Dica - Bloquear DHCP vindo dos clientes

[ijr]

Estava passando alguns problemas com DHCP vindo dos clientes, pesquisei e achei 02 regras muito simples e até o momento está resolvendo meu problema.

Vale lembrar que os créditos são para CATV, autor das mesmas.


O DHCP trabalha na camada 2, correto?? A bridge trabalha na camada 2 também, certo?

Então você pode tranquilamente usar a bridge para bloquear tráfego da camada 2. Como?


/ interface bridge filter
add chain=input in-interface=clientes mac-protocol=ip src-port=67 ip-protocol=udp action=drop comment="Anti-DHCPServer-Externo" disabled=no

add chain=forward in-interface=clientes mac-protocol=ip src-port=67 ip-protocol=udp action=drop comment="Anti-DHCPServer-Externo" disabled=no

Substituir a palavra clientes pelo nome das suas interfaces. Deve ser aplicado em todos os cartões.

[powernetscm]

mesmo eu usando dhcp por mac na minha rede nao atrapalharia

[ijr]

mesmo eu usando dhcp por mac na minha rede nao atrapalharia

Você pode continua usando DHCP no seu servidor, a idéia acima é bloquear apenas tráfego de DHCP "vindo" de clientes conectados na sua wireless.

[eternal]

vou testar aqui

[AndrioPJ]

bom, nao sei se essa regras no mk funcionaria
mas sei que se vc bloquear a porta 67... udp
vc bloqueia tudo
nen seus clientes receberam o seu ip


mas nesse caso, vc ta bloqueando as portas 67/udp que estao entrando...
hum... interessante

[agpnet]

bom, nao sei se essa regras no mk funcionaria
mas sei que se vc bloquear a porta 67... udp
vc bloqueia tudo
nen seus clientes receberam o seu ip


mas nesse caso, vc ta bloqueando as portas 67/udp que estao entrando...
hum... interessante

Somente desabilitando o default forward da interface wireless dos clientes não resolveria ?

[aksgnet]

Somente desabilitando o default forward da interface wireless dos clientes não resolveria ?

Realmente... apenas desabilitando o "default forward" dos cartões resolvem...
Mas tipo... se voce tiver vários cartões wireless na mesma RB ou PC-AP.... A regra só vale para os clientes que estiverem no mesmo cartão.. ou seja.... o trafégo entre clientes de cartões diferentes é possivel.... Assim... voce tem que colocar todas as interfaces wireless (lembrando, apenas as que estão os clientes)... dentro de uma BRIGDE e criar FILTROS para bloquear trafego entre cartões (Mas cuidado para nao bloquear o trafego entre a interface que esta o GATEWAY).

Espero ter ajudado.

[agpnet]

Realmente... apenas desabilitando o "default forward" dos cartões resolvem...
Mas tipo... se voce tiver vários cartões wireless na mesma RB ou PC-AP.... A regra só vale para os clientes que estiverem no mesmo cartão.. ou seja.... o trafégo entre clientes de cartões diferentes é possivel.... Assim... voce tem que colocar todas as interfaces wireless (lembrando, apenas as que estão os clientes)... dentro de uma BRIGDE e criar FILTROS para bloquear trafego entre cartões (Mas cuidado para nao bloquear o trafego entre a interface que esta o GATEWAY).

Espero ter ajudado.

Quais filtros são necessários, aqueles do netbios(135-139 e 455) são suficientes ?

Obrigado

[aksgnet]

Quais filtros são necessários, aqueles do netbios(135-139 e 455) são suficientes ?

Obrigado

Entre os cartões dos clientes.. voce pode bloquear tudo... Deixando passar todo o trafego vindo do CLIENTE para o GATEWAY e VICE-VERSA...
Ex: Bloquear.. WLAN1 --> WLAN2 e WLAN2 --> WLAN1....

E WLAN1 --> GATEWAY (permite).... (Ou seja.. cuidado para nao bloquear os CLIENTES de acessar a internet)

E pronto.. tudo protegido entre os clientes.

==================================

Se foi UTIL, não esqueça de AGRADECER ABAIXO dessa mensagem!