Postado originalmente por
rrinfor
Olá!
Bom!! Existe uma série de detalhes que precisamos tratar:
1° Amarrar MAC/IP
em
/ip arp, cadastre seus clientes como no exemplo abaixo, se ja estiver aparecendo na tabela apenas torne-os estatico abrindo a janela referente ao mesmo e click em
static no menu lateral da janela
/ip arp
add address=10.45.1.2 comment="Fulana de tal - 128/128" disabled=no interface=wlan1 mac-address=00:00:00:00:00:00
Após o procedimento acima, vc terá que mudar o parâmetro da tabela ARP de todas as interfaces de clientes
ex: wlan1 para
reply-only como no exemplo abaixo:
/interface wireless set wlan1 arp=reply-only
Dessa forma a interface apenas receberá arp-request dos clientes com MAC/IP cadastrados no campo
/ip arp, assim já teremos um
mínimo de segurança.
2° cadastro no access-list
vamos cadastrar quem poderá efetivamente conectar no sinal, mantendo assim um minimo de controle no barraento wireless "ar" (camada 2):
/interface wireless access-list
add ap-tx-limit=0 authentication=yes client-tx-limit=0 comment="Fulano de tal - 128/128" disabled=no forwarding=no interface=all mac-address=00:00:00:00:00:00 private-algo=none private-key="" \
private-pre-shared-key="" signal-range=-120..120
Após o procedimento acima, vc terá que desmarcar o checkbox
Default Authentication e
Default Forward nas interfaces de clientes como no exemplo abaixo;
/interface wireless set wlan1 default-forwarding=no
/interface wireless set wlan1 default-authentication=no
Configurando como está acima, o cliente só conecta se estiver cadastrado
.
PS: A opção default-forwarding=no nas interfaces de cliente, vai desabilitar a travessia entre os usuários da rede na interface, para evitar problemas onde um usuário pode ver o outro.
3° Firewall
Bom! aqui é algo mais preciso e delicado, um bom firewall define a qualidade e segurança do seu serviço, vou apenas colocar um exemplo aqui de como vc pode bloquear no mesmo:
/ip firewall filter
add action=drop chain=forward comment="" disabled=no src-address=10.45.1.2
Estando com essa configurações setadas, vc poderá desabilitar o cliente no campo
/ip arp (onde a própria interface wlan vai descartar o mesmo), no
access-list (para o cliente não conectar no sinal) e no firewall para desencargo de conciencia :-), use todas!
PS: Se alguem clonar seu MAC, ele
(clonador) vai conectar no sinal, porém será descartado pela interface por nao estar com MAC/IP na tabela ARP, ou seja, em
/ip arp.
Se for clonado MAC/IP ele entrará na sua rede lógica, porém é barrado no firewall.
Abraços e estamos ae