Ajuda...Clientes se enchergando e acessando...

[NetoGO23]

Galera estou com um problema, tenho alguns clientes que estão se enxergando e usando impressora uns dos outros, acessando arquivos e ainda vendo todos q estão ON no Meus Locais de redes.

Como faço para bloquear?

Uso HotsPot e mk 3.20

Obrigado.

[Gustavinho]

Cara pra amenizar sua situação....

Muda sua rede para /30 que ja é 50 % de chance de acabar com isso.

Bloqueia os protocolos de rede no firewall do MK....aqui no forum ja existem topicos com essas regras.

flw

[pjnsofts]

desmarca o default forward da placa wireless

[alexsuarezferreira]

desmarca o default forward da placa wireless

e isso ai, com esa opção vc resolve, tenta ai..

[NetoGO23]

e isso ai, com esa opção vc resolve, tenta ai..

Estão todas as 3 opções desmarcadas.

Utilizo Mk 3.20 no server e nas torres todas estão em bridge RB600A com 3.10.

[lipeiori]

Bloqueia essas portas:

O que é necessário saber
O NetBIOS usa as seguintes portas:
•
UDP/137 (serviço de nomes do NetBIOS)
•
UDP/138 (serviço de datagramas do NetBIOS)
•
UDP/139 (serviço de sessões do NetBIOS)

O SMB usa as seguintes portas:
•
TCP/139
•
TCP/445

[NetoGO23]

Bloqueia essas portas:

O que é necessário saber
O NetBIOS usa as seguintes portas:
•
UDP/137 (serviço de nomes do NetBIOS)
•
UDP/138 (serviço de datagramas do NetBIOS)
•
UDP/139 (serviço de sessões do NetBIOS)

O SMB usa as seguintes portas:
•
TCP/139
•
TCP/445

Certo mas tem outro problema, eu tenho um computador em casa ligado pelo cabo de rede em uma das RB600A na torre, e o computador do escritório fica acessando a setorial 01 e preciso que os 2 se comuniquem pois tem programas compartilhados entre eles. Como vou fazer?

E no caso de algum cliente pedir para fazer uma rede entre a casa e o escritório?

Pois tenho clientes com pc em casa e no escritório, mas isso só vou deixar para o ultimo caso pois nesse momento estou preocupado com alguns leigos e compartilharam os hd na rede.

[Gustavinho]

Entao Neto, como eu te falei eu recomendo voce a começar da seguinte forma:

(Nao sei como é sua infra, mais...)

Mascara /30 pra cada IP de Cliente
AP nos clientes, distribuindo IP pra rede interna dele através do DHCP do radio.
Amarrar o IPxMACxUsuario e senha no MAC do AP.

Assim como te falei ja te ajuda bastante....

[magnusrk8]

No cartão wireless desmarque a opção Default Forward e coloque o firewall deste topico (Um script para Firewall no Mikrotik bem simples) a funcionar, não tera mais problemas com teus clientes se enxergando..

Na questão dos teus clientes com compartilhamento entre maquinas na tua rede, crie VPN para estes casos é o mais seguro.

[NetoGO23]

No cartão wireless desmarque a opção Default Forward e coloque o firewall deste topico (Um script para Firewall no Mikrotik bem simples) a funcionar, não tera mais problemas com teus clientes se enxergando..

Na questão dos teus clientes com compartilhamento entre maquinas na tua rede, crie VPN para estes casos é o mais seguro.

Fiquei com uma duvida, posso fazer essa configuração independente da que tenho no meu firewall?

Não corro o risco de dar nenhum outro problema?

É que paguei pra configurar o meu servidor e não sei exatamente como está essa parte.

O básico a se fazer eu sei, tirando isso num sei nada.

[magnusrk8]

Fiquei com uma duvida, posso fazer essa configuração independente da que tenho no meu firewall?

Não corro o risco de dar nenhum outro problema?

É que paguei pra configurar o meu servidor e não sei exatamente como está essa parte.

O básico a se fazer eu sei, tirando isso num sei nada.

Este exemplo de firewall q te passei é um firewall completo se voce já tem um configurado não altere antes de falar com a pessoa q configurou ou simplesmente troque um pelo outro, mas não te aconcelho se voce não sabe o que esta fazendo.

[NetoGO23]

Este exemplo de firewall q te passei é um firewall completo se voce já tem um configurado não altere antes de falar com a pessoa q configurou.

O que eu poderia acrescentar apenas para efetuar o bloqueio dos clientes para não se enxergarem e não acessar os dados uns dos outros?

[magnusrk8]

ter estas portas bloqueadas já ajuda em 90%:

O NetBIOS usa as seguintes portas:
UDP/137 (serviço de nomes do NetBIOS)
UDP/138 (serviço de datagramas do NetBIOS)
UDP/139 (serviço de sessões do NetBIOS)

O SMB usa as seguintes portas:
TCP/139
TCP/445

[braw]

esse eh um problema q me acompanhou muito tempo, nao sei o tamanho da sua rede amigo mas esse negocio de usar sua rede de internet para cliente se interligar com empresa e casa nao funciona amigo, vc vai sacrificar o bom funcionamento da sua rede ocupando banda para cliente ficar copiando arquivo interminaveis da casa pro escritorio e vice e versa ae sua latencia vai lah em cima e vc nao sabe pq... na minha opiniao nao vale a pena... quando se usa a rede em bridge da esses trabalhos mesmo, varias coisas podem ser feitas pra amenizar isso, desmarcar Default Forward mas esse soh vai funcionar para clientes no mesmo cartao, o bloqueio das portas citadas acima, o mascaramento /30, e da pra fazer tb o boqueio do trafego entre os cartoes:

/interface bridge filter
add action=drop chain=forward comment="Dropa Conexoes entre wlan" disabled=no \
in-interface=wlan1 out-interface=wlan2
add action=drop chain=forward comment="" disabled=no in-interface=wlan2 \
out-interface=wlan1

nao vai resolver pq os radios estao em bridge mas ameniza bem. abraço

[NetoGO23]

Obrigado a todos pela ajuda, meu técnico pegou Dengue e assim que ele voltar vou passar as informações para ele e assim acrescenta o q for necessário no firewall.

Assim q tiver tudo ok posto aqui o resultado.

Obrigado.

[ivovid]

antes de tudo

se resguarde FAÇA BACKUP do sistema

o bom seria se vc tivesse um servidor de bancada para testes

ai vc poderia fazer todos os testes antes de colocar no seu server principal

[Tornadonet]

Amigo, tenta usar varias classes de ip, aki no meu link tenho 96 clientes, uns de radios uso wisp- com uma classe e clientes de placa com classe diferente, ai ninguem se inxerga na rede... vlw..

[Mr_Dom]

aqui tmb tinha esse tipo de problema...

dicas:

1º - desmarque o default forward da wireless

2º - se tiver como, use mask /30 nos clientes

3º - use essas regras em /interface bridge filter

0 ;;; Regras para Bloqueio de Tr fego NETBIOS
chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=tcp action=drop
1 chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=udp action=drop
2 chain=forward mac-protocol=ip dst-port=445-449 ip-protocol=tcp action=drop

4º - se tiver condições, nos clientes mude tudo pra wisp, fazendo nat na propria ap do cliente, ao usar em modo cliente (bridge) na ap do cliente, se puder use switch gerenciavel, pois possibilita bloqueio de comunicação entre as portas rj45

5º - essa é apenas quando der, se for no cliente reconfigurar os ips, nao custa nda desmarcar a opção de compartilhamento de arquivos e impressoras, sei que quando formata volta, porém já é + alguma coisa pra protejer enquanto estiver desabilitado, sem contar que esse tráfego NEtBios nao vai pra sua rede wireless...

várias coisas que fazem diferença...

espero ter ajudado...t+

[j34nsch]

Certo mas tem outro problema, eu tenho um computador em casa ligado pelo cabo de rede em uma das RB600A na torre, e o computador do escritório fica acessando a setorial 01 e preciso que os 2 se comuniquem pois tem programas compartilhados entre eles. Como vou fazer?

E no caso de algum cliente pedir para fazer uma rede entre a casa e o escritório?

Pois tenho clientes com pc em casa e no escritório, mas isso só vou deixar para o ultimo caso pois nesse momento estou preocupado com alguns leigos e compartilharam os hd na rede.

amigo o bloqueio é necessario sim, porem para casos de clientes que querem se comunicar entre 2 pontos eu faço e seguinte, faço o cara compar 2 RB e vendo um tunel separado de vpn para ele

essa dica de como configurar esta aqui
Linux: VPN com Mikrotik [Dica]