+ Responder ao Tópico



  1. #1

    Padrão Nano Station - Netbios

    Boa noite pessoal. Estou com um nano station 2 comfigurado como PONTO DE ACESSO modo de rede PONTE e estou tendo problemas com troca de arquivos entre usuários mesmo com a opção ATIVAR ISOLAÇÃO DO CLIENTE ativada.
    Estava tentando bloquear o protocolo NETBIOS (portas 137:138:139:445 tcp e udp) só que quando bloqueio a porta 139 não consigo navetar e nem acessar o nano mesmo usando telnet ou ssh. Só resetando e ele está num local de dificil acesso.
    Pesquisei no site da ubiquiti e achei isso:

    netbios-ns 137/tcp # NETBIOS Name Service
    netbios-ns 137/udp
    netbios-dgm 138/tcp # NETBIOS Datagram Service
    netbios-dgm 138/udp
    netbios-ssn 139/tcp # NETBIOS session service
    netbios-ssn 139/udp

    Be should that you used 0.0.0.0/0 for rules that applies to any IP.
    Also the rules for bridge mode should be kind of these:

    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto tcp --ip-sport 137:139 -j DROP
    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto tcp --ip-dport 137:139 -j DROP
    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto tcp --ip-sport 445 -j DROP
    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto tcp --ip-dport 445 -j DROP

    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto udp --ip-sport 137:139 -j DROP
    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto udp --ip-dport 137:139 -j DROP
    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto udp --ip-sport 445 -j DROP
    ebtables -A FORWARD -p IPv4 --ip-src 0.0.0.0/0 --ip-dst 0.0.0.0/0 --ip-proto udp --ip-dport 445 -j DROP

    You can do the same thing through Web UI as well. Go to Network tab Enable Firewall: Configure...
    _________________
    Ubiquiti Networks, Inc.
    System programmer


    Não foje muito a minha linha de raciocínio, se alguém conseguiu ou tem alguma sujestão eu agradeço.

  2. #2

  3. #3

    Padrão

    Habilite o SSH da Nanostation e comande diretamente as regras de firewall na linha de comando.

  4. #4

    Padrão

    Citação Postado originalmente por rubensk Ver Post
    Habilite o SSH da Nanostation e comande diretamente as regras de firewall na linha de comando.
    Dá pra fazer com o ssh do mikrotik? Eu nunca fiz tem como dar uma dica? obrigado

  5. #5

    Padrão

    Citação Postado originalmente por izaufernandes Ver Post
    Dá pra fazer com o ssh do mikrotik? Eu nunca fiz tem como dar uma dica? obrigado
    Use o cliente SSH de uma máquina Linux, por exemplo... se só tiver Windows, instale o PuTTY e faça SSH com ele.

  6. #6

    Padrão

    a troca de arquivos nao esta ocorrendo nao interface wireless e sim da interface ethernet para wireless

    o Isolation Clientes é para apenas interface Wireless para Wireless e nao tem funcao quando um cliente faz o forward de Wireless para ethernet, isso vale para todos os equipamentos wireless com a funcao isolation

    referente ao ebtables nao sei se o mesmo tem suporte a este firewall de bridge, mas vc tem q descubrir qual a interface para aplicar no ebtables se tiver funcionando isso.

    ebtables -A FORWARD -i INTERFACE_ETHERNET_OU_BRIDGE -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETHERNET_OU_BRIDGE -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP

  7. #7

    Padrão

    Citação Postado originalmente por Pirigoso Ver Post
    a troca de arquivos nao esta ocorrendo nao interface wireless e sim da interface ethernet para wireless

    o Isolation Clientes é para apenas interface Wireless para Wireless e nao tem funcao quando um cliente faz o forward de Wireless para ethernet, isso vale para todos os equipamentos wireless com a funcao isolation

    referente ao ebtables nao sei se o mesmo tem suporte a este firewall de bridge, mas vc tem q descubrir qual a interface para aplicar no ebtables se tiver funcionando isso.

    ebtables -A FORWARD -i INTERFACE_ETHERNET_OU_BRIDGE -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETHERNET_OU_BRIDGE -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP
    Os clientes estão trocando arquivos entre si pelo compartilhamento de pastas do windows, a nano tá com user isolation marcada más não tá adiantando, coloquei as regras de firewall tanto para porta lan quanto para wlan, tcp\udp 137:139 e 445. Acho que em modo bridge o firewall dele não funciona não, nem sei porque tem a opção de ativar firewall em modo bridge. Tinha um d-link a muito tempo em modo bridge e ele bloqueava.

  8. #8

    Padrão

    Citação Postado originalmente por izaufernandes Ver Post
    Os clientes estão trocando arquivos entre si pelo compartilhamento de pastas do windows, a nano tá com user isolation marcada más não tá adiantando, coloquei as regras de firewall tanto para porta lan quanto para wlan, tcp\udp 137:139 e 445. Acho que em modo bridge o firewall dele não funciona não, nem sei porque tem a opção de ativar firewall em modo bridge. Tinha um d-link a muito tempo em modo bridge e ele bloqueava.
    Em modo bridge usar linha de comando ao invés da interface web funcionou para mim... não cheguei a testar porque os comandos que eu queria não eram mesmo suportados. O legal do AirOS é justamente que você pode "abrir o capô" e mexer.

  9. #9

    Padrão

    Tentei de várias formas usando o ssh do mikrotik e sempre dá erro.

    tentativas:
    ebtables -A FORWARD -i INTERFACE_BRIDGE -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_BRIDGE -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETHERNET -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETHERNET -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP

    erro: (as vezes dá êsse e as vezes referente ao nome da interface)
    XS2.ar2316.v3.4.4390.090521.1757# ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -
    d 0/0 -p all --dport 445 -j DROP
    Problem with specified source mac.
    XS2.ar2316.v3.4.4390.090521.1757#
    XS2.ar2316.v3.4.4390.090521.1757# ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -
    d 0/0 -p all --dport 135:139 -j DROP
    Problem with specified source mac.
    XS2.ar2316.v3.4.4390.090521.1757#

  10. #10

    Padrão

    Citação Postado originalmente por izaufernandes Ver Post
    Tentei de várias formas usando o ssh do mikrotik e sempre dá erro.

    tentativas:
    ebtables -A FORWARD -i INTERFACE_BRIDGE -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_BRIDGE -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETHERNET -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETHERNET -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -d 0/0 -p all --dport 445 -j DROP
    ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -d 0/0 -p all --dport 135:139 -j DROP

    erro: (as vezes dá êsse e as vezes referente ao nome da interface)
    XS2.ar2316.v3.4.4390.090521.1757# ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -
    d 0/0 -p all --dport 445 -j DROP
    Problem with specified source mac.
    XS2.ar2316.v3.4.4390.090521.1757#
    XS2.ar2316.v3.4.4390.090521.1757# ebtables -A FORWARD -i INTERFACE_ETH0 -s 0/0 -
    d 0/0 -p all --dport 135:139 -j DROP
    Problem with specified source mac.
    XS2.ar2316.v3.4.4390.090521.1757#
    Onde se lê INTERFACE_ETH0, INTERFACE_ETHERNET, BRIDGE, você precisa colocar as denominações corretas das interfaces: eth0, ath0, br0. Os nomes acima eram para referência apenas.

  11. #11

    Padrão

    Alguem ja testou e funcion isso?

  12. #12

    Padrão

    Citação Postado originalmente por netleandromt Ver Post
    Alguem ja testou e funcion isso?
    Já, as Nanostation remotas aqui por padrão recebem um script com regras de ebtables.

  13. #13

    Padrão

    Não tem como postar o script pra gente? Até agora não tive sucesso, já postei o problema até no fórum da ubiquiti.