Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. Interessante utilizando esse drop ele vai bloquear todo o tráfego entre as ether
    Última edição por wld.net1; 13-05-2015 às 12:14.

  2. Citação Postado originalmente por inquiery Ver Post
    @Rakim, acho que a maneira mais facil, é criar filtros na sua bridge para dropar trafego da ether1 para ether2, e da ether2 para ether1.


    Olha as screens que vc vai entender (considere que nas minhas screens a interface ether11 é a sua ether1, a ether12 é a sua ether2, e a ether10 é a sua ether5).

    Anexo 58996Anexo 58997Anexo 58998Anexo 58999Anexo 59000Anexo 59001Anexo 59002




    Dessa forma, como você ja tem "AP Isolation" configurado nos seus radios, o trafego de clientes ligados em uma ether tentando ir para clientes da outra ether vai ser dropado. Inclusive não vai passar nenhum broadcast, vai ficar totalmente isoladas. A bridge vai existir entre a ether1, a ether2 e a ether5 porém a ether1 e a ether2 não vão poder se comunicar.
    Cara! Funcionou em termos.
    Realmente agora as APs não se enxergam mais. Os clientes estão funcionando de boa redirecionados pra ether5 e o trafego está passando normalmente.
    Mas... Como disse, pra esses clientes estou usando Hotspot e o que acontece, cada um pega um ip do server e talz...
    Então um cliente ainda consegue acessar o outro por esses ips que estão sendo atribuídos pelo server.
    Vou continuar monitorando pra ver como resolver isso.
    Mas já é meio caminho andado.



  3. Pessoal, acabei de criar esse topico. Assuntos não relacionados.

    https://under-linux.org/showthread.p...326#post752326

    Quem se interessar tem meus dados abaixo do tópico.

  4. @Rakim, se os clientes continuam se enxergando pelo IP, então é porque eles estão se enxergando roteadamente pelo routerboard. Isso você resolve com filtros no firewall.

    Faz o seguinte, abre um prompt e digita lá:

    Código :
    tracert -d IP_DE_OUTRO_CLIENTE

    Se no trace aparecer o IP do hotspot (que no seu caso deve estar ligado na ether5, não é?) antes de chegar no destino, você vai ter que configurar no hotspot para dropar trafego entre os IPs das redes conhecidas, algo do tipo:

    Código :
    /ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address=X.X.X.X/X action=drop

    Onde X.X.X.X/X é a rede de seus clientes. Se você tem mais de uma rede de clientes (mais de 1 pool), você pode adicionar todos os pools numa address list e mudar a regra para usar essa address list como destino e dropar o trafego interno para ela.

    Código :
    /ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address-list=Addr_Clientes action=drop

    Dessa forma, o forward só vai funcionar se a interface de entrada for a do seu link, qualquer trafego de qualquer outra interface que o endereço de IP destino seja um endereço de qualquer cliente seu (que vai estar na address list "Addr_Clientes") vai ser dropado, e nenhum cliente tera forward para qualquer outro cliente. Nem mesmo você vai poder, a principio, acessar qualquer endereço da sua rede, a não ser que crie regras para liberar algum trafego em específico antes do drop.



  5. Citação Postado originalmente por inquiery Ver Post
    @Rakim, se os clientes continuam se enxergando pelo IP, então é porque eles estão se enxergando roteadamente pelo routerboard. Isso você resolve com filtros no firewall.

    Faz o seguinte, abre um prompt e digita lá:

    Código :
    tracert -d IP_DE_OUTRO_CLIENTE

    Se no trace aparecer o IP do hotspot (que no seu caso deve estar ligado na ether5, não é?) antes de chegar no destino, você vai ter que configurar no hotspot para dropar trafego entre os IPs das redes conhecidas, algo do tipo:

    Código :
    /ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address=X.X.X.X/X action=drop

    Onde X.X.X.X/X é a rede de seus clientes. Se você tem mais de uma rede de clientes (mais de 1 pool), você pode adicionar todos os pools numa address list e mudar a regra para usar essa address list como destino e dropar o trafego interno para ela.

    Código :
    /ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address-list=Addr_Clientes action=drop

    Dessa forma, o forward só vai funcionar se a interface de entrada for a do seu link, qualquer trafego de qualquer outra interface que o endereço de IP destino seja um endereço de qualquer cliente seu (que vai estar na address list "Addr_Clientes") vai ser dropado, e nenhum cliente tera forward para qualquer outro cliente. Nem mesmo você vai poder, a principio, acessar qualquer endereço da sua rede, a não ser que crie regras para liberar algum trafego em específico antes do drop.
    Foi exatamente como você disse camarada!
    realmente é o server quem redireciona para os clientes!
    Por agora não posso testar por estar longe da base e se fizer alguma besteira paro a rede toda, mas analisando a regra que tu postou deve funcionar perfeitamente!
    Amanhã de manhã testo e te mando os resultados!
    Obrigado pela ajuda!






Tópicos Similares

  1. Liberar todas as portas para cliente dedicado
    Por tiagopks no fórum Redes
    Respostas: 1
    Último Post: 22-07-2010, 12:53
  2. regra para bloquear todas as portas
    Por roggy no fórum Servidores de Rede
    Respostas: 1
    Último Post: 24-05-2004, 11:41
  3. IPTABLES - DROP para todas as chains
    Por Legolas no fórum Servidores de Rede
    Respostas: 6
    Último Post: 04-12-2003, 12:05
  4. Redirecionar todas as portas para o Squid com Iptables
    Por rdsat no fórum Servidores de Rede
    Respostas: 5
    Último Post: 28-11-2003, 15:39
  5. Liberando todas as portas no firewall pra um ip
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-08-2003, 09:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L