Bloquer DHCP vindo de clientes no Rocket M5

[carlinhotocabrabo]

Olá para todos,
gostaria de saber se alguem usa alguma regra de firewall no rochet m5, nano ou bullet em modo AP para bloquear o dhcp vindo de clientes, estou tendo problema em um dos meus paineis por conta de algum conflito de ip na rede, meu cenario é mikrotik como server com hotspot e o rocket m5 em bridge, uso dhcp na rede ... o problema fica restrito a apenas este painel e os clientes conectados a ele pois uso um switch gerenciavel com vlan e isolamento de clientes habilitado no rocket ...

[freitascs]

Amigo tenho a mesma duvida que você sobre bloquear DHCP em equipamentos Ubiquiti pois tenho 2 Nanostation M5 como AP, bom já tenho bloqueio na minha RB493 rede 2.4Ghz agora quero bloquear o DHCP nessas Nanostation M5.

Outra questão você conseguiu isolar os clientes no Rocket M5 pode passar a dica isso me interessa muito pois tentei fazer esse tipo de isolamento dos cliente usando Mascara 255.255.255.255 mas o problema é que muitos clientes que tem AP depois da Nanostation Loco M5 não pegava o Gateway do DHCP só pegava IP e MASCARA e DNS eu até tinha até dado um jeito nisso mais depois descobrir que usuários com Windows 7 não isolava dai deixei a Mascara da rede normal mesmo.

[Roberto21]

Essa é uma das GRANDES desvantagens de usar essas ''bridges'' na borda, você não tem firewall de camada alguma, e isso pode matar a sua célula facilmente.

O povo só pensa em colocar Ubiquiti nas bordas e acha que resolve tudo...espera a rede crescer mais, vocês nem imaginam o trafego desnecessário que não é bloqueado devido a essa escolha, até a porta 135-139 passa nesses casos sem firewall, e muito mais detalhes que não vou mencionar.

Em uma situação específica sim, é válido, porém pendurar todos os clientes dessa forma..ts ts ts.

[naldo864]

usem o nanostation em modo roteador assim o dhcp do cliente não retorna

[leosmendes]

vou dar o caminho das pedras ai "voces" estudem de como fazer o resto. eu tenho pronto para bloquear tudo menos pppoe, como no seu caso voce mesmo usa dhcp vai ter de fazer esta regra para deixar passar isto.

primeiro passo, faça uma backup da configuração do rocket e edite ele com o notepad++, as regras terão de ser feitas nas ebtables (na bridge) note que a numeração muda de 3 para 50 insira as suas regras entre estas linhas sendo que para cada regra ha duas linhas uma é a regra e a outra ativa ela ou não.

adapte a regra para a configuração da ubiquiti, e poste o resultada aqui pois vou guardar..

um topico que fala do assunto para mk ai so adaptar

https://under-linux.org/f143/dica-bl...ientes-128930/


exemplo da minha regra, bloqueia tudo menos pppoe

ebtables.4.cmd=-P FORWARD DROP
ebtables.4.status=enabled
ebtables.5.cmd=-A FORWARD -p 0x8864 -j ACCEPT
ebtables.5.status=enabled
ebtables.6.cmd=-A FORWARD -p 0x8863 -j ACCEPT
ebtables.6.status=enabled

espero ter ajudado

ps. esqueci de falar que depois ira restaurar o arquivo modificado no rocket novamente...

[AndrioPJ]

Essa é uma das GRANDES desvantagens de usar essas ''bridges'' na borda, você não tem firewall de camada alguma, e isso pode matar a sua célula facilmente.

O povo só pensa em colocar Ubiquiti nas bordas e acha que resolve tudo...espera a rede crescer mais, vocês nem imaginam o trafego desnecessário que não é bloqueado devido a essa escolha, até a porta 135-139 passa nesses casos sem firewall, e muito mais detalhes que não vou mencionar.

Em uma situação específica sim, é válido, porém pendurar todos os clientes dessa forma..ts ts ts.

Para quem usa Mikrotik somente para servidor, ou seja, nao usa RB no Wireless...
Temos 2 formas de efetuar o bloqueio do DHCP.

1 - Colocar Radios em todos os clientes, em modo router, fazendo NAT.
2 - Usar Switches com VLAN e nos AP a isolacao de Cliente.

Se possivel, usem as 2 formas acimas citadas.
Nunca terao problemas com DHCP vindo do cliente, compartilhamento, sniffer, etc...

[Roberto21]

Olá, boa noite!

Mesmo com o rádio e o NAT ativado dá um torch na tua interface dos clientes, ou na ''bridge'' da Rb e veja a quantidade de conexões IPV6.

[unibraz]

Amigos, tenho um problema que achei interessante compartilhar, acho que esse probleminha se junta a esse.
Tenho uma rede 5.8 tudo com UBIQUITI algumas antenas instaladas são para predios ou seja; cascateia nos andares e outras instaladas direto no pc.
Atenção: ja descartando a possibilidade de configurar o radio discar por conta dos predios que existe varios clientes
O problema é que as vezes um cliente coloca um router wifi e o mesmo acaba repassando o DHCP para a rede toda.
Uso PPPoE amarrando IP+MAC+Login e senha.
Consegui achar o MAC que esta causando o conflito no Mikrotik em Tools + IP Scan colocando a Interface [CLIENTES] e o IP do Gateway [192.168.0.1] MAIS... esse MAC não esta na minha lista dos MAC cadastrados nos clientes.
Alguem saberia como amarrar no mk caso o cliente venha a colocar um router???
Estou tentando descartar um switchh gerenciavel na rede pois holvi dizer que existe como fazer pelo mikrotik

[wld.net1]

@Roberto21 sobre ipv6 /interface bridge filter
add action=drop chain=forward comment="Bloqueio PC's IPv6" disabled=no mac-protocol=ipv6


agora cara sobre ipv4 aqui está tenso na rede cabeada já tentei de diversas formas bloqueio com regras mas nada partir pra VLAN. Mesmo mais fácil e sem regras.

[freitascs]

Aqui resolvi esse problema colocando todos os clientes com a antena discando pppoe ou se for hotspot só colocar ela em modo route, tenho rede cabeada também e funciona da mesma forma e os switch são intelbras vlan.

[edsonjmello]

Aqui resolvi esse problema colocando todos os clientes com a antena discando pppoe ou se for hotspot só colocar ela em modo route, tenho rede cabeada também e funciona da mesma forma e os switch são intelbras vlan.

mas se vc tiver uma antena em modo bridge num predico om 30 apartamentos e cada apartamento um roteador wifi discando pppoe o que fazer ?