Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão

    amigo, essas regras voce pode aplicar apenas nas portas da bridge que fazem comunicação com os clientes. não precisa ser na rede inteira;

  2. #22

    Padrão

    Citação Postado originalmente por thenet Ver Post
    amigo, essas regras voce pode aplicar apenas nas portas da bridge que fazem comunicação com os clientes. não precisa ser na rede inteira;
    Como eu devo proceder, primeiro a regra do winbox, depois do pppoe e bloqueio ? A minha maior dúvida é quais chains usar e a do bloqueio.

    Obrigado

  3. #23

    Padrão

    /interface bridge filter
    chain=input in-interface=sua_interface_real src-address=ip_liberado action=accept
    chain=input in-interface=sua_interface mac-protocol=0x8863 action=accept
    chain=input in-interface=sua_interface mac-protocol=0x8864 action=accept
    chain=input in-interface=sua_interface action=drop

    na ordem, essas regras fazem o seguinte. a primeira libera algum ip/range para ter total acesso a tudo pela interface que voce escolheu.
    a segunda libera algum dos 2 protocolos de pppoe e a terceira a mesma coisa (mas o outro protocolo).
    a ultima regra, bloqueia tudo. e como as de liberação estão acima, ela só bloqueará tudo que não for correspondente à essas 3 primeiras regras.

    A interfaceque voces escolheu, seria a de contato direto do cliente. Imagina a seguinte situação:
    voce tem 3 interfaces em um mikrotik e todas estão na bridge:
    LINK, CLIENTES1, LINK_REP2

    voce vai colocar essas regras apenas para a interface CLIENTES1.

  4. #24

    Padrão

    thenet, obrigado pela ajuda, mas quando a chain fica em input ela não contabiliza nada, ai coloquei em forward e funcionou, fiz da seguinte maneira: 1ª regra - liberar conexão entre os mks e o nat (uso cliente ntp, eles precisam sair para internet para acertar seus relógios). 2ª e 3ª regra - liberar pppoe discovery e session. 4ª regra descartar o restante com protocolo ip, se eu não especificar que é ip mesmo com a regra de liberar a rede do mk acima ele não deixa eu acessar os aps na rede, pois uma destas bridges é onde sai link para duas repetidoras, agora nas repetidoras somente as regras 2 a 4 nas interfaces dos clientes.

    bridge principal:
    Código :
    /interface bridge filter
    add action=accept chain=forward comment="Permitir Mikrotik" disabled=no \
        dst-address=192.168.70.0/24 in-bridge=bridge1 mac-protocol=ip out-bridge=\
        bridge1 src-address=0.0.0.0/0
    add action=accept chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \
        in-bridge=bridge1 mac-protocol=ip out-bridge=bridge1 src-address=\
        192.168.70.0/24
    add action=accept chain=forward comment="Permitir PPPoE Discovery" disabled=\
        no in-interface=wlan1 mac-protocol=pppoe-discovery
    add action=accept chain=forward comment="Permitir PPPoE Session" disabled=no \
        in-interface=wlan1 mac-protocol=pppoe
    add action=drop chain=forward comment="Descarta o resto" disabled=no \
        in-interface=wlan1 mac-protocol=ip

    Mas vou refinar estas regras ainda de acordo com a minnha necessidade, depois eu posto o resultado.
    Agora, eu fiquei perplexo com a quantidade de pacotes descartados fora das regras... meu Deus, a rede ficou beeeem melhor. Agora quanto a regra de bloqueio somente bloquear proto. IP, será que existe algo de nocivo para a rede em outros protocolos ?


    Obrigado !!!

  5. #25

    Padrão

    galera, essas regras só servem pra pppoe?

    pois na minha rede uso pppoe e DHCP static

    alguem pode me passar alguma coisa?

    obrigado

  6. #26

    Padrão

    Citação Postado originalmente por gustavo_marcon Ver Post
    Sim, já pensei e inclusive um dos clientes que está me dando problema esta em WDS, pois WDS cria uma bridge, e eu tenho que ficar cuidando pra não colocar IPs em outros clientes que batam com os IPs que o cara usa nas maquina da rede interna dele, senão, dá o problema de conflito que estou tentando resolver.

    O que preciso, é fazer com que as coisas fiquem individuais.
    Acredito que a saida vai ser realmente um túnel, mas já que o EoIP é proprietário não vai ser possível fazer, pois senão teria que sair trocando os equipamentos dos clientes.

    Vou ver algo sobre VLAN, mas acredito também que o firmware do cliente não vai suportar.
    Eu não sei o conceito de VLAN, então não sei se isso é o que preciso. Pesquisei um pouco na internet, mas não consegui entender muita coisa.

    Mas tbm é possivel criar um WDS Sem Criar uma Bridge ou estou equivocado ..

  7. #27

    Padrão

    agpnet..
    realmente, as regras tem que ser em forward. uso elas aqui assim. é que tinha colado de quem me passou e tava com input não sei o porque.

    quanto a outros protocoloes, teria que procurar, mas creio que apenas o IP ja alivia e muito.
    vou implementar aqui regras para ip's, fazendo bloqueios de ip's para cada mac (pra ninguem clonar ip). vamos ver o que da e eu posto aqui.