Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Eu uso esse bloqueio na minha rede, mas com uma particularidade, as vezes é necessário liberar
    um IP especifico ou um range, mas vai de cada caso, e bloqueia inclusive o servidor DHCP.

    1º " AQUI VOCÊ ADICIONA O RANGE OU O IP ESPECIFICO QUE VC QUER QUE LIBERE
    SE NÃO QUIZER LIBERAR NENHUM BLOCO VÁ DIRETO AO 3º PASSO"
    /ip firewall address-list
    add address=192.168.3.0/24 comment="" disabled=no list=REDE_IP

    2º " AQUI VOCÊ MARCA OS PACOTES NA INTERFACE DA BRIDGE ONDE VOCÊ VAI FAZER O CONTROLE"
    /ip firewall mangle
    add action=mark-packet chain=prerouting comment="REDE IP NA - L2" disabled=no \
    in-bridge-port=WL-01-PMP-L2 new-packet-mark=REDE_IP_NA passthrough=yes \
    src-address-list=!REDE_IP
    3º "ADICIONA A FUNção use-ip-firewall=yes"
    /interface bridge settings
    set use-ip-firewall=yes use-ip-firewall-for-pppoe=no \
    use-ip-firewall-for-vlan=no

    /interface bridge
    add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
    comment="" disabled=no forward-delay=15s l2mtu=1526 max-message-age=20s \
    mtu=1500 name=bridge1 priority=0x8000 protocol-mode=none \
    transmit-hold-count=6
    /interface bridge filter
    add action=drop chain=input comment="UDP 1900" disabled=no dst-port=1900 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=1900 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=output comment="" disabled=no dst-port=1900 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="UDP 135-139" disabled=no dst-port=\
    135-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=output comment="" disabled=no dst-port=135-139 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="TCP 135-139" disabled=no dst-port=\
    135-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=output comment="" disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=input comment="UDP 135-139 !53" disabled=no dst-port=\
    !53 ip-protocol=udp mac-protocol=ip src-port=135-139
    add action=drop chain=forward comment="" disabled=no dst-port=!53 \
    ip-protocol=udp mac-protocol=ip src-port=135-139
    add action=drop chain=forward comment="BLOQUEIO REDE IP " disabled=no \
    mac-protocol=ip packet-mark=REDE_IP_NA
    add action=drop chain=output comment="" disabled=no dst-port=!53 ip-protocol=\
    udp mac-protocol=ip src-port=135-139
    add action=drop chain=output comment="" disabled=no dst-port=445 ip-protocol=\
    udp mac-protocol=ip
    add action=drop chain=input comment="UDP 445" disabled=no dst-port=445 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="BLOQUEIO DHCP" disabled=no dst-port=67 \
    ip-protocol=udp mac-protocol=ip src-port=68

    Esse bloqueio no caso, bloqueia apenas os clientes, a rede interna dentro da bridge funciona normamente, caso você precise monitorar um rádio de algum cliente importante, basta adicionar o ip dele em /ip firewall address-list
    Última edição por pabloferretti; 11-11-2010 às 22:23.

  2. Obrigado pela ajuda de todos! Resolvi o problema.

    Fiz o seguinte:

    Configurei uma VLan em cada RB e deixei passar somente o tráfego das VLans com o ID que eu estou utilizando e o tráfego pppoe bloqueando todo o restante. Quando pretendo acessar outras RBs (as repetidoras) eu me utilizo de um redirecionamento (dst-nat) para o IP da VLan correspondente a RB que quero acessar.

    Nat no servidor:
    add action=dst-nat chain=dstnat comment="REDIRECIONA PARA RB" disabled=no \
    dst-address=IP-DO-SERVIDOR-PPPOE dst-port=45001 protocol=tcp to-addresses=\
    IP-DA-VLAN-DE-UMA-RB to-ports=PORTA-WINBOX
    add action=dst-nat chain=dstnat comment="REDIRECIONA PARA RB" disabled=no \
    dst-address=IP-DO-SERVIDOR-PPPOE dst-port=45002 protocol=tcp to-addresses=\
    IP-DA-VLAN-DE-UMA-RB to-ports=PORTA-WINBOX


    Configuração da bridge (nas repetidoras)
    /interface bridge filter
    add action=accept chain=forward comment="LIBERA VLAN RBS" disabled=no \
    mac-protocol=vlan vlan-id=ID-DA-VLAN-EM-USO
    add action=accept chain=forward comment="" disabled=no mac-protocol=\
    pppoe-discovery
    add action=accept chain=forward comment="" disabled=no mac-protocol=pppoe
    add action=drop chain=forward comment="" disabled=no


    Dessa meneira os clientes não se enxergam, não compartilham internet por dhcp... não fazem nada... só fazem algo se conectarem o pppoe.

    Fica a dica para o pessoal, espero que ajude a galera.

    Obrigado pela ajuda e fiquem com Deus!
    Última edição por sosouteiro; 11-11-2010 às 23:11. Razão: Melhor explicação






Tópicos Similares

  1. PPPoe em Bridge não funciona
    Por jmater no fórum Redes
    Respostas: 1
    Último Post: 30-06-2015, 08:35
  2. "discando" PPPOE na CCR - não consigo
    Por Zucchi no fórum Redes
    Respostas: 4
    Último Post: 27-09-2014, 12:14
  3. Respostas: 5
    Último Post: 13-02-2013, 12:13
  4. Respostas: 17
    Último Post: 09-01-2013, 11:54
  5. bridge nao fica mais de 10h associada
    Por EDUipiranga no fórum Redes
    Respostas: 2
    Último Post: 08-01-2009, 07:51

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L