amigo, essas regras voce pode aplicar apenas nas portas da bridge que fazem comunicação com os clientes. não precisa ser na rede inteira;
-
03-08-2009, 11:12 #21
- Ingresso
- Feb 2007
- Posts
- 612
-
03-08-2009, 13:34 #22
- Ingresso
- Jan 2009
- Posts
- 339
Como eu devo proceder, primeiro a regra do winbox, depois do pppoe e bloqueio ? A minha maior dúvida é quais chains usar e a do bloqueio.
Postado originalmente por thenet
Obrigado
-
03-08-2009, 14:19 #23
- Ingresso
- Feb 2007
- Posts
- 612
/interface bridge filter
chain=input in-interface=sua_interface_real src-address=ip_liberado action=accept
chain=input in-interface=sua_interface mac-protocol=0x8863 action=accept
chain=input in-interface=sua_interface mac-protocol=0x8864 action=accept
chain=input in-interface=sua_interface action=drop
na ordem, essas regras fazem o seguinte. a primeira libera algum ip/range para ter total acesso a tudo pela interface que voce escolheu.
a segunda libera algum dos 2 protocolos de pppoe e a terceira a mesma coisa (mas o outro protocolo).
a ultima regra, bloqueia tudo. e como as de liberação estão acima, ela só bloqueará tudo que não for correspondente à essas 3 primeiras regras.
A interfaceque voces escolheu, seria a de contato direto do cliente. Imagina a seguinte situação:
voce tem 3 interfaces em um mikrotik e todas estão na bridge:
LINK, CLIENTES1, LINK_REP2
voce vai colocar essas regras apenas para a interface CLIENTES1.
-
04-08-2009, 10:44 #24
- Ingresso
- Jan 2009
- Posts
- 339
thenet, obrigado pela ajuda, mas quando a chain fica em input ela não contabiliza nada, ai coloquei em forward e funcionou, fiz da seguinte maneira: 1ª regra - liberar conexão entre os mks e o nat (uso cliente ntp, eles precisam sair para internet para acertar seus relógios). 2ª e 3ª regra - liberar pppoe discovery e session. 4ª regra descartar o restante com protocolo ip, se eu não especificar que é ip mesmo com a regra de liberar a rede do mk acima ele não deixa eu acessar os aps na rede, pois uma destas bridges é onde sai link para duas repetidoras, agora nas repetidoras somente as regras 2 a 4 nas interfaces dos clientes.
bridge principal:
Código :/interface bridge filter add action=accept chain=forward comment="Permitir Mikrotik" disabled=no \ dst-address=192.168.70.0/24 in-bridge=bridge1 mac-protocol=ip out-bridge=\ bridge1 src-address=0.0.0.0/0 add action=accept chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \ in-bridge=bridge1 mac-protocol=ip out-bridge=bridge1 src-address=\ 192.168.70.0/24 add action=accept chain=forward comment="Permitir PPPoE Discovery" disabled=\ no in-interface=wlan1 mac-protocol=pppoe-discovery add action=accept chain=forward comment="Permitir PPPoE Session" disabled=no \ in-interface=wlan1 mac-protocol=pppoe add action=drop chain=forward comment="Descarta o resto" disabled=no \ in-interface=wlan1 mac-protocol=ip
Mas vou refinar estas regras ainda de acordo com a minnha necessidade, depois eu posto o resultado.
Agora, eu fiquei perplexo com a quantidade de pacotes descartados fora das regras... meu Deus, a rede ficou beeeem melhor. Agora quanto a regra de bloqueio somente bloquear proto. IP, será que existe algo de nocivo para a rede em outros protocolos ?
Obrigado !!!
-
21-10-2009, 17:52 #25
- Ingresso
- Jul 2009
- Posts
- 30
galera, essas regras só servem pra pppoe?
pois na minha rede uso pppoe e DHCP static
alguem pode me passar alguma coisa?
obrigado
-
21-10-2009, 18:19 #26
- Ingresso
- Jan 2009
- Posts
- 653
Postado originalmente por gustavo_marcon
Mas tbm é possivel criar um WDS Sem Criar uma Bridge ou estou equivocado ..
-
22-10-2009, 09:22 #27
- Ingresso
- Feb 2007
- Posts
- 612
agpnet..
realmente, as regras tem que ser em forward. uso elas aqui assim. é que tinha colado de quem me passou e tava com input não sei o porque.
quanto a outros protocoloes, teria que procurar, mas creio que apenas o IP ja alivia e muito.
vou implementar aqui regras para ip's, fazendo bloqueios de ip's para cada mac (pra ninguem clonar ip). vamos ver o que da e eu posto aqui.
Citação