+ Responder ao Tópico



  1. #1

    Unhappy Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    Boa tarde galera. Beleza? Eu estou com um pequeno problema. Estou tentando filtar a rede, que fique passando somente os PPPoE, mas ao ativar estas opções no menu BRIDGE não consigo acessar as outras rbs que possuem ip estático.

    As regras estão assim:

    /interface bridge filter
    add action=accept chain=forward comment="LIBERA REDE RBS" disabled=no \
    dst-address=IP-DAS-RBS mac-protocol=ip
    add action=accept chain=forward comment="" disabled=no mac-protocol=\
    pppoe-discovery
    add action=accept chain=forward comment="" disabled=no mac-protocol=pppoe
    add action=drop chain=forward comment="" disabled=no

    Acontece que quando ativo a ultima regra tudo para de funcionar ficando somente a rede pppoe, assim fico sem acesso as outras RBs.

    Como eu poderia consertar isso? Agradeço a ajuda e desde já muito obrigado!

  2. #2

    Padrão Re: Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    Acessa essa rb q ta bloqueando pelo MAC, tem de estar no mesmo barramento para funcionar, ou pelo winbox ou mac telnet, ai vc vai pelo terminal e desabilita as regras, espero q te ajude.



  3. #3

    Unhappy Re: Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    Obrigado pela ajuda, mas o que eu estou pretendendo fazer é bloquear todo o tráfego indesejado (que não seja o PPPoE), mas liberar o acesso a outras RBs, pois as repetidoras estão em bridge.

  4. #4

    Padrão Re: Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    Citação Postado originalmente por sosouteiro Ver Post
    Obrigado pela ajuda, mas o que eu estou pretendendo fazer é bloquear todo o tráfego indesejado (que não seja o PPPoE), mas liberar o acesso a outras RBs, pois as repetidoras estão em bridge.
    Eu acho q não tem como não amigo, pois ja tentei dezenas de regras e dicas do pessoal, e nunca deu certo!!



  5. #5

    Padrão Re: Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    faz o seguinte, coloque as suas RBS de borda pra discarem pppoe como se fossem clientes tb mas sem habilitar nelas o "default route", assim elas aparecem pra vc como um cliente qualquer.

  6. #6

    Padrão Re: Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    Eu uso esse bloqueio na minha rede, mas com uma particularidade, as vezes é necessário liberar
    um IP especifico ou um range, mas vai de cada caso, e bloqueia inclusive o servidor DHCP.

    1º " AQUI VOCÊ ADICIONA O RANGE OU O IP ESPECIFICO QUE VC QUER QUE LIBERE
    SE NÃO QUIZER LIBERAR NENHUM BLOCO VÁ DIRETO AO 3º PASSO"
    /ip firewall address-list
    add address=192.168.3.0/24 comment="" disabled=no list=REDE_IP

    2º " AQUI VOCÊ MARCA OS PACOTES NA INTERFACE DA BRIDGE ONDE VOCÊ VAI FAZER O CONTROLE"
    /ip firewall mangle
    add action=mark-packet chain=prerouting comment="REDE IP NA - L2" disabled=no \
    in-bridge-port=WL-01-PMP-L2 new-packet-mark=REDE_IP_NA passthrough=yes \
    src-address-list=!REDE_IP
    3º "ADICIONA A FUNção use-ip-firewall=yes"
    /interface bridge settings
    set use-ip-firewall=yes use-ip-firewall-for-pppoe=no \
    use-ip-firewall-for-vlan=no

    /interface bridge
    add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
    comment="" disabled=no forward-delay=15s l2mtu=1526 max-message-age=20s \
    mtu=1500 name=bridge1 priority=0x8000 protocol-mode=none \
    transmit-hold-count=6
    /interface bridge filter
    add action=drop chain=input comment="UDP 1900" disabled=no dst-port=1900 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=1900 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=output comment="" disabled=no dst-port=1900 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="UDP 135-139" disabled=no dst-port=\
    135-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=output comment="" disabled=no dst-port=135-139 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="TCP 135-139" disabled=no dst-port=\
    135-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=output comment="" disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=input comment="UDP 135-139 !53" disabled=no dst-port=\
    !53 ip-protocol=udp mac-protocol=ip src-port=135-139
    add action=drop chain=forward comment="" disabled=no dst-port=!53 \
    ip-protocol=udp mac-protocol=ip src-port=135-139
    add action=drop chain=forward comment="BLOQUEIO REDE IP " disabled=no \
    mac-protocol=ip packet-mark=REDE_IP_NA
    add action=drop chain=output comment="" disabled=no dst-port=!53 ip-protocol=\
    udp mac-protocol=ip src-port=135-139
    add action=drop chain=output comment="" disabled=no dst-port=445 ip-protocol=\
    udp mac-protocol=ip
    add action=drop chain=input comment="UDP 445" disabled=no dst-port=445 \
    ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="BLOQUEIO DHCP" disabled=no dst-port=67 \
    ip-protocol=udp mac-protocol=ip src-port=68

    Esse bloqueio no caso, bloqueia apenas os clientes, a rede interna dentro da bridge funciona normamente, caso você precise monitorar um rádio de algum cliente importante, basta adicionar o ip dele em /ip firewall address-list
    Última edição por pabloferretti; 11-11-2010 às 23:23.



  7. #7

    Padrão Re: Filtrar tráfego PPPoE nas bridges não acessa mais outras RB-AP

    Obrigado pela ajuda de todos! Resolvi o problema.

    Fiz o seguinte:

    Configurei uma VLan em cada RB e deixei passar somente o tráfego das VLans com o ID que eu estou utilizando e o tráfego pppoe bloqueando todo o restante. Quando pretendo acessar outras RBs (as repetidoras) eu me utilizo de um redirecionamento (dst-nat) para o IP da VLan correspondente a RB que quero acessar.

    Nat no servidor:
    add action=dst-nat chain=dstnat comment="REDIRECIONA PARA RB" disabled=no \
    dst-address=IP-DO-SERVIDOR-PPPOE dst-port=45001 protocol=tcp to-addresses=\
    IP-DA-VLAN-DE-UMA-RB to-ports=PORTA-WINBOX
    add action=dst-nat chain=dstnat comment="REDIRECIONA PARA RB" disabled=no \
    dst-address=IP-DO-SERVIDOR-PPPOE dst-port=45002 protocol=tcp to-addresses=\
    IP-DA-VLAN-DE-UMA-RB to-ports=PORTA-WINBOX


    Configuração da bridge (nas repetidoras)
    /interface bridge filter
    add action=accept chain=forward comment="LIBERA VLAN RBS" disabled=no \
    mac-protocol=vlan vlan-id=ID-DA-VLAN-EM-USO
    add action=accept chain=forward comment="" disabled=no mac-protocol=\
    pppoe-discovery
    add action=accept chain=forward comment="" disabled=no mac-protocol=pppoe
    add action=drop chain=forward comment="" disabled=no


    Dessa meneira os clientes não se enxergam, não compartilham internet por dhcp... não fazem nada... só fazem algo se conectarem o pppoe.

    Fica a dica para o pessoal, espero que ajude a galera.

    Obrigado pela ajuda e fiquem com Deus!
    Última edição por sosouteiro; 12-11-2010 às 00:11. Razão: Melhor explicação