Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!
edmarmega tenho sim licença scm propria, paguei os miseros 9000,00 pra anatel rsrsrsr arrf, e usar mascara 32 da problema mesmo to penssando em usar o switch que o amigo mascaraapj falow apesar que ja liguei em todos os nanos a opção client isolation e ainda sim todos se enchergan , to penssano tb em fazer um pc como switch com mk os e fazer as regras de ip filter na bridge pra ver se funfa, alguem ja tentou e funcional sera?
Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!
se vc usar rb em suas torres pode fazer EoIP Tunnel ou MPLS, isolando os clientes em microregiões, evitando loop na rede toda e dhcp indesejado na rede toda, alem de poder aplicar os filtros de bridge.
Att,
Renato Costa.
Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!
Meu filtro de bridge uso assim:
/interface bridge filter
add action=accept chain=input comment="Aceitar Acesso por IP" disabled=no \
dst-port=8291 ip-protocol=udp mac-protocol=ip
add action=accept chain=input comment="Aceitar Acesso por MAC" disabled=no \
dst-port=20561 ip-protocol=udp mac-protocol=ip
add action=accept chain=input comment="Aceita Descoberta de Vizinhanca" \
disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Boqueia Pacotes entre Interfaces" \
disabled=no in-interface=!rede out-interface=!rede
add action=drop chain=input comment="Spanning Tree" disabled=yes \
dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
comment="Descartando ARP esp\FArios " disabled=no mac-protocol=arp
add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
in-interface=wlan2 ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward disabled=no in-interface=wlan2 ip-protocol=udp \
mac-protocol=ip src-port=67
add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
in-interface=wlan1 ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward disabled=no in-interface=wlan1 ip-protocol=udp \
mac-protocol=ip src-port=67
add action=log chain=input comment="Block DHCP servers on 192.168.0.0/16" \
disabled=no dst-address=255.255.255.255/32 ip-protocol=udp log-prefix=\
"ALERT ROGUE DHCP (BLOCKED)" mac-protocol=ip src-address=192.168.0.0/16 \
src-port=67-68
add action=drop chain=input comment="Block DHCP servers on 192.168.0.0/16" \
disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
ip src-address=192.168.0.0/16 src-port=67-68
add action=drop chain=forward comment=Netbios disabled=yes dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward disabled=yes dst-port=135-139 ip-protocol=udp \
mac-protocol=ip
add action=drop chain=forward disabled=yes dst-port=445 ip-protocol=tcp \
mac-protocol=ip
add action=drop chain=forward disabled=yes dst-port=445 ip-protocol=udp \
mac-protocol=ip
Bloqueio de netbios eu nao uso ativo no filtro de bridge porque percebo que ao ativar os ping sobem muito, mesmo com processamento baixo na RB, entao prefiro usar as regras de netbios apenas no firewall e nao nos filtros de bridge.
Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!
Citação:
Postado originalmente por
pepeuo
/interface bridge filter
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no in-interface=Wireless 1 out-interface=wireless 2
add action=drop chain=forward comment="" disabled=no in-interface= Wireless2 out-interface= Wireless 1
add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment=Bloqueia-DHCP-Externo disabled=no in-interface= Wireless1 ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment= Bloqueia-DHCP-Externo disabled=no in-interface= Wireless 1 ip-protocol=udp mac-protocol=ip src-port=67
Substituir onde esta Wireless 1 e 2 pelos nomes de suas interface wireless. Lembrando que tem q fazer isso para todas as interfaces se forem 4 por exemplo tem que repetir o passo para bloquearem todas entre si para não ter mais comunicação alguma com o servidor.
Este comando tem que ser adicionados nos mikrotiks que estao em bridge.
Olá Pepeuo,
Tenho o mesmo problema e venho correndo atras para sanar, estou com um post parecido aberto (https://under-linux.org/f210/duvida-...avegam-144716/).
No meu caso tenho cerca de 4 torres apenas com RB e o restante totaliza proximo de 20 torres que são de outros modelos de radios tudo em bridge, tudo esta concentrado apenas em um servidor RB1100, a minha questão é a seguinte, como tudo é gerenciado por um servidor então tenho apenas duas interfaces de rede, um recebo o link e outra é a gerencia dos clientes (ether2), ativando esse script para bloqueio da porta 67 (Servidores DHCP/Broadcast) afetaria por algum motivo requisições de clientes ja que tudo chega apenas em um local.
Obs: utilizo HotSpot, minha rede NÂO esta ativado DHCP, é configurado radio a radio.
Anderson