Como Bloquear o Trafego entre as Interfaces???

[JeanGutemberg]

O negocio é o seguinte.

Tenho 2 placas de rede no Mikrotik, uma para o CLIENTES e outra para o MODEM.
Estou conectado na Placa de rede CLIENTES, direto sem hub nada, e consigo acessar o Modem que está ligado na placa MODEM.
Como Bloquear isso? Tipo, quero que funcione a Net normal, só não quero que consigo acessar a outra placa, no caso a do Modem.
Obrigado.

[daniloacr]

faça o seguinte:

suponhando que a placa CLIENTES tenha a seguinte faixa de ip: 192.168.1.0/24
e a placa LINK tenha a seguinte faixar de ip: 192.168.0.0/24

entao faça o seguinte filtro do firewall:

/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=drop comment="" disabled=no

qualquer coisa estamos ai!

abraços!

[letec2000]

Boa Dica, agora tambem tenho uma duvida um bocado diferente. Na saida de uma de minhas placas ligadas ao mikrotik, possuo um switch 16 portas, onde eu tenho 9 clientes, Existe uma maneira configuravel (passo-a-passo) no MK que eu possa bloquear arquivos e pastas compartilhadas ??? Ou mesmo que esses clientes se enxerguem na rede ???

Mais configs no MK funcionam com IP e MAC amarrado e controle de Banda somente.

[daniloacr]

Boa Dica, agora tambem tenho uma duvida um bocado diferente. Na saida de uma de minhas placas ligadas ao mikrotik, possuo um switch 16 portas, onde eu tenho 9 clientes, Existe uma maneira configuravel (passo-a-passo) no MK que eu possa bloquear arquivos e pastas compartilhadas ??? Ou mesmo que esses clientes se enxerguem na rede ???

Mais configs no MK funcionam com IP e MAC amarrado e controle de Banda somente.

nesse caso como todos estao ligado ao swith não tem como vc fazer um filtro, mas vc pode configurar cada um dessses clientes com um gateway diferente e aplicar a mascara de sub-rede 255.255.255.252 ou melhor /30.

ou seja cadastre no mikrotik os ips 192.168.1.1/30 .. 192.168.2.1/30 .. 192.168.3.1/30 e assim vai, nos clientes configure 192.168.1.2/30 .. 192.168.2.2/30.

qualquer coisa estamos ai!

[ivangalves]

Vc pode configurar seu Mk para usar faixas diferentes por exemplo:
10.10.1.X/30
10.10.2.X/30
10.10.3.X/30

Isso tb vai diminuir seu broadcast da sua rede....

Logicamente vai aumentar seu trabalho de cadastro de clientes, pois terá que cadastrar no address as faixas, e nas conf do firewall tb vai ter que colocar la no NAT CHAIN>>SCRNAT + SRC. ADRESS>>>>10.10.0.0/16 - Action-Masquerade. Ok
E tb se usa o web-proxy tem que configurar lá tb.

Espero ter ajudado, qualquer coisa estamos ai (só não sou fera no MK, mas to aprendendo)....

Ivan Galves

[JeanGutemberg]

faça o seguinte:

suponhando que a placa CLIENTES tenha a seguinte faixa de ip: 192.168.1.0/24
e a placa LINK tenha a seguinte faixar de ip: 192.168.0.0/24

entao faça o seguinte filtro do firewall:

/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=drop comment="" disabled=no

qualquer coisa estamos ai!

abraços!

Não Funcionou

o IPs dos meus Clientes eu tenho vários Gateways, (20.20.1.1 - 20.20.2.1 - 20.20.3.1) e meu modem é 10.1.1.140.

[daniloacr]

Não Funcionou

o IPs dos meus Clientes eu tenho vários Gateways, (20.20.1.1 - 20.20.2.1 - 20.20.3.1) e meu modem é 10.1.1.140.

no mikrotik vc vai adicionar o ip 20.20.2.1/30 e no cliente IP: 20.20.2.2 mask: 255.255.255.252, gateway: 20.20.2.1 lembrando que esses ips vc vai colocar na placa que sai para os clientes, dessa forma é obrigado a funcionar

[letec2000]

nesse caso como todos estao ligado ao swith não tem como vc fazer um filtro, mas vc pode configurar cada um dessses clientes com um gateway diferente e aplicar a mascara de sub-rede 255.255.255.252 ou melhor /30.

ou seja cadastre no mikrotik os ips 192.168.1.1/30 .. 192.168.2.1/30 .. 192.168.3.1/30 e assim vai, nos clientes configure 192.168.1.2/30 .. 192.168.2.2/30.

qualquer coisa estamos ai!

Falai Brother, fiz exatamente isso, e os micros continuam se enxergando normalmente na rede. ping normal e se eu mandar buscar um ip ele acha trankilo.

Mas alguma ideia ?

[claudemirnetlink]

Falai Brother, fiz exatamente isso, e os micros continuam se enxergando normalmente na rede. ping normal e se eu mandar buscar um ip ele acha trankilo.

Mas alguma ideia ?

Faça o seguinte bloquei no firewall a porta 138 e 139 tcp e udp e pronto, Esse seria o caso para os clientes conectados na wireless não se exegarem, mas conectados ao switch só conheço uma solução mude para a mascara 255.255.255.252 ou seja /30

[daniloacr]

Faça o seguinte bloquei no firewall a porta 138 e 139 tcp e udp e pronto, Esse seria o caso para os clientes conectados na wireless não se exegarem, mas conectados ao switch só conheço uma solução mude para a mascara 255.255.255.252 ou seja /30

agora analisa comigo o nosso amigo está dizendo que os clientes estao conectados ao switch e ele ja colocou o /30 e mesmo assim os clientes estao se enxergando, ou seja não a minima posibilidade dos clientes esta se comunicando pelo switch devido esta em faixas de ips diferentes, entao o que ta acontecendo é que quem está fazendo essa interceptação é o proprio mikrotik.

agora se ele fizer o drop nas portas 137 e 139 os problemas dele de um entrar nos arquivos dos outros irá acabar, mas a questao do ping não.

acho que é isso, alias acho nao tenho certeza!

faça um pequeno teste entao pra ter certeza crie uma regra firewall filtro colocando o endereço de origem 20.20.1.0/24 e destino 20.20.2.0/24 e colocando acão drop e faça o teste entre esses dois ips!

poste os resultados

[JeanGutemberg]

Fugiu do assunto esse tópico que abri.
Eu havia perguntado se teria a possibilidade de Bloquear os clientes de acessar outras interfaces, não eles se acessarem entre eles.
Vou Explicar direitinho o que ta acontecendo.

Tenho um Servidor Mikrotik com 2 placas de rede.
1 placa Entra o Modem ADSL (ip do modem= 10.1.1.140)
1 placa é saida dos clientes (varios gateways, 20.20.1.1, 20.20.2.1, 20.20.3.1 etc...)

Nao tem hub nada ligado entre eles.
Se um Cliente (20.20.100.2) digita no navegador dele o ip do modem (10.1.1.140) ele o acessa normalmente, com isso ta dando outro problema aqui.

Um amigo meu está sem internet, e estou mandando um link pra ele lá no outro lado da cidade.
Os ips dos clientes dele lá é na mesma faixa dos meus, (20.20.1.1, 20.20.2.1, etc...), e eu coloquei um hub no modem, 1 cabo vai pro meu Mikrotik (link), e outro cabo vai pra um radio na torre pra mandar link lá pra ele. E está dando conflito de IPs nos meus clientes, pois a Interface do Link está enchergando a Interface dos clientes.
Esse é o problema..
Valew

[daniloacr]

Fugiu do assunto esse tópico que abri.
Eu havia perguntado se teria a possibilidade de Bloquear os clientes de acessar outras interfaces, não eles se acessarem entre eles.
Vou Explicar direitinho o que ta acontecendo.

Tenho um Servidor Mikrotik com 2 placas de rede.
1 placa Entra o Modem ADSL (ip do modem= 10.1.1.140)
1 placa é saida dos clientes (varios gateways, 20.20.1.1, 20.20.2.1, 20.20.3.1 etc...)

Nao tem hub nada ligado entre eles.
Se um Cliente (20.20.100.2) digita no navegador dele o ip do modem (10.1.1.140) ele o acessa normalmente, com isso ta dando outro problema aqui.

Um amigo meu está sem internet, e estou mandando um link pra ele lá no outro lado da cidade.
Os ips dos clientes dele lá é na mesma faixa dos meus, (20.20.1.1, 20.20.2.1, etc...), e eu coloquei um hub no modem, 1 cabo vai pro meu Mikrotik (link), e outro cabo vai pra um radio na torre pra mandar link lá pra ele. E está dando conflito de IPs nos meus clientes, pois a Interface do Link está enchergando a Interface dos clientes.
Esse é o problema..
Valew

curto e grosso!

/ip firewall filter add chain=forward in-interface=Link out-interface=Clientes src-address=20.0.0.0/8 action=drop comment="" disabled=no

testa ai e posta os resultados!

abraços!

[JeanGutemberg]

curto e grosso!

/ip firewall filter add chain=forward in-interface=Link out-interface=Clientes src-address=20.0.0.0/8 action=drop comment="" disabled=no

testa ai e posta os resultados!

abraços!

Ainda consigo acessar o Modem.

[daniloacr]

Ainda consigo acessar o Modem.

A regra que postei é para vc bloquear o acesso dos clientes que estao na interface link para a interface Clientes cujo o ip dos clientes da link é 20.0.0.0/8. você esta com a faca e o queijo na mao.

mas afinal esses clientes que estao acessando o modem esta na mesma interface do modem? agora se vc quer bloquear o acesso ao modem é simples:

/ip firewall filter add chain=forward src-address=!10.1.1.1 dst-address=10.1.1.140 action=drop comment="" disabled=no


verde: ip do seu modem adsl
vermelho: ip do seu mikrotik

agora se isso não de certo REZE!