Postado originalmente por
ricardofjayme
Olá amigos,
Já li alguns posts e apliquei algumas regras para bloquear tráfego de netbios, dhcp, etc na camada 2, isto é, na própria bridge.
Porém, estive pensando em fazer uma regra só, bem simples e funcional: liberar todo o tráfego que vai ou vem da minha placa de clientes do Mk e dropar todo o resto... Faria isso em cada rb minha que funcionasse como AP bridge... então o cliente só conseguiria mandar e receber pacote do meu server MK, eliminado todo e qualquer tráfego dentro da rede. Bem, para isso fiz 3 regras, duas accept com o MAC da minha placa de clientes do MK (uma com SRC e outra com DST) e a última com um drop geral. Funcionou, os clientes continuaram navegando e nos testes que fiz, qq outro tipo de tentativa de acesso que não fosse internet foi bloqueado. Mas... como tudo sempre tem um "mas" rs, o estranho foi que os clientes que estava conectados no hotspot permaneceram conectados normalmente, porém os clientes que estão desconectados e tentaram se conectar não conseguiram. Não entendi, pq o meu server do hostpot roda nessa mesma placa de clientes do MK (claro..rs) que teve o MAC liberado nas regras... Aí me falta um pouco de conhecimento de como o hotspot procede para a autenticação... pois aí poderia liberar isso tb...
Aqui vai um print das regras:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Libera acesso ao MK
chain=forward action=accept
src-mac-address=00:50
A:68:85:3D/FF:FF:FF:FF:FF:FF
1 chain=forward action=accept
dst-mac-address=00:50
A:68:85:3D/FF:FF:FF:FF:FF:FF
2 ;;; Bloqueio_entre_clientes1
chain=forward out-interface=wlan2 action=drop in-interface=wlan1
3 ;;; Bloqueio_entre_clientes2
chain=forward out-interface=wlan1 action=drop in-interface=wlan2
4 X ;;; Dropa o resto
chain=forward action=drop
Se alguém puder dar uma ajuda, agradeço desde já!