Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico

  1. É normal considerando as regras que enviei, pois elas trabalham no chain forward. Um pacote que vai para a RB (ping pra RB, em qualquer IP dela, de qualquer interface) nunca vai chegar no chain forward, justamente pq o pacote não sairá para qualquer outra interface.

    Para bloquear os pings para os IPs da RB que não sejam da mesma subrede do computador que ta pingando, precisará de mais regras. O problema é que tem que ser cuidado no caso de não querer interferir em redes que não deve, como por exemplo, a rede da internet. Se você bloquear qualquer input para a RB que não seja o gateway daquela rede, vai bloquear tb input para o IP da porta do link, o que não prejudica em sí o acesso a internet, mas enibe a identificação daquele endereço de rede pelo cliente. Por exemplo, digamos que sua RB na porta de internet tenha o IP 200.10.10.10, e que você tenha um dominio, www.meudominio.com.br que aponta para esse IP e vc tem regras na RB para direcionar para um servidor Web ou FTP, e vc vai uma regra assim:

    Código:
    /ip firewall filter add chain=input src-address=10.50.0.0/20 dst-address-type=local dst-address=!10.50.1.1 action=drop
    Essa regra bloquearia o acesso dos clientes na rede 10.50.0.0/20 a qualquer IP da RB que não seja o 10.50.1.1, no caso até mesmo o 200.10.10.10, e então se esse cliente digitasse no navegador www.meudominio.com.br, não abriria, porém de fora da sua rede, pela internet, esse endereço seria acessível. Acredito que fazendo no sentido: se o destino for o gateway X, e a origem nao for a rede de X, e a porta de entrada for a ether2 (clientes), descarta.

    Código:
    /ip firewall filter add chain=input src-address=!10.50.0.0/20 dst-address=10.50.1.1 in-interface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!192.168.100.0/24 dst-address=192.168.100.1 in-interface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!192.168.200.0/24 dst-address=192.168.200.1 in-terface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!172.18.0.0/24 dst-address=172.18.0.1 in-interface=ether2 action=drop
    /ip firewall filter add chain=input src-address=!172.16.0.0/24 dst-address=172.16.0.1 in-interface=ether2 action=drop

  2. Não foi criada nenhuma sub-rede, o que foi feito foram redes distintas.
    Aqui esta uma noção do que seria uma rede dividida em 8 sub-redes com 32 ips cada, totalizando 255 hosts, todas elas separadas uma das outras.
    Sub-rede 01:
    200.100.100.0 -> 200.100.100.31
    Sub-rede 02: 200.100.100.32 -> 200.100.100.63
    Sub-rede 03: 200.100.100.64 -> 200.100.100.95
    Sub-rede 04: 200.100.100.96 -> 200.100.100.127
    Sub-rede 05: 200.100.100.128 -> 200.100.100.159
    Sub-rede 06: 200.100.100.160 -> 200.100.100.191
    Sub-rede 07: 200.100.100.192 -> 200.100.100.223
    Sub-rede 08: 200.100.100.224 -> 200.100.100.255



  3. Pow galera.. valeu pelo help ai. Tudo postado aqui resolveu meu problema. Só não tive tempo de testar antes e postar.


    Valeu a todos!






Visite: BR-Linux ·  VivaOLinux ·  Dicas-L