Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão

    Citação Postado originalmente por rrinfor Ver Post
    Olá!

    Bom!! Existe uma série de detalhes que precisamos tratar:

    1° Amarrar MAC/IP
    em /ip arp, cadastre seus clientes como no exemplo abaixo, se ja estiver aparecendo na tabela apenas torne-os estatico abrindo a janela referente ao mesmo e click em static no menu lateral da janela

    /ip arp
    add address=10.45.1.2 comment="Fulana de tal - 128/128" disabled=no interface=wlan1 mac-address=00:00:00:00:00:00

    Após o procedimento acima, vc terá que mudar o parâmetro da tabela ARP de todas as interfaces de clientes ex: wlan1 para reply-only como no exemplo abaixo:

    /interface wireless set wlan1 arp=reply-only

    Dessa forma a interface apenas receberá arp-request dos clientes com MAC/IP cadastrados no campo /ip arp, assim já teremos um mínimo de segurança.


    2° cadastro no access-list
    vamos cadastrar quem poderá efetivamente conectar no sinal, mantendo assim um minimo de controle no barraento wireless "ar" (camada 2):

    /interface wireless access-list
    add ap-tx-limit=0 authentication=yes client-tx-limit=0 comment="Fulano de tal - 128/128" disabled=no forwarding=no interface=all mac-address=00:00:00:00:00:00 private-algo=none private-key="" \
    private-pre-shared-key="" signal-range=-120..120

    Após o procedimento acima, vc terá que desmarcar o checkbox Default Authentication e Default Forward nas interfaces de clientes como no exemplo abaixo;

    /interface wireless set wlan1 default-forwarding=no
    /interface wireless set wlan1 default-authentication=no

    Configurando como está acima, o cliente só conecta se estiver cadastrado.

    PS: A opção default-forwarding=no nas interfaces de cliente, vai desabilitar a travessia entre os usuários da rede na interface, para evitar problemas onde um usuário pode ver o outro.

    3° Firewall
    Bom! aqui é algo mais preciso e delicado, um bom firewall define a qualidade e segurança do seu serviço, vou apenas colocar um exemplo aqui de como vc pode bloquear no mesmo:

    /ip firewall filter
    add action=drop chain=forward comment="" disabled=no src-address=10.45.1.2

    Estando com essa configurações setadas, vc poderá desabilitar o cliente no campo /ip arp (onde a própria interface wlan vai descartar o mesmo), no access-list (para o cliente não conectar no sinal) e no firewall para desencargo de conciencia :-), use todas!

    PS: Se alguem clonar seu MAC, ele (clonador) vai conectar no sinal, porém será descartado pela interface por nao estar com MAC/IP na tabela ARP, ou seja, em /ip arp.
    Se for clonado MAC/IP ele entrará na sua rede lógica, porém é barrado no firewall.


    Abraços e estamos ae
    Bom, como o meu MK tá em uso como faria pra modar a configuração pra éssa? uso hotspot+dhcp 3 profiles criados? estou pençando em muda pq naum estou conseguimdo controle de banda e pelo q ve assim tem mais segurança, fazendo dessa forma vou ter q colocar ips nos cleites? e chave?
    Qual seria a melho maneira pra fazer isso, excluir ou desabilitar o hotspot? ou poderia fazer a configuração pra depois desabilitar o hotspot ou daria um conflito???
    Muito Obrigado.
    Última edição por wsdanado; 16-04-2009 às 23:31.

  2. #22

    Padrão

    Citação Postado originalmente por wsdanado Ver Post
    Bom, como o meu MK tá em uso como faria pra modar a configuração pra éssa? uso hotspot+dhcp 3 plofiles criados? estou pençando em muda pq naum estou conseguimdo controle de banda e pelo q ve assim tem mais segurança, fazendo dessa forma vou ter q colocar ips nos cleites? e chave?
    Qual seria a melho maneira pra fazer isso, excluir ou desabilitar o hotspot? ou poderia fazer a configuração pra depois desabilitar o hotspot ou daria um conflito???
    Muito Obrigado.
    Tentar fazer uma coisa por cima de outra vai te gerar muita dor de cabeça, e hotspot conflita de diversas formas com o esquema passado no post anterior.

    Crie um planejamento para as mudanças, e faça testes antes de aplicar alguma coisa na sua rede em produção, vc terá que setar ips no usuário, quanto a chave citado acima (entendi como criptografia) após a implantação de todo o esquema, podemos planejar a implantação de criptografia ai sim vc vai está extremamente seguro.

    Abraços

  3. #23

    Padrão

    RRINFOR blz prestei a tenção no topico e fiquei com uma duvida.
    a primeira regra q vc mandou new terminal, após isso vá em queue > simple serve para o controle de banda certo?
    e essa outra maior 1° Amarrar MAC/IP
    serve só para bloquear alguns usuários? ou é uma configuração melhor e mais segura q o hotspot? ou naum tem nada a ver e eu estou complicando mais!!!
    a unica coisa q eu estou AGORA achando ruim é naum controlar a banda pois eu limitei um dos profelis em 50k/100k pra teste e vejo em hotspot active tx rate 230kbps e em rx rate 62kbps pq ? quanto a segurança naum coloquei chave criptografia , naum sei si o hotspot precissa... Muito grato a todos.
    Última edição por wsdanado; 16-04-2009 às 23:40.

  4. #24

    Padrão

    Tá todo mundo ocupado !!!!!!!!! nas horas q mais precisamos blz!!!!