-
Dúvida - bridge/filters
Boa tarde amigos,
MInha rede é composta por 1 Servidor/PC Mikrotik central (autenticação PPPoE e Hotspot, controle de banda, regras de NAT, Firewall, etc) e mais 4 MK nas pontas, como distribuição wireless, configurados unicamente como APBRIDGE. Para interligar essas pontas de distribuição com o Mikrotik central, faço enlaces em 5.8Ghz também usando Mikrotik.
Minha rede está funcionando perfeitamente, mas queria fazer alguns ajustes finos nela.
Uma das coisas que gostaria de fazer e ainda não consegui, e por isso peço ajuda, é resolver o seguinte problema:
- da forma como descrevi a minha rede, se o cliente setar um IP qualquer na sua placa de rede e outro cliente, em outra ponta da rede (tem que ser em outra ponta pq já deixo desabilitado o Default Forward dos cartões) também colocar um IP na mesma classe, eles conseguem se comunicar. Isso porque os enlaces, antes de atingirem a placa de rede do meu servidor MK, passam todos por um switch. Então, tentei inserir nos filtros das bridges de cada um desses Mk de distribuição, dois tipos de regra: uma dava ACCEPT a todo o tráfego que vinha ou ia para o endereço MAC da placa do Servidor MK e em todo o tráfego PPPoE. A outra regra dava DROP no restante do tráfego. O problema é que os clientes que usam hotspot foram dropados também... isso é, a regra não entendeu a requisição enviada pelo cliente com destino para a placa do Servidor MK.
Não sei se ficou confuso a explicação, mas se alguém quiser dar uma ajuda, eu vou explicando melhor..rs
Antes de tentar essa solução com regras no MK, havia comprado um Switch gerenciável da 3Com. É um modelo já fora de linha 4226T, mas o preço estava acessível. Porém, não tenho muito experiência com Switchs Gerenciáveis também, mas pelo que entendi de tudo que li é que eu teria que criar Vlans para separar o tráfego... porém não posso adicionar uma mesma porta em duas vlans.. então.. se meu raciocínio não estiver errado, no meu caso o switch gerenciável não foi a solução... rs...
Obrigado a todos desde já!
Abraços
-
Re: Dúvida - bridge/filters
e ai DR blz
seu switch é uma otima pedida
basta configurar para que todas as portas tenha acesso a porta 1 e a 1 acesso a todas as portas e o resto não tenha comunicacao
-
Re: Dúvida - bridge/filters
bom o que vc pode fazer é
usar um !ip_do hot
para que ele nao bloqueie a sv tb
o switch gerenciavel é uma boa se ele aceitar um controle como sitei acima
agora se não coloca 4 placa de redes no sv rs
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Benatto
e ai DR blz
seu switch é uma otima pedida
basta configurar para que todas as portas tenha acesso a porta 1 e a 1 acesso a todas as portas e o resto não tenha comunicacao
Opa Bruno!
Valeu pela ajuda!
Mas só completando, essa configuração do switch seria através da criação de vlans mesmo?
-
Re: Dúvida - bridge/filters
não esta conf no switch vc faz nele mesmo ele tem como vc bloquear exatamente o que vc quer
vc libera a porta 1 para ter acesso a outras as outras ter acesso a porta 1 porem as outras nao tem acesso a outras
-
Re: Dúvida - bridge/filters
melhor trocar seu switch por uma bridge.
-
Re: Dúvida - bridge/filters
geek mais ai ele vai ficar na mesma a intensao é de ambas as ether dos mk não ter comunicacao entre si
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Benatto
geek mais ai ele vai ficar na mesma a intensao é de ambas as ether dos mk não ter comunicacao entre si
entao como eu disse da pra ter uma boa segurança usando bridge, olha essa simples regra.
Código :
/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop
A regra diz que tudo q nao vem do router e nao vai para o router é kill :evil: .
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
entao como eu disse da pra ter uma boa segurança usando bridge, olha essa simples regra.
Código :
/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop
A regra diz que tudo q nao vem do router e nao vai para o router é kill :evil: .
Valeu pela ajuda Geek, mas acho que não vai resolver essa regra, porque, por exemplo, se um cliente de um ponto A tentar se comunicar com um cliente de um ponto B, os pacotes vão ter in e out pela mesma eth da RB que o cliente A está... e aí não dá drop!
-
Re: Dúvida - bridge/filters
Anexo 13896pelo contrario meu amigo é um drop legitimo de camada 2, veja o anexo do Mestre Maya.
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
Anexo 13896pelo contrario meu amigo é um drop legitimo de camada 2, veja o anexo do Mestre Maya.
EXCELENTE material amigo! Valeu mesmo!
Seguinte, fiz a regra usando o endereço MAC da placa local do meu server. Dei Accept apenas no que vai e vem para esse MAC. Porém, precisou habilitar a função External FDS = yes, conforme o material fornecido.
Nos testes de Laboratório funcionou normal. Amanhã vou colocar em produção para ver se tudo transcorre perfeitamente e depois posto o resultado. Muito obrigado amigos!
Grande abraço!
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
Código :
/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop
Boa Geek, so uma questao no meu caso aki, o q eu fiz, montei um Forward dando DROP nas portas 135-139 upd/tcp e na faixa de ip 10.0.0.0/8 e 192.168.0.0/16, q sao padroes de muita gente... ativei na Bridge das RBs.... sendo assim, essa regra sua ai... eu pondo da RB, nao bloquearia o cliente A e B, sendo eles setando na maquinas deles, ips fixo... certo?? pq usaria a interface por ex. numa RB com 3 WANs, eles tivessem na WAN1 e setassem o ip, se comunicariam correto??
-
Re: Dúvida - bridge/filters
Quem não usa DHCP na rede, pode dar um drop também nas portas utilizadas pelo DHCP na camada2, 67-68 as portas corretas seriam 135-139, e também 445 tcp/udp, essas ultimas sim, bloqueiam um trafego (desnecessário) enorme.
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
aka2005
Boa Geek, so uma questao no meu caso aki, o q eu fiz, montei um Forward dando DROP nas portas 135-139 upd/tcp e na faixa de ip 10.0.0.0/8 e 192.168.0.0/16, q sao padroes de muita gente... ativei na Bridge das RBs.... sendo assim, essa regra sua ai... eu pondo da RB, nao bloquearia o cliente A e B, sendo eles setando na maquinas deles, ips fixo... certo?? pq usaria a interface por ex. numa RB com 3 WANs, eles tivessem na WAN1 e setassem o ip, se comunicariam correto??
Não entendi muito bem sua duvida, mas vou tentar responder que, todo tráfego na bridge com essas portas filtradas seria anulado, mas os clientes conseguiriam se comunicar um com outro com ips setados manualmente sim...
Citação:
Postado originalmente por
Roberto21
Quem não usa DHCP na rede, pode dar um drop também nas portas utilizadas pelo DHCP na camada2, 67-68 as portas corretas seriam 135-139, e também 445 tcp/udp, essas ultimas sim, bloqueiam um trafego (desnecessário) enorme.
correto isso gerra um tráfego enorme mesmo (Windows é o cão nisso).
-
Re: Dúvida - bridge/filters
Bom eu uso ap bridge nas rb`s e no servidor(Mk) uso mascara 30,ou seja os clientes recebem mascara 255.255.255.252, mesmo assim o pessoal com windows 7 tao se enxergando na rede.
Fui em outro topico,https://under-linux.org/f225/cliente...81/index5.html, e lá tem com resolvido,apliquei as regras que estao lá e os clientes nao receberam por dhcp o ip do servidor, foi bloqueado as portas dhcp. Vendo o post do Roberto21 vi o porque do bloqueio do meu dhcp.
A pergunta: que drop devo usar para os clientes com w7 nao se enxergarem na rede ja que uso dhcp??
abs
-
Re: Dúvida - bridge/filters
Eu tava vendo uns topicos e estudando uns itens sobre VLAN, como o mikrotik tem o pacote VLAN nele. nao seria melhor no servidor mikrotik, criar a VLAN, e no HUB q chega os clientes a CABO, criar a VLAN idependente um de cada um,.. assim o cliente nao se enxerga mais.
Outra forma q eu tava vendo é nas RBs q manda sinal Wireles... tentei criar nelas VLANs tbm, mas nao consegui pingar... entre as vlans, dela ate o servidor.
-
Re: Dúvida - bridge/filters
Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2
Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.
Outra é desmarcar o forward nas interfaces wireless de suas Rb's
-
Re: Dúvida - bridge/filters
Roverto21, entendi sua questao de bloqueio na bridge.... mas a questao q eu tinha comentando é q essas regras bloqueio o DHCP.. so q mesmo fazendo ela, desativando o Forward nas wireless.. o cliente num ponto A colocando ip, e outro no ponto B colocando mesma faixa d ip, eles se comunicam devido a bridge criada... entende, isso q eu quero tirar.
-
Re: Dúvida - bridge/filters
Compreendo sim, e minha rede é toda em bridge e ninguém se encherga de forma alguma, faça assim, adicione o bloqueio entre interfaces na camada2, e também faça uma contribuição na maquina do cliente, sempre que for fazer uma instalação desative o net-bios, ai você perguntaria...e se o cliente ativar...Certo se o cliente ativar volta, mas nem todos ativam, além disso você pode utilizar de ferramentas em sua rede como o simples ''angry ipscan'' para verificar quem está com a porta 135-139 aberta.
Outra é que existe a possibilidade de desativar o netbios no gerenciador de dispositivos do windows, onde fica mais difícil ele reativar, Já ví que como você não fez isso desde o início de sua rede vai ter uma trabalhinho pra fazer, mas no final valerá a pena, por que além de evitar isso, você diminui um trafego imenso em sua rede, e o pior, desnecessário.
-
Re: Dúvida - bridge/filters
Boa noite Roberto muito obrigado pela sua ajuda estou passando por esse problema, peço uma ajuda.
no meu caso eu tenho 3 cartao em uma RB e em outras 3 RB tenho somente 2 cartoes, nesse caso como farei as regras paraa cada interface e desculpa qualquer coisa eu sou novo em wireless.
Citação:
Postado originalmente por
Roberto21
Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2
Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.
Outra é desmarcar o forward nas interfaces wireless de suas Rb's
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
jwjunior
Boa noite Roberto muito obrigado pela sua ajuda estou passando por esse problema, peço uma ajuda.
no meu caso eu tenho 3 cartao em uma RB e em outras 3 RB tenho somente 2 cartoes, nesse caso como farei as regras paraa cada interface e desculpa qualquer coisa eu sou novo em wireless.
Essas regras ai sao pra BRIDGE... meu amigo, ela abrange todas interfaces vc implantando elas... e a cada placa Wireles, de sua RB, vc so desativa a opçao FORWARD, dentro de cada uma... o restante vai ta bloqueado geral pela bridge...
-
Re: Dúvida - bridge/filters
Opa muito obrigadoeu consegui aqui, agora como eu faço para ver se as regras estao funcionando e qual ip ta com prolemas?
Citação:
Postado originalmente por
aka2005
Essas regras ai sao pra BRIDGE... meu amigo, ela abrange todas interfaces vc implantando elas... e a cada placa Wireles, de sua RB, vc so desativa a opçao FORWARD, dentro de cada uma... o restante vai ta bloqueado geral pela bridge...
-
Re: Dúvida - bridge/filters
Se vc tiver trafico no protocolo NetBio... vai aparece em STATICS.. nas regras dentro de>interface bridge filters...
Nao entendi a questao de IP ???
-
Re: Dúvida - bridge/filters
Boa noite, feliz ano novo.
Nao sei se fiz as regras direito no inicio tava blza mais de 02 dias pra ca os clientes pararao de receber dhcp automatico dando conexao nula ou limitada ja tava para ficar doido sem saber oq fazer ate meu notebook parau de receber ip so funfava se foce de ip fixo ai fui nas regras da bridge e desativer e voltou a funfar o dhcp automatico. Oque pode ser?
Citação:
Postado originalmente por
aka2005
Se vc tiver trafico no protocolo NetBio... vai aparece em STATICS.. nas regras dentro de>interface bridge filters...
Nao entendi a questao de IP ???
-
Re: Dúvida - bridge/filters
Posta as configuções das suas bridges, pode ter algo errado.
-
Re: Dúvida - bridge/filters
Vc usa autenticaçao no cliente, por hotspost,, entao tem q ver se nao bloqueou o DHCP amigo...
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
Posta as configuções das suas bridges, pode ter algo errado.
Opa obrigado.
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
a ultima regra quando abilitada nao deixa passar meu dhcp as outras estao blza.
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
aka2005
Vc usa autenticaçao no cliente, por hotspost,, entao tem q ver se nao bloqueou o DHCP amigo...
Opa eu uso via hotspot e notei uma coisa so quando essa regra esta ailitada que bloqueia o dhcp do hotspot.
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
-
Re: Dúvida - bridge/filters
Diz para regra que a porta de saida do seu hotspot ele isenta exemplo:
add action=drop chain=forward comment="" disabled=no dst-port=67-68 in-interface=!ether1 ip-protocol=udp mac-protocol=ip
-
Re: Dúvida - bridge/filters
A dica do Geek é boa, faça isso amigo, sobre bloquear DHCP, mais uma opniao, vc pode bloquear as faixas padores de DHCP, tipo: 10.1.1.0/24 192.168.0.0/16 ok amigo. bloquerar todo trafico entre esses ips.
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
Geeek
Diz para regra que a porta de saida do seu hotspot ele isenta exemplo:
add action=drop chain=forward comment="" disabled=no dst-port=67-68 in-interface=!ether1 ip-protocol=udp mac-protocol=ip
Citação:
Postado originalmente por
aka2005
A dica do Geek é boa, faça isso amigo, sobre bloquear DHCP, mais uma opniao, vc pode bloquear as faixas padores de DHCP, tipo: 10.1.1.0/24 192.168.0.0/16 ok amigo. bloquerar todo trafico entre esses ips.
Opa Obrigado oas dois que estao me ajudando, confere se esta correto oque eu fiz eu fiz as regras do Greeg mais tive que adicionar o ip do meu hotspot em Src. Address, ai removi o ip do leases e abilitei a regra e repassou o ip pro computador de teste. eu fiz correto ou posso fazer mais alguma coisa?
-
Re: Dúvida - bridge/filters
Isso ta correto amigo, vc ta bloqueado o dhcp geral, mas deixando somente passar a faixa q vc utliza ai.. em SRC-ADRESS. isso mesmo...
Voce pode fazer de varias forma, bloquear tudo e dexa so sua faixa, bloquear as interfaces, deixando somente a sua de clientes... ha varias formas, mas essa ai se ta funcionando dexa assim amigo.
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
aka2005
Isso ta correto amigo, vc ta bloqueado o dhcp geral, mas deixando somente passar a faixa q vc utliza ai.. em SRC-ADRESS. isso mesmo...
Voce pode fazer de varias forma, bloquear tudo e dexa so sua faixa, bloquear as interfaces, deixando somente a sua de clientes... ha varias formas, mas essa ai se ta funcionando dexa assim amigo.
Obrigado, me da so uma ajuda como eu faço para exportar as configurações para vc dar uma olhada so para ter certesa que fiz tudo certo rsrsrsrsrsrsr
-
Re: Dúvida - bridge/filters
vai na opçao FILES> e clica no botao Backup, vai gera um arquivo de backu, de todo seu load... ou senao pelo new terminal... digite: ip firewall export file="nome q vc qer" vai gerar um arquivo somente do firewal seu, dentro de FILES.. ai se me passa ele,, ou copia e cola ai no under.
-
Re: Dúvida - bridge/filters
Citação:
Postado originalmente por
aka2005
A dica do Geek é boa, faça isso amigo, sobre bloquear DHCP, mais uma opniao, vc pode bloquear as faixas padores de DHCP, tipo: 10.1.1.0/24 192.168.0.0/16 ok amigo. bloquerar todo trafico entre esses ips.
Ultima forma faz deste modo aqui:
Código :
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
in-interface=!ether1 ip-protocol=udp mac-protocol=ip out-interface=\
!ether1
Por que da outra forma ele parou de me dar o dhcp pela ether1, pois o dhcp-server escutava mas o dhcp-server não conseguia falar pela ether1.
-
Re: Dúvida - bridge/filters
Opa, obrigado oas dois novamente.
Preciso aprender mais sobre farewall e regras onde eu posso aprender, porque minha cidade brasilia nao temos nada de cursos wireless.
Citação:
Postado originalmente por
aka2005
vai na opçao FILES> e clica no botao Backup, vai gera um arquivo de backu, de todo seu load... ou senao pelo new terminal... digite: ip firewall export file="nome q vc qer" vai gerar um arquivo somente do firewal seu, dentro de FILES.. ai se me passa ele,, ou copia e cola ai no under.
Citação:
Postado originalmente por
Geeek
Ultima forma faz deste modo aqui:
Código :
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
in-interface=!ether1 ip-protocol=udp mac-protocol=ip out-interface=\
!ether1
Por que da outra forma ele parou de me dar o dhcp pela ether1, pois o dhcp-server escutava mas o dhcp-server não conseguia falar pela ether1.
-
Re: Dúvida - bridge/filters
-
Re: Dúvida - bridge/filters
mais ai é longe demais e da para aprender mesmo sendo raapido em um final de semana?
Citação:
Postado originalmente por
Geeek
-
Re: Dúvida - bridge/filters
Colega, se pode procurar tudo aki mesmo no forum... alem da pratica tbm... mas em questao de papelada, é bom um curso na mao...