Bloquear clientes entre paineis diferentes mesma torre

[raumaster]

Olá!

Já andei pesquisando e testando alguns filtros bridge, mas todos ou me deram problema ou não funcionam como eu queria.

Estou com a opção default foward desativada nas antenas, sendo que cada uma está ligada num switch, que no caso é uma rb750g com todas as portas em bridge, nesse switch esta ligado um PTP que interliga com a central onde ta uma CCR1009.

Meus clientes estão todos com suas CPE's em modo Router recebendo IP automaticamente de uma RB CCR 1009 que concentra os clientes só que conectado em qualquer um dos paineis, eu consigo pingar o cliente de outro painel e acessar via Winbox inclusive.

Tentei alguns filtros bridge, de bloqueio total entre in interface e out interface, não resolve e ainda não sei pq motivo, um dos paineis perde acesso à internet ou não consigo acessar um dos paineis quando estou atras da CCR1009.

Resumindo, queria bloqueio total da comunicação, inclusive ping entre os IPs das antenas dos clientes sem que eu perca acesso aos radios dos paineis e ao switch no POP q ta recebendo tanto os paineis como o PTP.

Obrigado!

[berghetti]

VLAN entre a rb750G e a CCR não serve?

[raumaster]

Eu queria manter os clientes dos paineis tudo na mesma faixa de IP e mesma subrede, nao tem como só usando filtros na bridge?

[berghetti]

tentou fazer assim?
considerando que a porta que entra o link seja a porta 1

Código :

/interface bridge filter
add action=accept chain=forward disabled=no in-interface=ether1 \
    out-interface=ether2
add action=accept chain=forward disabled=no in-interface=ether2 \
    out-interface=ether1
add action=accept chain=forward disabled=no in-interface=ether1 \
    out-interface=ether3
add action=accept chain=forward disabled=no in-interface=ether3 \
    out-interface=ether1
add action=accept chain=forward disabled=no in-interface=ether1 \
    out-interface=ether4
add action=accept chain=forward disabled=no in-interface=ether4 \
    out-interface=ether1
add action=accept chain=forward disabled=no in-interface=ether1 \
    out-interface=ether5
add action=accept chain=forward disabled=no in-interface=ether5 \
    out-interface=ether1
add action=drop chain=forward disabled=no

não sei se está certo ou funciona, to sem nada aqui pra testar

[raumaster]

Assim que der vou testar, ja tinha visto em outro topico, eu fiz isso só que só entre os painéis, in interface=painel 1 e out-interface=painel2 e perco acesso remoto de um dos paineis e um deles tb nao navega na net.

No Switch que recebe os paineis na torre, tambem rececerá um link que passara via VLAN ate meu load balance, recebe além disso o PTP entre a central e o POP e uma das ethers está sendo usada pra ligar um switch volt gerenciável.

EDITADO: To vendo aqui, essas aí sáo diferentes, action ta como accept...eu usei drop entre painel 1 e 2.. e painel 2 e 1.

EDITADO2: Eu acho que isso não funciona, a action accept não vai bloquear nada e se eu uso drop, tenho problemas de acesso.

Tentei isso aqiu:https://under-linux.org/showthread.php?t=174298 e dá problema tb, apesar de o autor do topico dizer q ta funcionando no cenario dele q é semelhante ao meu que seria, bloquear a comunicacao entre as ethers 2,3,4,5, mas nao da 1 com elas e nem delas com a 1.

[telmetrics]

@raumaster!

Tente habilitar a opção "Enable Client Isolation" no seu AP caso ele seja Ubiquiti.

Veja imagem abaixo

https://under-linux.org/attachment.p...7&d=1347551671

Att

Rafael Themístocles
[Consultor em Redes e Telecomunicações/NGN Network Project Engineer]
http://www.telmetrics.com.br
E-mail: [email protected]
[email protected]
Skype: rafaelthemistocles
Whatsapp: (11)9-5962-2128

Olá!

Já andei pesquisando e testando alguns filtros bridge, mas todos ou me deram problema ou não funcionam como eu queria.

Estou com a opção default foward desativada nas antenas, sendo que cada uma está ligada num switch, que no caso é uma rb750g com todas as portas em bridge, nesse switch esta ligado um PTP que interliga com a central onde ta uma CCR1009.

Meus clientes estão todos com suas CPE's em modo Router recebendo IP automaticamente de uma RB CCR 1009 que concentra os clientes só que conectado em qualquer um dos paineis, eu consigo pingar o cliente de outro painel e acessar via Winbox inclusive.

Tentei alguns filtros bridge, de bloqueio total entre in interface e out interface, não resolve e ainda não sei pq motivo, um dos paineis perde acesso à internet ou não consigo acessar um dos paineis quando estou atras da CCR1009.

Resumindo, queria bloqueio total da comunicação, inclusive ping entre os IPs das antenas dos clientes sem que eu perca acesso aos radios dos paineis e ao switch no POP q ta recebendo tanto os paineis como o PTP.

Obrigado!

[bfwcache]

1º Enable Client Isolation
2º por mac
ou definir a antena do cliente etc a varias formas

[raumaster]

Oi pessoal!

Vcs não tão entendendo. Já estou com essas opções em uso, default forward desativado no caso uso radios Mikrotik. O que acontece é que entre os clientes da mesma antena essa opção é valida, igual ao Client Isolation da Ubiquiti, mas se eu tenho um switch embaixo, os clientes de interfaces diferentes podem se enxergar, entre os do mesmo radio não, mas entre os de interfaces diferentes, ethernets, do switch, podem! Mas to notando o seguinte, meus clientes tão todos com suas antenas roteadas (WISP CLIENT) e vi que não tem havido comunicação entre eles, entre seus dispositivos, mas entre as antenas há acesso, o IP da WAN deles, que no caso são suas Wireless. Conectado em um painel, consigo pingar o IP de outra antena em interface diferente no switch ou seja, no outro Painel, mas se eu pingar cliente do mesmo painel e conectado nele, já não consigo. Queria bloquear isso!

Usei esses filtros bridge:

chain = forward in interface = wlan1 out interface = wlan2 action = drop e daí refaço as regras com as interfaces de forma oposta, pra bloquear o tráfego wlan1 pra wlan 2 e da wlan2 pra wlan1 mas aí acontece uma coisa que não descobri o motivo ainda:

Se ativo essa regra, perco acesso apenas ao painel WLAN1 e mesmo que eu inverta as ordem as interfaces nas regras, só não consigo acessar WLAN1 nem ela consegue acesso à internet! A WLAN 2 vai normal com a regra, invertida, desinvetida... só com um ou as duas ativadas...

[raumaster]

Ninguém sabe? Repetindo

Se crio um filtro na minha bridge, pra bloquear a comunicação entre rádios na mesma bridge, um dos rádios, sempre o da mesma interface, perde acesso completo por exemplo: O filtro consiste em action= drop, chain=foward e in interface = wlan1 out interface = wlan2 ou então se eu quiser bloquear comunicação entre tudo, mas apenas deixa livre pra comunica com a interface que recebe o link, a mesma coisa, mas em in e out interface = !link

Blz, deveria funcionar, mas umas das interfaces que ta ligada no switch e um dos radios, perde acesso. A única coisa que descobri de diferente aqui entre os dois rádios e duas interfaces é que dentro da bridge de um dos rádios, a ether1 dele está como "root port" e a wlan1 como designared port, ja no outro radio as duas tão como designated port, acho que quem define isso é o switch embaixo por desligando a ether1 da antena, removendo ela da bridge dentro do radio e colocando denovo, fica todas como designated port.

Lendo aqui, parece que isso quem faz é o protocolo Spanning tree...

Não sei se é isso que ta causando esse comportamento. Tenho essa regra na minha RB server, pra uma bridge entre duas interfaces WLAN onde tem um Rocket e na outra interface uma Omnitik e funciona sem problema!

[deson00]

Ola, primeiramente nada vai funcionar se vc tiver passando por um switch as antenas AP, e nada vai funcionar se os clientes nao estiver em pppoe, para resolver este problema pode ser feito de varias formas, a mais facil e melhor seria vc criar uma vlan do seu servidor concentrador mikrotik ate o transmissor sendo ubiquit ou mikrotik, colocar todos os clientes em pppoe e no menu ip firewall filter rules vc cria uma regra da seguinte forma, chain vc coloca dst-nat em src adress vc coloca a faixa de ip dos seus clientes e em dst adress vc repete a faixa dos clientes e em action vc escolhe drop, isso vai fazer os clientes nao se comunicar e as vlan vai fazer os painel nao se enxergar, lembrando de ativar a isolação tanto no mikrotik quanto ubiquit.

[raumaster]

Eu preferiria por enquanto trabalhar com filtros na bridge.

Não to tendo problema porque meus clientes são todos com CPEs em modo ROUTER e NAT, não uso PPPOE, uso apenas MACxIP. Estou com outro topico aberto ilustrando melhor o problema que ta acontecendo...

Ah, estou sim com isolamento ativado em todas antenas já, o que queria era isolar toda bridge, deixando passagem só pro PTP do link que chega no POP. Já utilizei um filtro na bridge pra isso e também testei só pros paineis, mas tá dando a zica que ja expliquei e ta melhor ilustrado com imagem em outro topico.