+ Responder ao Tópico



  1. #1

    Padrão Filtro de Bridge

    Caros colegas, fiz um filtro de de bridge para impedir que clientes de uma interface se comunique com os clintes de outra interface. Meu bloqueio ficou da seguinte forma:
    chain = forward in interface = wlan1 out interface = wlan2 action = drop repetindo com as interfaces invertidas.

    Ai me ocorreu uma dúvida, na wlan1 existe dinamicamente uma interface chamada wds1, será que preciso criar uma regra pra wds1 tambem?

    Cheguei até fazer, porém depois de um tempo onde a regra bloqueia a wds1 aparece a palavra know.

    Desde já agradecido

    Doriedson

  2. #2

    Padrão

    Use redes com /30. Ex: 192.168.10.1/30 - apenas 4 host, sendo que apenas dois serão usados (servidor - cliente).



  3. #3

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Use redes com /30. Ex: 192.168.10.1/30 - apenas 4 host, sendo que apenas dois serão usados (servidor - cliente).
    Amigo, eu já uso esta mascara, mas pra reforçar utilizo o bloqueio de clientes na rb, e ai tá minha dúvida, porque a opção forwarding não isola clientes que estão em outra interface.

    Grato

    Doriedson

  4. #4

    Padrão

    o problema É o pessoal ACHAR que a mascara /30 impede a comunicação intra-cliente. ela apenas isola os clientes, porem um cliente consegue acessar o outro normalmente ... acredito q um meio mais seguro seria pppoe ou tuneis pptp ... de qualquer outra forma fica inseguro....


    voltando ao assunto da thread, precisa criar para a regra wds sim, mas quando aparece esse "know" , é porque a interface wds pode ter sido desconectada tornando a regra invalida, algum tempo depois o wds volta.. mas a regra continua invalida..

    existe uma versao mais recente do mikrotik que resolve este problema.. aconselho usar a 3.17 e ver se resolve !!



  5. #5

    Padrão

    Olá amigo alexandre,
    Jamais citei que com mascara /30 seria resolvido o problema de comunicação entre os clientes.

  6. #6

    Padrão

    Citação Postado originalmente por doriedson Ver Post
    Caros colegas, fiz um filtro de de bridge para impedir que clientes de uma interface se comunique com os clintes de outra interface. Meu bloqueio ficou da seguinte forma:
    chain = forward in interface = wlan1 out interface = wlan2 action = drop repetindo com as interfaces invertidas.

    Ai me ocorreu uma dúvida, na wlan1 existe dinamicamente uma interface chamada wds1, será que preciso criar uma regra pra wds1 tambem?

    Cheguei até fazer, porém depois de um tempo onde a regra bloqueia a wds1 aparece a palavra know.

    Desde já agradecido

    Doriedson

    Amigo se vc estiver usando mais de uma interface num ap em bridge e quer bloquear q os clientes se enxerguem na rede a solução é essa:

    /interface bridge filter
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp \
    mac-protocol=ip

    Espero ter ajudado n meu funcionol q uma blz .............



  7. #7

  8. #8

    Padrão

    Citação Postado originalmente por Binhos5 Ver Post
    Amigo se vc estiver usando mais de uma interface num ap em bridge e quer bloquear q os clientes se enxerguem na rede a solução é essa:

    /interface bridge filter
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp \
    mac-protocol=ip

    Espero ter ajudado n meu funcionol q uma blz .............


    aproveitando a resposta do amigo, sugiro que bloqueie tudo de cliente pra cliente, ao invés soh de algumas portas

    para isso, observe que no firewall da bridge e possivel bloquear trafego entre as interfaces escolhendo interface de entrada "in interface" e interaface de saida "out interface" e aplicar um "drop", assim evitaria também trojans de acesso remoto; virús que atcam bugs de softwares ou do proprio S.O. etc.



  9. #9

    Padrão

    Citação Postado originalmente por doriedson Ver Post
    Caros colegas, fiz um filtro de de bridge para impedir que clientes de uma interface se comunique com os clintes de outra interface. Meu bloqueio ficou da seguinte forma:
    chain = forward in interface = wlan1 out interface = wlan2 action = drop repetindo com as interfaces invertidas.

    Ai me ocorreu uma dúvida, na wlan1 existe dinamicamente uma interface chamada wds1, será que preciso criar uma regra pra wds1 tambem?

    Cheguei até fazer, porém depois de um tempo onde a regra bloqueia a wds1 aparece a palavra know.

    Desde já agradecido

    Doriedson


    Amigo se vc estiver usando em bridge e nao quer q um cliente da antena 1 enxergue o cliente da antena 2 é so colocar esse script:

    /interface bridge filter
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp \
    mac-protocol=ip


    nao esquece de ir tbm em wireless na aba interfaces e depois vc da dois clics na interface q vc quer configurar e depois na aba wireless vc desativa a opção "Default Forward".

    Fazendo isso e certo q eles nao se enxerguem mais e nem troquem mais arquivos e a rede fica funcionando perfeitamente. Espero ter ajudado....................