Re: Dúvida - bridge/filters
Eu tava vendo uns topicos e estudando uns itens sobre VLAN, como o mikrotik tem o pacote VLAN nele. nao seria melhor no servidor mikrotik, criar a VLAN, e no HUB q chega os clientes a CABO, criar a VLAN idependente um de cada um,.. assim o cliente nao se enxerga mais.
Outra forma q eu tava vendo é nas RBs q manda sinal Wireles... tentei criar nelas VLANs tbm, mas nao consegui pingar... entre as vlans, dela ate o servidor.
Re: Dúvida - bridge/filters
Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2
Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.
Outra é desmarcar o forward nas interfaces wireless de suas Rb's
Re: Dúvida - bridge/filters
Roverto21, entendi sua questao de bloqueio na bridge.... mas a questao q eu tinha comentando é q essas regras bloqueio o DHCP.. so q mesmo fazendo ela, desativando o Forward nas wireless.. o cliente num ponto A colocando ip, e outro no ponto B colocando mesma faixa d ip, eles se comunicam devido a bridge criada... entende, isso q eu quero tirar.
Re: Dúvida - bridge/filters
Compreendo sim, e minha rede é toda em bridge e ninguém se encherga de forma alguma, faça assim, adicione o bloqueio entre interfaces na camada2, e também faça uma contribuição na maquina do cliente, sempre que for fazer uma instalação desative o net-bios, ai você perguntaria...e se o cliente ativar...Certo se o cliente ativar volta, mas nem todos ativam, além disso você pode utilizar de ferramentas em sua rede como o simples ''angry ipscan'' para verificar quem está com a porta 135-139 aberta.
Outra é que existe a possibilidade de desativar o netbios no gerenciador de dispositivos do windows, onde fica mais difícil ele reativar, Já ví que como você não fez isso desde o início de sua rede vai ter uma trabalhinho pra fazer, mas no final valerá a pena, por que além de evitar isso, você diminui um trafego imenso em sua rede, e o pior, desnecessário.
Re: Dúvida - bridge/filters
Boa noite Roberto muito obrigado pela sua ajuda estou passando por esse problema, peço uma ajuda.
no meu caso eu tenho 3 cartao em uma RB e em outras 3 RB tenho somente 2 cartoes, nesse caso como farei as regras paraa cada interface e desculpa qualquer coisa eu sou novo em wireless.
Citação:
Postado originalmente por
Roberto21
Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:
/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2
Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.
Outra é desmarcar o forward nas interfaces wireless de suas Rb's