** · 18-01-2009, 18:36

Postado originalmente por Binhos5

Amigo se vc estiver usando mais de uma interface num ap em bridge e quer bloquear q os clientes se enxerguem na rede a solução é essa:

/interface bridge filter
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp \
mac-protocol=ip

Espero ter ajudado n meu funcionol q uma blz .............

aproveitando a resposta do amigo, sugiro que bloqueie tudo de cliente pra cliente, ao invés soh de algumas portas

para isso, observe que no firewall da bridge e possivel bloquear trafego entre as interfaces escolhendo interface de entrada "in interface" e interaface de saida "out interface" e aplicar um "drop", assim evitaria também trojans de acesso remoto; virús que atcam bugs de softwares ou do proprio S.O. etc.

**Binhos5** · 21-01-2009, 16:37

Postado originalmente por doriedson

Caros colegas, fiz um filtro de de bridge para impedir que clientes de uma interface se comunique com os clintes de outra interface. Meu bloqueio ficou da seguinte forma:
chain = forward in interface = wlan1 out interface = wlan2 action = drop repetindo com as interfaces invertidas.

Ai me ocorreu uma dúvida, na wlan1 existe dinamicamente uma interface chamada wds1, será que preciso criar uma regra pra wds1 tambem?

Cheguei até fazer, porém depois de um tempo onde a regra bloqueia a wds1 aparece a palavra know.

Desde já agradecido

Doriedson

Amigo se vc estiver usando em bridge e nao quer q um cliente da antena 1 enxergue o cliente da antena 2 é so colocar esse script:

/interface bridge filter
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp \
mac-protocol=ip

nao esquece de ir tbm em wireless na aba interfaces e depois vc da dois clics na interface q vc quer configurar e depois na aba wireless vc desativa a opção "Default Forward".

Fazendo isso e certo q eles nao se enxerguem mais e nem troquem mais arquivos e a rede fica funcionando perfeitamente. Espero ter ajudado....................

Filtro de Bridge

Ferramentas de Tópicos

Filtro de Bridge

Filtro