Ah, so lembrando, estou tendo problemas apenas com APs em Wisp que nao pegam Gateway.
Ah, so lembrando, estou tendo problemas apenas com APs em Wisp que nao pegam Gateway.
vejam bem, não entendi como fazer ainda, eu uso mk 3.30 em minha net assim:
é só colocar /32 na interface network e for em cada pc da rede e colocar mask .252
esse ip que vc postou ai 10.15.4.1 seria referente no meu caso o ip do modem?
não consegui captar a vossa mensagem nesta situação =D
poderia mandar aqui umas SS do seu mk nestas partes pra gente poder ver como é q tem que ficar, derrepente conseguimos acertar... ou piorar =D
obrigado desde ja!
descobri finalmente como funciona, simples não é mas é bem melhor:
primeiramente vamos ao masquerade que ja esta em uso, ou crie um novo só caso não tiver um ja feito:
va em IP / FIREWALL na aba NAT clique em cima do seu masquerade ou clique no sinal de + e faço como nas figuras abaixo:
agora crie os ips para a interface dos clientes:
/ip address
add address=192.168.1.1/30 network=192.168.1.0 broadcast=192.168.1.3 interface=Link-Client comment="Cliente 1" disabled=no
add address=192.168.2.1/30 network=192.168.2.0 broadcast=192.168.2.3 interface=Link-Client comment="Cliente 1" disabled=no
...
add address=192.168.198.1/30 network=192.168.198.0 broadcast=192.168.198.3 interface=Link-Client comment="Cliente 198" disabled=no
aqui tambem criei um pool endereço falso para nao dar acesso a internet a qualquer um:
add address=169.135.18.1/30 network=169.135.18.0 broadcast=169.135.18.3 interface=Link-Client comment="Bloqueio de Clientes" disabled=no
agora vamos criar o pool para os clientes:
/ip pool
add name="Clientes Pool1" ranges="192.168.1.2,192.168.2.2,192.168.3.2,192.168.4.2 ... ... ,192.168.99.2"
add name="Clientes Pool2" ranges="192.168.100.2,192.168.101.2,192.168.102.2,192.168.103.2 ... ... ,192.168.199.2"
aqui fiz mais um pool da interface dos clientes para bloqueio da internet, assim os clientes que entrarem na rede receberam estes ips e nao conectaram na internet:
add name="Clientes Pool Block" ranges="169.135.18.1-169.135.18.255"
agora abra o dhcp no menu IP / DHCP Server na aba network crie os network que vai usar, como no exemplo abaixo:
(esqueci de colocar o NETMASK: 30)
lembrando de colocar os dns e gateway conforme seu uso, no meu caso eu uso pppoe server então não preciso por ai, mas caso não use pppoe server faça como na imagem abaixo:
só tenha certeza de que não preencheu o gateway e dns server no ip do ip internet block...
(esqueci de colocar o NETMASK: 30)
ainda em DHCP Server va na aba DHCP faça como no exemplo:
quando adicionar um cliente novo ele ira receber o do pool block entre a faixa de ip 169.135.18.1-169.135.18.255, dai entao é só abrir winbox e por ip no mac que vc quer normalmente como se fosse um cadastro sem dhcp sendo 192.168.2.2 até 192.168.199.2, entao o cliente ira sempre receber aquele ip e acessara a internet normalmente...
não sou expert no assunto eu fiz isso aqui usando de exemplo no meu pc, e aqui funcionou, agora se tiver algo errado ai por um deslize meu por favor nao exitem em corrigir...
obrigado a todos!
Última edição por darkorion; 20-08-2010 às 16:37.
que eu saiba isto não é enrolação, isto é chamado de sub-redes não?
usei no bfw, e agora usei aqui, esta funcionando assim como qualquer outro meio, e outro VPN/criptografia para isolar clientes? lol
isso sim é enrolação, usar softwares de terceiros sendo que o servidor ja lhe da esta opção...
pois bem não vou dizer muito pq não sou expert na area mas enrolação não é...
só quis postar aqui esta ajuda pq eu precisei de fazer isto, não aguentava mais reclamação, o que me lembrei desta função no bfw então sabia que havia no mk tbm, só não tinha ideia de como fazer no mk... com muito custo consegui e quis compartilhar, cabe a cada um agora fazer ou não, mas ta ai pra quem quiser testar!
te + a todos!
A criação de sub-redes como forma de segurança seria muito rudimentar porem como tratamento de broadcast funciona. O principio da segurança é quanto vale a informação que queremos proteger. Segurança e Velocidade são caminhos antagônicos. Exemplo: se colocar na portaria de um prédio, 5 porteiros, e tiver que se identificar com cada um para chegar ao seu apartamento irá demorar muito mais tempo que o que não tem porteiro. Com isso começamos a mensurar a quantidade de "porteiros" precisamos na nossa rede.
Nunca usamos em nossos clientes /30 porem entendo ser inteligente o uso. Com relação à criptografia, vpn... são coisas interessantes porem para quem usa tecnologia 2.4 sabe que o maior fantasma é o troughput limitado. Ou seja, cada "porteiro" que colocamos em nosso "prédio" ocupa uma largura de banda que não temos sobrando. A debate do assunto é interessante e vasto. Temos sim que conseguir junto a Anatel uma faixa de freqüência entre os 2.4 e os 5.8 que possamos oferecer maior velocidade com estabilidade aos clientes finais. Podendo sim fazer um trabalho até superior as grandes teles.
bom quanto ao ip 169 não é uma rede privada, mas o lance é só para travar usuarios que tentarem usar a net sem ser cadastrado, e tanto faz, pode até colocar 1.1.1.1-254.
bom mas de fato resolvi fazer este post aqui pois fiz varias pesquisas, aqui mesmo no forum, e fiz varias perguntas sobre, encontrei apenas posts de 2005,2006,2007 e alguns de 2009 porem nenhum disse como fazer, só disseram que tem que fazer é mudar o netmask para 30 ou 32...
quanto ao processo para fazer netmask 252 (30) e nao 255 (32) ja foi resolvido...
lembrando que em todos testes feitos por qualquer um que saiba usar servidor vai ver que /30 é 252 e 32 é 255, pelo menos foi os resultados que me deram aqui no meu pc e no servidor, agora não como funciona isso, mas de fato não vou discutir isto...
quanto aos hosts e as redes pense bem, é apenas um host e uma rede para cada pc registrado neste caso, neste tipo de rede se tem 254 pcs então sao 254 hosts, lembrando que para haver um host se tem uma rede, um faz parte do outro, não tem como haver 254hosts e 254redes, uma rede não é rede sem um host e um host não é host sem uma rede, se pode ter sim um host e 254 redes no netmask 24...
bom, mas de fato o que todos querem saber é se alguem ja postou como fazer para os clientes não se enchergarem na rede, tenho certeza que se alguem tivesse postado como fazer esta discussão não teria mais de 6 anos...
sei que muitos querem ajudar respondendo topicos, mas ja vi topicos aqui respondidos por um cara que sabe muito mas só vai ajudar por msn, então tomei a iniciativa e vamos quem vai dar o proximo passo...
JorgeAldo tu como analista poderia nos ajudar nos mostrando como fazer, pois um cara como eu se tu dizer: o correto é fazer vpn ou encriptação, é só fazer isso e seu problema ta resolvido!
eu vou respoder: ?!?!?!?!?!?!?!? é de comer??
creio se eu estiver errado no modo que fiz e tu sabe o correto e melhor modo, então poderia alimentar o forum com a sua sabedoria... =)
obrigado aos agradecidos...
e obrigado a todos por me corrigirem se estiver errado!
Bem, não é de comer, é de separar clientes
É como falaram, isso é só um acordo de não olhar o pacote do outro. Qualquer um que modificar o driver madwifi, acessar a rede pega os pacotes que passarem por ele. Não importa se estão em outra rede, estão passando bits na rede, pode ser pegado.
Agora, se os bits não podem ser traduzidos para algo que entenda, aí sim se separa. Por isso encriptação + vpn.
o lance é que nem todo mundo usa wireless, a questão aqui é como fazer isto numa rede cabeada usando o servidor para tais configurações...
no caso da wireless removendo o forwad os clientes poderiam pingar entre si?
colocando criptografia teriamos que configurar todos os cliente com a chave destinada a sua rede?
o que não é dificil mas imagina toda vez que der um problema ter que ir na casa do cliente só para configurar uma senha na wireless dele...
o lance é manter a segurança entre os clientes sem ter que ir na casa do cliente, pois o servidor é quem tem que prover tal serviço...
mas é obrigatorio ter que ir no cliente configurar, porque neste caso meu uso clientes em dhcp server dando os ips para cada cliente, e os clientes por sua vez com ips automaticos, entao eu dou ao cliente o ip que eu quiser com dns, gateway, netmask que eu definir no meu servidor, no caso usando sua configuração não é possivel fazer usando dhcp server?
porque ser for possivel concerteza não ha necessidade de mexer no pc do cliente, do proprio servidor vc muda o que quer e apenas vai no cliente para ver se abriu algum site, certo?
Sub-redes é a melhor maneira de seguimentar as redes....mais ela tem segurança apenas quando se cria os filtros corretos para uma rede não chegar em outra.
Usar o /30 no MK que tem uma placa de rede para alimentar todos os clientes não tera segurança.
pois o mesmo conhece a rota para todas as redes.
No entanto parabens pelos posts anteriores.
mas como eu fiz no de sub-redes os clientes não se enxergam de nenhuma forma, não tem como pingar de um cliente para o outro, os pcs não aparecem na rede, somente o servidor pode ser pingado, e do servidor para o cliente, não há acesso de um cliente para o outro nem especificando ip...
agora quanto a sua solução se for mais seguro e for algo que va forçar menos o servidor do que a minha solução então sera lógico refazer todo servidor e configurar da sua maneira desde que isto vise o desempenho do servidor e cliente...
aqui eu estou usando da forma que postei e não tive problema nenhum com clientes, e ainda não preciso de ir na casa do cliente para resolver configurações, afinal o dhcp server te toda a facilidade d econfigurar cada pc da rede tendo somente o pc ligado e conectado na rede...
para os mais experientes que conhecem a solução correta e definitiva então seria valido como resposta até mesmo para pesquisa de outros se a resposta fosse baseada como um manual de configuração assim como eu fiz, com fotos e explicações, assim para quem não souber o que fazer não tera duvida do procedimento e não ficará repetindo a mesma duvida em outros posts...
se puder postar como vc fez toda sua configuração para os clientes será muito bem vindo e ficamos nós os varios usuarios de mk agradecidos!
=) boa tarde a todos e tenham uma boa semana =)
o problema não é este de alguem invadir, pois só se invade o que esta protegido, do contrario não é invasão...
o problema é o seguinte: um cliente da rede compartilha uma pasta para transferir para outro pc com um cabo cross e esquece a pasta importante compartilhada... (olha o problema)
um cliente esta acessando o windows explorer e esta la um monte de nome de pc de clientes da sua rede (olha outro problema, principalmente a curiosidade)
um cliente poe o computador para desligar e aparece aquela mensagem adoravel: alguem esta utilizando seu computador neste momento, tem certeza que deseja desligar seu computador?
o bendito do cliente não entende o que se passa e chega até a você e diz: _estou saindo da sua internet porque alguem estava entrando no meu computador e mexendo nas minhas coisas...
pois é isto é tenso para quem precisa deste cliente que paga todo mes certinho...
então repido, se alguem tiver uma forma correta de se proteger destes problemas, estamos aqui ao aguardo =D
eu acredito que voce entende a situação, vejamos, se o cliente diz que não compartilhou nada, o que vc faz?
o cliente muitas vezes não faz ideia de como compartilhar, mas se aparecer uma mensagem de que existe outro usuario conectado ao pc dele, o cliente ira desconfiar, ira reclamar (mesmo que não haja nada), ira sair da sua rede, e o pior vai dizer que na sua rede todos entram no pc dos clientes...
o problema é evitar este tipo de situação, sem contar que fica mais bonitinho né =D
parecendo mais profissional...
então o lance não é que seja responsabilidade minha ou do cliente, o lance é fazer paracer o mais profissional possivel...para manter o cliente sempre na nossa rede...
se ele compartilha beleza, a culpa é dele, mas imagina só um que não compartilhou nada, e eu da minha casa dou um ping no pc dele, e no mesmo exato momento ele poe o pc para desligar, qual mensgem vai aparecer no pc dele?
é isto que queremos evitar quando dizemos que temos que trocar o netmask, ou mudar algo que seja, para manter a segurança do usuario, porque mesmo que ele compartilhe a segurança cabe ao servidor... pelo menos este tipo de segurança sim, esta é minha opinião!
sim mas quanto aos invasores sabemos que não tem geito, não uma solução fixa, mas o que queremos é evitar a reclamação de um cliente que não entende o que se passa, ja será um problema a menos correto?
então se um cara invadir, aí sim ja é diferente, não foi culpa nossa, mas se a pasta ta la aparecendo, vai dar a curiosidade a qualquer que a veja, então ja se sabe o final...
apesar de nós entender-mos sobre os pcs aparecendo na rede o cliente não quer saber, ele não quer la o nome do pc dele e receber a mensagem de que alguem esta no pc dele remotamente...
é com esta finalidade que iniciaram este post...
agora vamos novamente ao assunto: postei o que eu uso aqui, e se alguem tiver uma solução correta e eficaz, estamos a disposição!
Pessoal aos que usam criptografia, e aos que usam sub-redes, existem de diversas formas, métodos de segurança que podem ser implantados no MK.
Filtros de bridge, e de interfaces são feitos para que o que vem de um para outro seja dropado de tal forma.
Mais a segurança também depende dos equipamentos que existem na rede, pois as vezes a disposição de regras para estes filtros dependem de modelos e até compatibilidades dos fabricantes.
Bom, também não sou nenhum expert no assunto, mas com o tempo vamos adquirindo alguma experiência.
Fiz algumas regras em bridge, simples mas funcional. Cliente não pingam entre si, não se enchergam via NetBios, não disparam dhcp na rede. Em todos os meus testes os resultados foram positivos. Mas creio que possa haver falhas que gostariam que analisassem e discutissem se isso realmente funciona.
Segue em as regras para mikrotik. Versão 3.30 ou superior. Essas regras funcionam para mikrotik em bridge. E deve se criar o drop e a marcação de pacotes para cada interface na bridge onde os clientes se conectam.
/interface bridge filter
######Aceita conexões para winbox,winbox discovery####################
add action=accept chain=input comment="ACEITA WINBOX POR IP" disabled=no dst-port=8291 ip-protocol=tcp mac-protocol=ip
add action=accept chain=input comment="ACEITA WINBOX POR MAC" disabled=no dst-port=20561 ip-protocol=udp mac-protocol=ip
add action=accept chain=input comment="ACEITA WINBOX DISCOVERY" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
########Marcando pacotes que não tenham como destino o gateway #########################################
add action=mark-packet chain=input comment="MARCA PACOTES QUE NAO TENHAM COMO DESTINO O GATEWAY" disabled=no dst-address=\
!IP DO GATEWAY/32 in-interface=INTERFACE mac-protocol=ip new-packet-mark=INTERFACE_mp
add action=log chain=input comment=LOG disabled=yes log-prefix=DROP packet-mark=INTERFACE_mp
add action=drop chain=input comment="DROPA PACOTES MARCADOS QUE NAO TEM COMO DESTINO O GATEWAY" disabled=no packet-mark=\
INTERFACE_mp
add action=drop chain=input comment="DROPA TODOS PROTOCOLOS DE MAC QUE NAO SEJAM IP" disabled=no in-interface=INTERFACE \
mac-protocol=!ip
add action=drop chain=forward comment="PREVENTIVO NETBIOS" disabled=no dst-port=137-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=137-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip
OBS: Fiz o preventivo só para precaução. As regras acima já barravam o trafego netbios.
É, solução definitiva tenho pela certeza que não é. Estou de todas as formas que conheço tentando isolar totalmente todo e qualquer trafego entre cliente (inclusive broadcast e multicast) por regras de firewall.
Essas regras acima por algum motivo ainda passa broadcast e multicast entre clientes o que ainda atrapalha o desempenho da rede. Estou procurando algo que realmente isole os clientes de forma definitiva (totalmente seguro sei que nunca vou conseguir, mas o que passar pela minhas regras ficarão nos logs.)
Infelizmente meu conhecimento sobre camadas e tal é um tanto limitado. Sei o básico sobre TCP/IP e OSI, ainda estou engatinhando por assim dizer.
E sei que realmente colocar mascara 30 nos clientes é inviável, pois além de dar muito trabalho, é facilmente burlado. Regras de firewall também não dá tanta confiabilidade quanto uma criptografia com EAP para garantir a identidade dos hosts. Mas por ser mais prático creio e ainda nos dá oportunidade de usar outro tipo de segurança.
Estou trabalhando justamente em regras de firewall por ser pratico e não precisar ir de terminal a terminal para fazer ajustes de rede. Mas tenho em mente que realmente, segurança é criptografia.
Continuarei fazendo testes com outras regras que estou começando a implementar e se der certo postarei os resultados.
Para quem reamente quer isolar os clientes, esse pessoal criou um sistema muito funcional. HostCERT - A Solu Vale a pena entender os principios utilizados por eles.