Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

[sosouteiro]

Boa tarde galera. Beleza? Eu estou com um pequeno problema. Estou tentando filtar a rede, que fique passando somente os PPPoE, mas ao ativar estas opções no menu BRIDGE não consigo acessar as outras rbs que possuem ip estático.

As regras estão assim:

/interface bridge filter
add action=accept chain=forward comment="LIBERA REDE RBS" disabled=no \
dst-address=IP-DAS-RBS mac-protocol=ip
add action=accept chain=forward comment="" disabled=no mac-protocol=\
pppoe-discovery
add action=accept chain=forward comment="" disabled=no mac-protocol=pppoe
add action=drop chain=forward comment="" disabled=no

Acontece que quando ativo a ultima regra tudo para de funcionar ficando somente a rede pppoe, assim fico sem acesso as outras RBs.

Como eu poderia consertar isso? Agradeço a ajuda e desde já muito obrigado!

[netxtreme]

Acessa essa rb q ta bloqueando pelo MAC, tem de estar no mesmo barramento para funcionar, ou pelo winbox ou mac telnet, ai vc vai pelo terminal e desabilita as regras, espero q te ajude.

[sosouteiro]

Obrigado pela ajuda, mas o que eu estou pretendendo fazer é bloquear todo o tráfego indesejado (que não seja o PPPoE), mas liberar o acesso a outras RBs, pois as repetidoras estão em bridge.

[rogeriodj]

Obrigado pela ajuda, mas o que eu estou pretendendo fazer é bloquear todo o tráfego indesejado (que não seja o PPPoE), mas liberar o acesso a outras RBs, pois as repetidoras estão em bridge.

Eu acho q não tem como não amigo, pois ja tentei dezenas de regras e dicas do pessoal, e nunca deu certo!!

[int21]

faz o seguinte, coloque as suas RBS de borda pra discarem pppoe como se fossem clientes tb mas sem habilitar nelas o "default route", assim elas aparecem pra vc como um cliente qualquer.

[pabloferretti]

Eu uso esse bloqueio na minha rede, mas com uma particularidade, as vezes é necessário liberar
um IP especifico ou um range, mas vai de cada caso, e bloqueia inclusive o servidor DHCP.

1º " AQUI VOCÊ ADICIONA O RANGE OU O IP ESPECIFICO QUE VC QUER QUE LIBERE
SE NÃO QUIZER LIBERAR NENHUM BLOCO VÁ DIRETO AO 3º PASSO"
/ip firewall address-list
add address=192.168.3.0/24 comment="" disabled=no list=REDE_IP

2º " AQUI VOCÊ MARCA OS PACOTES NA INTERFACE DA BRIDGE ONDE VOCÊ VAI FAZER O CONTROLE"
/ip firewall mangle
add action=mark-packet chain=prerouting comment="REDE IP NA - L2" disabled=no \
in-bridge-port=WL-01-PMP-L2 new-packet-mark=REDE_IP_NA passthrough=yes \
src-address-list=!REDE_IP
3º "ADICIONA A FUNção use-ip-firewall=yes"
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=no \
use-ip-firewall-for-vlan=no

/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
comment="" disabled=no forward-delay=15s l2mtu=1526 max-message-age=20s \
mtu=1500 name=bridge1 priority=0x8000 protocol-mode=none \
transmit-hold-count=6
/interface bridge filter
add action=drop chain=input comment="UDP 1900" disabled=no dst-port=1900 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=1900 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=output comment="" disabled=no dst-port=1900 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="UDP 135-139" disabled=no dst-port=\
135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=output comment="" disabled=no dst-port=135-139 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="TCP 135-139" disabled=no dst-port=\
135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=output comment="" disabled=no dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="UDP 135-139 !53" disabled=no dst-port=\
!53 ip-protocol=udp mac-protocol=ip src-port=135-139
add action=drop chain=forward comment="" disabled=no dst-port=!53 \
ip-protocol=udp mac-protocol=ip src-port=135-139
add action=drop chain=forward comment="BLOQUEIO REDE IP " disabled=no \
mac-protocol=ip packet-mark=REDE_IP_NA
add action=drop chain=output comment="" disabled=no dst-port=!53 ip-protocol=\
udp mac-protocol=ip src-port=135-139
add action=drop chain=output comment="" disabled=no dst-port=445 ip-protocol=\
udp mac-protocol=ip
add action=drop chain=input comment="UDP 445" disabled=no dst-port=445 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO DHCP" disabled=no dst-port=67 \
ip-protocol=udp mac-protocol=ip src-port=68

Esse bloqueio no caso, bloqueia apenas os clientes, a rede interna dentro da bridge funciona normamente, caso você precise monitorar um rádio de algum cliente importante, basta adicionar o ip dele em /ip firewall address-list

[sosouteiro]

Obrigado pela ajuda de todos! Resolvi o problema.

Fiz o seguinte:

Configurei uma VLan em cada RB e deixei passar somente o tráfego das VLans com o ID que eu estou utilizando e o tráfego pppoe bloqueando todo o restante. Quando pretendo acessar outras RBs (as repetidoras) eu me utilizo de um redirecionamento (dst-nat) para o IP da VLan correspondente a RB que quero acessar.

Nat no servidor:
add action=dst-nat chain=dstnat comment="REDIRECIONA PARA RB" disabled=no \
dst-address=IP-DO-SERVIDOR-PPPOE dst-port=45001 protocol=tcp to-addresses=\
IP-DA-VLAN-DE-UMA-RB to-ports=PORTA-WINBOX
add action=dst-nat chain=dstnat comment="REDIRECIONA PARA RB" disabled=no \
dst-address=IP-DO-SERVIDOR-PPPOE dst-port=45002 protocol=tcp to-addresses=\
IP-DA-VLAN-DE-UMA-RB to-ports=PORTA-WINBOX


Configuração da bridge (nas repetidoras)
/interface bridge filter
add action=accept chain=forward comment="LIBERA VLAN RBS" disabled=no \
mac-protocol=vlan vlan-id=ID-DA-VLAN-EM-USO
add action=accept chain=forward comment="" disabled=no mac-protocol=\
pppoe-discovery
add action=accept chain=forward comment="" disabled=no mac-protocol=pppoe
add action=drop chain=forward comment="" disabled=no


Dessa meneira os clientes não se enxergam, não compartilham internet por dhcp... não fazem nada... só fazem algo se conectarem o pppoe.

Fica a dica para o pessoal, espero que ajude a galera.

Obrigado pela ajuda e fiquem com Deus!