+ Responder ao Tópico



  1. #1

    Padrão Broadcast na Rede - Mikrotik

    Bom dia,

    Eu fiz um teste a pedido de um amigo para ver qtos pacotes de broadcast estavam chegando no meu servidor Mikrotik.

    O teste foi o seguinte, criei a regra:
    " IP / Firewall / Mangle
    canal prerouting
    dst addres = (IP de broadcast da sua rede)
    Action=passtrougth

    só isso
    daí é só deixar contabilizar
    essa regra não vai alterar em nada sua rede
    só vai contabilizar o que chega nesse IP "

    Acontece que em cerca de 24hs eu recebi 4.201 pacotes e 477.4Kib !
    Acho q posso concluir estar tendo problemas com broadcast totalmente
    desnecessário na minha rede né?

    Que providencias posso tomar para amenizar o problema?

    Obs.: Digo que o Broadcast é desnecessário pq não existe (não deveria
    existir) comunicação entre os clientes, apenas deles com o Gateway de
    Internet.

    Obrigado.

  2. #2

    Padrão

    usar pppoe ou usar mascara 32 bits (255.255.255.255)



  3. #3

    Padrão

    Acho que nao va ter uma regra de firewall que voce coloque para parar isso em sua rede, como voce mesmo comentou, nao ha necessidade dos seus clientes estarem jogando esses pacotes na rede, mas para que isso pare voce terar que mudar sua topologia de rede, acho que ja comece saindo da mascara 255.255.255.0 e comece a usar algo como 255.255.255.252 fechando apenas o cliente e o gateway.

    O pessoal monta o dhcp entregando endereço de rede /24 e bloqueio o acesso as outras maquinas pelo MK, mas isso libera o broadcast.

    Falei da topologia porque voce irá mudar toda a sua estrutura de NAT para rotas, uma rota do seu gateway para cara cliente novo inves de voce criar o nat na interface dos seus clientes.

    Lembre que a internet nao funciona em nat e sim em rotas

  4. #4

    Padrão

    Não tem nenhuma solução "menos traumática"

    Tipo, eu já uso autenticação de usuário através de HotSpot.
    Eu utilizo IP fixo, e não DHCP...

    Talvez algum bloqueio nos APs...

    Alguem tem mais alguma sujestão?


    Obrigado a todos que responderam.



  5. #5

    Padrão

    Citação Postado originalmente por marcelhalls Ver Post
    Acho que nao va ter uma regra de firewall que voce coloque para parar isso em sua rede, como voce mesmo comentou, nao ha necessidade dos seus clientes estarem jogando esses pacotes na rede, mas para que isso pare voce terar que mudar sua topologia de rede, acho que ja comece saindo da mascara 255.255.255.0 e comece a usar algo como 255.255.255.252 fechando apenas o cliente e o gateway.

    O pessoal monta o dhcp entregando endereço de rede /24 e bloqueio o acesso as outras maquinas pelo MK, mas isso libera o broadcast.

    Falei da topologia porque voce irá mudar toda a sua estrutura de NAT para rotas, uma rota do seu gateway para cara cliente novo inves de voce criar o nat na interface dos seus clientes.

    Lembre que a internet nao funciona em nat e sim em rotas


    Poderia me explicar isso? Como assim mudar a estrutura de NAT?

  6. #6

    Padrão

    Voce mudaria sua topologia, inves de voce ter um gateway fazendo rotas e nat para seus links voce terá um roteador no meio dos dois.



    LINK ----- ROTEADOR ---- CLIENTES


    Aonde em todo cliente novo voce irá no roteador e criar uma rota dele para seu link isso sem nat entre seu cliente o o link.

    Com essa topologia cada cliente tera uma faixa de ip que voce determinar e uma mascara fechada nele ( 255.255.255.255 )

    Dei uma explicação bem superficial, posso ir mais a fundo com exemplos.

    Um exemplo aonde o NAT nao funciona é quando voce fecha o enlace de duas rede e no meio voce mete NAT de um lado pra outro, aí pronto, somente um ip passa de um lado pra outro, se mais de um passar o outro cai simultaneamente. Para que isso nao aconteça voce deve criar uma rota para ambos os lados.



  7. #7

    Padrão

    Seria melhor usar 255.255.255.255 ou 255.255.255.252?

  8. #8

    Padrão

    255.255.255.255 vc isola completamente os clientes.. o broadcast sera sempre o ip do cliente.. entao.. praticamente 0 de broadcast

    pelomenos rodei assim 3 anos sem problemas.. agora migrei tudo para pppoe



  9. #9

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    255.255.255.255 vc isola completamente os clientes.. o broadcast sera sempre o ip do cliente.. entao.. praticamente 0 de broadcast

    pelomenos rodei assim 3 anos sem problemas.. agora migrei tudo para pppoe

    Tem como ajustar isso por aqui, pois uso dhcp, ou tem que ser no cliente?

  10. #10

    Padrão

    Citação Postado originalmente por FernandodeDeus Ver Post
    Tem como ajustar isso por aqui, pois uso dhcp, ou tem que ser no cliente?

    Estou tendo esse mesmo problema, uso /24 como faria para poder alterar para 255.255.255.255 no mk.

    Mundo a configuração onde??? uso ip estatico



  11. #11

    Padrão

    ip estatico eh mais complicado (windows) ja em linux.. basta fazer assim:

    ifconfig wlan0 200.200.200.10 netmask 255.255.255.255
    route add -host 200.200.200.1 dev wlan0
    route add default 200.200.200.1

    pront


    agora setar a mascara via DHCP eh so mudar ela pra 255.255.255.255 que o dhcp ja faz o resto

  12. #12

    Padrão

    Citação Postado originalmente por alexandrecorrea Ver Post
    ip estatico eh mais complicado (windows) ja em linux.. basta fazer assim:

    ifconfig wlan0 200.200.200.10 netmask 255.255.255.255
    route add -host 200.200.200.1 dev wlan0
    route add default 200.200.200.1

    pront


    agora setar a mascara via DHCP eh so mudar ela pra 255.255.255.255 que o dhcp ja faz o resto
    Vou ver o que faço aqui obrigado! se alguem usar ai no mk agradeço ajuda tb!



  13. #13

    Padrão

    Citação Postado originalmente por alcimarbezerra Ver Post
    Vou ver o que faço aqui obrigado! se alguem usar ai no mk agradeço ajuda tb!

    Alcimarbezerra me tire uma duvida vc é associado a ANID ?

  14. #14

    Padrão

    Citação Postado originalmente por claudemirnetlink Ver Post
    Alcimarbezerra me tire uma duvida vc é associado a ANID ?
    Sim sou sim, mim conhece?



  15. #15

    Padrão

    Citação Postado originalmente por alcimarbezerra Ver Post
    Sim sou sim, mim conhece?


    Sou associado a ANID tambem e sempre tenho visto você falando algo na lista dos emails. É sempre bom ver o pessoal associado ANID presente neste excelente forum, da pra se aprender muito aqui sobre o serviço que prestamos, muito topico rico em experiências dos amigos donos de provedores e novidades.
    Quanto a sua rede te aconselho a utilizar PPPOE essa é a solução mais segura que conheço pois vc pode amarar MAC x LOGIM E SENHA, vc não vai ter problemas com MAC clonado. Eu utilizava aqui mascara /30 e uma boa alternativa tambem pois só a o Broadcast para o cliente ou seja um para cada cliente e os clientes não se enxergam mas infelizmente num belo dia apareceu um fdp clonando mac a solução que encontrei foi PPPOE. Você trabalhando com esse protocolo vc vai evitar que os clientes se enxerguem e não há broadcast na rede a segurança e maior, até para gerencia os clientes fica mais pratico seja por um sistema administrativo como por exemplo TOPSAPP entre outros ou até mesmo pelo mikrotik.

  16. #16

    Padrão

    Citação Postado originalmente por claudemirnetlink Ver Post
    Sou associado a ANID tambem e sempre tenho visto você falando algo na lista dos emails. É sempre bom ver o pessoal associado ANID presente neste excelente forum, da pra se aprender muito aqui sobre o serviço que prestamos, muito topico rico em experiências dos amigos donos de provedores e novidades.
    Quanto a sua rede te aconselho a utilizar PPPOE essa é a solução mais segura que conheço pois vc pode amarar MAC x LOGIM E SENHA, vc não vai ter problemas com MAC clonado. Eu utilizava aqui mascara /30 e uma boa alternativa tambem pois só a o Broadcast para o cliente ou seja um para cada cliente e os clientes não se enxergam mas infelizmente num belo dia apareceu um fdp clonando mac a solução que encontrei foi PPPOE. Você trabalhando com esse protocolo vc vai evitar que os clientes se enxerguem e não há broadcast na rede a segurança e maior, até para gerencia os clientes fica mais pratico seja por um sistema administrativo como por exemplo TOPSAPP entre outros ou até mesmo pelo mikrotik.
    Eu uso hotspot que também se consegue amarrar MAC x LOGIN X SENHA, meu maior problema não é esse e sim por medida de segurança mesmo hoje não tenho problema com broadcast em minha rede porém um futuro proximo posso ter, hoje utilizo a rede quase toda roteada, isso ajuda demais uma rede porém na rede internas roteadas tem esse problema dos clientes com netbios por isso estava querendo usar /30 ou algo do tipo pppoe eu não uso prefiro hotspot.

    Cada rede tem sua necessidade ai por isso estava querendo ver isso entedeu?



  17. #17

    Padrão

    Tem como alguem com mais experiencia dar uma dica do que se refere esse netbios e na pratica o q ue ele nos atrapalha?

  18. #18

    Padrão

    Citação Postado originalmente por FernandodeDeus Ver Post
    Tem como alguem com mais experiencia dar uma dica do que se refere esse netbios e na pratica o q ue ele nos atrapalha?
    netbios é o compartilhamento de arquivos e impressora dentro da tua rede.

    exemplo: um usuario mais esperto qie tenh aum amigo perto da casa dele e os dois querem compartilhar aquivos e os dois estando dentro do mesmo barramento eles simplismente ativa o netbis no windows o qual os técnico retiram coloca no mesmo grupo de trabalho coloca um ip la com a mesma mascara que o amigo, ai os dois vão compartilhar arquivos.

    isso explicado da forma mais simples. porem isso pode causar uma falha grave de segurança.