Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por xnetinho Ver Post
    Vou ser mais incisivo:

    Como bloquear os pacotes do DHCP-Server dentro da própria bridge?

    PS: Não há problema nenhum em usar DHCP e PPPoE na msm rede? Utilizo o DHCP pra entregar ips com sub-redes(/30, /29, /27, etc...) aos meus clientes e isso nunca me trouxe nenhum problema.

    Tenho como clientes algumas fábricas que utilizam minha rede wireless pra trafegar seus dados(dentro de sua própria sub-rede /29), e isso nunca ocasionou nenhum problema.

    O problema que estou enfrentando é que há alguns usuários pouco experientes que deixam o dhcp-server do windows ligado e ele fica distribuindo ips pros outros usuários da rede, entregando ips sem sub-rede. ESTE É O MEU PROBLEMA: BLOQUEAR O DHCP-SERVER QUE POR ACASO ESTEJAM RODANDO NOS CLIENTES.

    Abs.
    TFA a todos.
    E você diz que não tem problema com DHCP? que coisa... se qualquer um pode habilitar um DHCP na rede e "usá-lo" a vontade, isto não é problema?

    Se usa PPPoE, o mesmo cuida da "entrega" de IPs, não existe necessidade nenhuma de DHCP, um protocolo cheio de problemas relacionados a segurança.

    DHCP é para uso em rede interna, protegida.

    Se precisa que clientes comuniquem-se na sua rede, configure o PPPoE e/ou túneis de maneira adequada que isto ocorrerá de maneira profissional e funcional.

    A propósito, já viu operadoras usando DHCP para atender seus clientes, mesmo quando utilizam-se configurações de rede para comunicação entre empresas?

  2. #22

    Padrão

    Citação Postado originalmente por sergio Ver Post
    E você diz que não tem problema com DHCP? que coisa... se qualquer um pode habilitar um DHCP na rede e "usá-lo" a vontade, isto não é problema?

    Se usa PPPoE, o mesmo cuida da "entrega" de IPs, não existe necessidade nenhuma de DHCP, um protocolo cheio de problemas relacionados a segurança.

    DHCP é para uso em rede interna, protegida.

    Se precisa que clientes comuniquem-se na sua rede, configure o PPPoE e/ou túneis de maneira adequada que isto ocorrerá de maneira profissional e funcional.

    A propósito, já viu operadoras usando DHCP para atender seus clientes, mesmo quando utilizam-se configurações de rede para comunicação entre empresas?
    Verdade Sérgio muito boa colocação!

    Eu so não achei como so liberar pppoe-sesion e pppoe descovery sem ter uma bridge para fazer isso.

    ex. tenho uma interface saindo direto do servidor para uma rede cabeada, ou seja, não tem bridge, tentei fazer o accept das duas sessões do pppoe e drop todo o resto mas não consegue.

    Tem como fazer isso sem bridge?

    Abraços.

  3. #23
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por alcimarbezerra Ver Post
    Verdade Sérgio muito boa colocação!

    Eu so não achei como so liberar pppoe-sesion e pppoe descovery sem ter uma bridge para fazer isso.

    ex. tenho uma interface saindo direto do servidor para uma rede cabeada, ou seja, não tem bridge, tentei fazer o accept das duas sessões do pppoe e drop todo o resto mas não consegue.

    Tem como fazer isso sem bridge?

    Abraços.
    Não tem Alcimar. PPPoE é camada 2, então o filtro tem que ser camada 2 (bridge). Quando a possuir apenas uma interface, não prestou atenção na minha aula (heheheheehehhe). Pode colocar apenas uma interface na bridge para fazer uso destes filtros, sem problema algum. Só lembre de alterar a interface que o PPPoE escuta, para a bridge.

  4. #24

    Talking

    Citação Postado originalmente por sergio Ver Post
    Não tem Alcimar. PPPoE é camada 2, então o filtro tem que ser camada 2 (bridge). Quando a possuir apenas uma interface, não prestou atenção na minha aula (heheheheehehhe). Pode colocar apenas uma interface na bridge para fazer uso destes filtros, sem problema algum. Só lembre de alterar a interface que o PPPoE escuta, para a bridge.
    rsrsrsrsrsrs, verdade foi muito assunto para pode aprender td, e principalmente no tempo que fiz o curso que queria aprender bastante hotspot.

    Mas estarei fazendo o proximo curso aqui em Recife para presta atenção na outra parte de pppoe

    Obrigado mas outra vez abraços.

  5. #25

    Padrão Bloquear dhcp externo

    Citação Postado originalmente por xnetinho Ver Post
    O problema que estou enfrentando é que há alguns usuários pouco experientes que deixam o dhcp-server do windows ligado e ele fica distribuindo ips pros outros usuários da rede, entregando ips sem sub-rede. ESTE É O MEU PROBLEMA: BLOQUEAR O DHCP-SERVER QUE POR ACASO ESTEJAM RODANDO NOS CLIENTES.
    Caro colega, eu consegui bloquear requisiçoes dhcp vindo de clientes. Segue as regras:

    /interface bridge filter
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=wlan1 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment="" disabled=no in-interface=wlan1 \
    ip-protocol=udp mac-protocol=ip src-port=67

    Coloque esse par de regrinhas em cada interface que atende os clientes do seu ap. NAO COLOQUE ESSA REGRA NAS INTERFACES RESPONSAVEIS POR LINK PTP.
    Depois de implantar essa regra, nunca mais tive problemas com clientes que habilitam dhcp em seus "radinhos" ou no windows.

    Espero ter colaborado.
    ATT.
    Gabriel Siena



  6. #26

    Padrão

    Citação Postado originalmente por gsiena Ver Post
    Caro colega, eu consegui bloquear requisiçoes dhcp vindo de clientes. Segue as regras:

    /interface bridge filter
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=wlan1 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment="" disabled=no in-interface=wlan1 \
    ip-protocol=udp mac-protocol=ip src-port=67

    Coloque esse par de regrinhas em cada interface que atende os clientes do seu ap. NAO COLOQUE ESSA REGRA NAS INTERFACES RESPONSAVEIS POR LINK PTP.
    Depois de implantar essa regra, nunca mais tive problemas com clientes que habilitam dhcp em seus "radinhos" ou no windows.

    Espero ter colaborado.
    ATT.
    Gabriel Siena



    Obrigado amigo.
    Vou implantar aqui e já posto o resultado!

    Abs!
    TFA a todos!

  7. #27

    Padrão

    Não seria mais fácil banir os malditos kits USB e PCI e utilizar AP cliente Roteados nos clientes? Aqui gastamos uma grana mas nenhum cliente enxerga a rede externa, todos estão com AP cliente configurados em 192.168.0.1 para Rede interna.

  8. #28

    Padrão

    E se o cliente fizer um tracert google.com.br?

  9. #29

    Padrão

    E se o cliente fizer um tracert google.com.br? Não vai enxergar a rede externa?

  10. #30

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    E se o cliente fizer um tracert google.com.br? Não vai enxergar a rede externa?

    A idéia e bloquear o trafego entre os AP's (compartilhamento de arquivos, dhcp,maquinas com virus), mesmo o cliente achando a rede externa com um tracert ele não será capaz de gerar trafego na rede devido a ele estar atras de um AP cliente Roteado, neste modo fica mais facil para o provedor devido a não ter a necessidade de ir no cliente alterar senhas, criar discador etc.

  11. #31

    Padrão

    eu fiz a besteira de trabalhar com dhcp e pppoe ao mesm otempo. o tráfego é todo pppoe, mas o dhcp era para a interface do cliente pegar ip, pois quando aquela maldita exclamação aparece, a internet "com certeza está mais lenta, está com alguma coisa errada". Alguém sabe como resolvo pra conseguir desativar dhcp sem ter que mandar gente na casa de todos eles fixar um ip qualquer na interface???

  12. #32

    Padrão

    Citação Postado originalmente por Gosulator Ver Post
    eu fiz a besteira de trabalhar com dhcp e pppoe ao mesm otempo. o tráfego é todo pppoe, mas o dhcp era para a interface do cliente pegar ip, pois quando aquela maldita exclamação aparece, a internet "com certeza está mais lenta, está com alguma coisa errada". Alguém sabe como resolvo pra conseguir desativar dhcp sem ter que mandar gente na casa de todos eles fixar um ip qualquer na interface???
    Uma forma é ir la na placa de rede do cliente e dasabilitar o protocolo tcp/ip que essa exclamação vai sumir.

  13. #33

    Padrão

    to mais procurando algo que me ajude sem que eu tenha que ir na casa de todos os clientes

  14. #34

    Padrão

    Aqui estou fazendo o seguinte:

    Criei um cd personalizado com meu discador dentro do CD, na hora que o cliente coloca o cd automativamente abrir o setup do meu discador o cliente instala e fica com o cd para possiveis problemas, to verificando com o programador do sistema para ele poder ta adicionando nesse discador para que ele faça algumas entradas no windows como por exemplo desabilitar o protocolo tcp/ip é um solução que vai demorar até migrar todos os clientes, porém, fica sem duvida um solução sem preocupações futuras.

  15. #35

    Padrão

    Citação Postado originalmente por mtrojahn Ver Post
    Se voce trabalha apenas com PPPOE, voce pode tranquilamente fazer filtros de bridge filtrando TUDO e deixando passar apenas os protocolos 0x8863 e 0x8864 que sao utilizados pelo PPPOE.

    mtrojahn, pode me ensinar a fazer esse filtro?
    Valeu!

  16. #36

    Padrão

    Citação Postado originalmente por marcostmariano Ver Post
    mtrojahn, pode me ensinar a fazer esse filtro?
    Valeu!
    Criar a bridge depois vai la em bridge > filter adiciona uma regra aceitando o pppoe-session e depois faz outra regra aceitando o pppoe discovery e depois faz outra regra bloqueando todo o resto.

  17. #37

    Padrão

    porra, passei meia hora procurando e não achei esse tópico, acabei criando outro. Vou postar aqui o que postei no tópico criado, e peço ao mod a gentileza de fechar o dito cujo;

    Sou leigo na parte de configs, mas meu suporte está meio sem tempo essa semana, e quero testar isso logo, então procurei-vos:

    Citação:
    Flags: X - disabled, I - invalid, D - dynamic
    0 ;;; PPPOE-SESSION
    chain=forward action=accept mac-protocol=0x8864

    1 ;;; PPPOE-DISCOVERY
    chain=forward action=accept mac-protocol=0x8863

    2 ;;; DROPA
    chain=forward action=drop


    Uso essas regras no pc ap que tenho na minha torre principal, e funciona legal, só passa dados por dentro do pppoe. Agora, tenho que colocar essa regra pra funcionar nas repetidoras, mas tenho medo de cair o p2p entre minha torre e a mesma, se eu adicionar a regra sem nenhuma adaptação. O p2p é wds simples, sem nenhuma cripto. Estou suspeitando que quando essa repetidora está funcionando, meu servidor começa a perder requisições de conexão, e começa a não abrir mais página, o navegador do cliente requere a conexão, e ela nunca é feita, e a página do cara fica lá sem abrir. Ontem no final da tarde essa repetidora caiu, e coincidentemente, de ontem pra hoje tudo funcionou às mil maravilhas aqui no servidor. Religuei a repet, e pouco depois recomeçaram os problemas. Desliguei a repetidora remotamente, e o problema se foi de novo. Como não tenho certeza de nada ainda, quero subir esse filtro lá, pra ver se resolve. Vou também estudar como colocar a cripto nesse p2p, mas isso já é assunto pra outro tópico.

    Grato, abração
    Atualização: Já descobri que o pop não era o responsável pelo problema, já que ele passou metade do dia desligado e o problema continuou. Fico feliz de certa forma, pois caso o problema fosse na repetidora, certamente era algum concorrente agindo de má fé para comigo. Agora vou refazer meu servidor dos pés à cabeça, trocar a máquina inteira, todas as placas de rede, os cabos, e colocar um squid externo, e rezar para dar certo.

    Mas ainda quero fazer o filtro nas repetidoras, então a pergunta continua valendo!


    tópico a ser deletado:

    https://under-linux.org/f124332-drop...ps-secundarios
    Última edição por Gosulator; 30-03-2009 às 20:20.

  18. #38

    Padrão

    Citação Postado originalmente por Gosulator Ver Post
    porra, passei meia hora procurando e não achei esse tópico, acabei criando outro. Vou postar aqui o que postei no tópico criado, e peço ao mod a gentileza de fechar o dito cujo;
    È essa regra realmente funciona pode por sem medo pois aqui funciona legal comigo!

  19. #39