+ Responder ao Tópico



  1. Pessoal,

    tenho um hotspot que roda na rede 10.0.0.0/24. Meus ap´s tem o IP 10.0.0.2/3/4/5 .

    Ja tentei de tudo que é maneira, mas nao consigo bloquear o acesso ao ap´s, ou seja, quando alguem do hotspot ta na rede e coloca no navegador o IP de algum ap da rede, aparece ele normalmente (aquela tela de resumo e login).

    Como faco pra bloquear ? achei que dando drop na porta 80 do ip destino do AP iria bloquear isso, mas nao bloqueia!

    segue o export

    Código :
    /ip hotspot profile
    set [ find default=yes ] login-by=http-chap
    add hotspot-address=10.0.0.1 login-by=http-chap name=Profile-Alameda nas-port-type=ethernet use-radius=yes
    /ip hotspot
    add address-pool=Pool-GUEST addresses-per-mac=1 disabled=no idle-timeout=12h interface=vGUEST keepalive-timeout=1h name=\
        AlamedaHotspot profile=Profile-Alameda
    /ip hotspot user profile
    set [ find default=yes ] address-pool=Pool-GUEST idle-timeout=12h keepalive-timeout=1h name=AlamedaGRATUITO rate-limit=500K \
        shared-users=100
    add address-pool=Pool-GUEST idle-timeout=12h keepalive-timeout=1h name=AlamedaPAGO rate-limit=3M shared-users=2
    /ip hotspot user
    add disabled=yes name=alameda password=20alameda11 server=AlamedaHotspot
    add disabled=yes name=alameda2 password=20alameda11 profile=AlamedaPAGO server=AlamedaHotspot
    /ip hotspot walled-garden
    add dst-host=alameda.tur.br
    add dst-host=residencia-alameda.com.br
    add dst-host=googleapis.com
    add dst-host=microformats.org
    add dst-host=googlecode.com
    add dst-host=google-analytics.com
    [admin@MikroTik] > ip firewall export
    # jun/05/2013 14:57:07 by RouterOS 6.0rc14
    # software id = ZQK3-U7G0
    #
    /ip firewall address-list
    add address=192.168.10.0/24 list=RedesInternas
    add address=10.0.0.0/24 list=RedesInternas
    add address=10.0.0.2 list=HideFromHotspot
    add address=10.0.0.3 list=HideFromHotspot
    add address=10.0.0.4 list=HideFromHotspot
    add address=10.0.0.5 list=HideFromHotspot
    add address=192.168.1.1 list=HideFromHotspot
    add address=192.168.1.2 list=HideFromHotspot
    add address=192.168.10.2 list=HideFromHotspot
    add address=192.168.20.100 list=HideFromHotspot
    add address=192.168.20.101 list=HideFromHotspot
    add address=192.168.10.3 list=HideFromHotspot
    add address=192.168.10.4 list=HideFromHotspot
    add address=192.168.10.5 list=HideFromHotspot
    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
    add action=drop chain=input in-interface=eth1-Link1 protocol=icmp
    add action=drop chain=input dst-port=80,443,21,22,8291 in-interface=eth1-Link1 protocol=tcp
    add action=drop chain=forward dst-address-list=HideFromHotspot in-interface=vGUEST protocol=icmp
    add action=drop chain=forward dst-address-list=HideFromHotspot dst-port=80,443,21,22,8291 in-interface=vGUEST protocol=tcp
    /ip firewall nat
    add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
    add action=masquerade chain=srcnat comment="NAT SAIDA LINK1" out-interface=eth1-Link1
    add action=dst-nat chain=dstnat comment=DVR01 dst-port=37777 in-interface=eth1-Link1 protocol=tcp to-addresses=\
        192.168.20.101 to-ports=37777
    add action=dst-nat chain=dstnat comment=Proxy dst-address=!192.168.20.0/24 dst-port=80 protocol=tcp src-address-list=\
        RedesInternas to-addresses=192.168.20.100 to-ports=3128
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set sip disabled=yes

  2. Opa,
    Seu Aps estão em brigde e estão diretamente conectados no cliente.
    Então não adianta vc fazer regra no Mikrotik pq para acessar aos aps eles já fazem direto pelo wifi. o mikrotik não visualiza esse acesso.
    Vc tem de restringir nos aps os ips que podem ter acesso a pagina de configuração ou mudar a porta 80 para outra.
    Tem de ver as opções que têm no seus aps.



  3. Eu não entendi muito bem mas sei das premissas para isso acontecer:

    Se os clientes estiverem na mesma rede (10.0.0.0/24); se estes clientes estiverem na mesma bridge ou AP com default forward habilitado; os clientes receberem a mascara /24; então eles irão se comunicar sem problemas entre eles, incluindo a porta 80, não importando o firewall(layer3) .

    No caso de ser a mesma bridge mas cartões diferentes; deve ser colocado os devidos filtros para estes clientes não se comunicarem nesta bridge.

    Você pode colocar no dhcp ou manualmente a mascara /32 para minimizar os inter-acessos.






Tópicos Similares

  1. Respostas: 2
    Último Post: 15-03-2012, 13:24
  2. Respostas: 11
    Último Post: 10-10-2011, 12:29
  3. Porta 80 do AP
    Por wbrunos no fórum Redes
    Respostas: 2
    Último Post: 06-03-2008, 21:49
  4. onde fica arquivo de log da porta 80 do iptables
    Por tuxson no fórum Servidores de Rede
    Respostas: 1
    Último Post: 28-01-2006, 10:14
  5. como liberar acesso a porta 80 do firewall??
    Por dB no fórum Servidores de Rede
    Respostas: 18
    Último Post: 24-11-2004, 00:08

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L