Como evitar quem alguem mal intecionado use o ip do servidor e derrube a rede no MK??

[marcelomg]

Quem puder ajudar agradeço.

[xandemartini]

Quem puder ajudar agradeço.

Tá feia a coisa por aí hein Marcelo? Não vai te ajudar muito, mas compra logo de vez esse teu concorrente, ou mata ele hehehe. zoeira... Sério mesmo, senta com o cara e faz uma proposta, senão ele vai acabar queimando o mercado aí!

[jhonnyp]

o mikrotik tem este defeito? se alguem colocar um ip igual ao do mk ele trava?

[xandemartini]

o mikrotik tem este defeito? se alguem colocar um ip igual ao do mk ele trava?

Teoricamente, se ele estiver apenas como Ap-Bridge, sem fazer NAT, não irá travar. Acho que o Marcelo está se referindo ao ip do servidor dele, caso alguém entre na rede e coloque na máquina o mesmo IP do gateway.

[jhonnyp]

tipo tenho uma rede com mk, onde no mk tem varios ip, estes ips sao os gateways dos clientes. se eu colocar um ip em um pc igual a um ip do mikrotik ira travar? nao posso testar pois se travar vou ter que deslocar muito para resolver o problema

[xandemartini]

tipo tenho uma rede com mk, onde no mk tem varios ip, estes ips sao os gateways dos clientes. se eu colocar um ip em um pc igual a um ip do mikrotik ira travar? nao posso testar pois se travar vou ter que deslocar muito para resolver o problema

Teoricamente, até pq acho que ninguém vai querer testar isso, no mínino o que irá acontecer é aquela rede a qual seu MK é o gateway vai parar. Mas há grande chance de parar tudo sim, mas só testando pra ter certeza. Aqui na minha rede, já tive um sério problema, que descobri por acaso. Dava conflito de ip em todos clientes, 2 x já, uma vez era um hub de cliente queimado, outra vez era um cliente que tinha ligado as duas pontas de um mesmo cabo de rede em 2 portas do mesmo hub...

[marcelomg]

se vc coloca em um cliente o mesmo ip do gatway, já era derruba tudo!! da conflito com o ip do gatway, não sei se bloqueando os clientes de se enchergarem resolve isso.

[marcelomg]

Tá feia a coisa por aí hein Marcelo? Não vai te ajudar muito, mas compra logo de vez esse teu concorrente, ou mata ele hehehe. zoeira... Sério mesmo, senta com o cara e faz uma proposta, senão ele vai acabar queimando o mercado aí!

Pois é, nada feito, to a 2 meses esperando ele trocar os canais e baixar a potencia dos senao dele, faz 30 dias que liguei pra ANATEL, até agora nada.

[xandemartini]

Pois é, nada feito, to a 2 meses esperando ele trocar os canais e baixar a potencia dos senao dele, faz 30 dias que liguei pra ANATEL, até agora nada.

E não tem proposta de vc comprar ele mesmo? Pq acho q a tia ana vai demorar pra ir aí...

[cabeer]

Quem puder ajudar agradeço.

Ola
trabalha com mascara 252 q cada cliente vai ter um gateway, se o cara colocar qualquer um destes gateway vai parar um cliente, e nau todos.

[xandemartini]

Ola
trabalha com mascara 252 q cada cliente vai ter um gateway, se o cara colocar qualquer um destes gateway vai parar um cliente, e nau todos.

Realmente, cabeer, seria uma ótima solução. O problema é no caso de redes já grandes, que teria que ser alterado de cliente em cliente... Se fosse começar agora, era isso mesmo que iria adotar aqui no provedor, ou PPOE de cara já... Mas com um número consideral de clientes já, isso torna-se inviável.

[neon]

cara aqui uso mascara /30 (255.255.255.252) tb.

usar mascara /24 em uma rede sem controle (provedores) é um pouco complicado.
é mais facil no principio, mas a longo prazo dá muita dor de cabeça.

ao marcelomg, seu mk esta como bridge? router? nat?
se nao tiver como bridge, é so desativar o arp na interface e amarrar o ip ao mac em ip >> arp (nao sei se resolve seu problema).

ao xandemartini, para provedores grandes, que utilizam mascara /24, que acho que é seu caso, a única forma de mudar para mascara /30 é escolher uma nova range de ips e ir fazendo upgrade aos poucos.
melhor remediar aos poucos do que nao tomar nenhuma vacina nao acha?

neon

[xandemartini]

cara aqui uso mascara /30 (255.255.255.252) tb.

ao xandemartini, para provedores grandes, que utilizam mascara /24, que acho que é seu caso, a única forma de mudar para mascara /30 é escolher uma nova range de ips e ir fazendo upgrade aos poucos.
melhor remediar aos poucos do que nao tomar nenhuma vacina nao acha?

neon

Concordo com vc.

[Herbert]

Concordo com vc.

Desculpa de entrar na conversa..

opa
só para comentar.
Aqui no provedor eu utilizo nos clientes /30 ou /29 ...

E ainda utilizo AP router nos clientes. Para que o cliente só tenha acesso a rede dele mesmo .. e ainda tenho varias regras de firewall para que nenhum cliente possa pingar em outro e ainda IP+MAC.
E olha mesmo assim tenho problema com clientes.



Seguração nunca é d +.

[neon]

Herbert, aqui nao tem dessa nao, pode entrar na conversa sim, estamos trocando experiencias.

Complementando ou sei lá, tentando dar uma dica....

Aqui no radio dos clientes (nao utilizo placa a nao ser q eu monte um mk para a rede do cliente - com gerenciamento meu logico), sempre utilizo masca /30, sempre. Ai eu faço NAT no rádio, desse jeito o clienten nunca tem acesso ao mac/senha do radio, se ele precisar de 1 pc apenas na rede dele, a porta lan do ap/mk fica com mascara /30 se ele precisar de 2 a 5 eu coloco mascara /29, e bloqueio por firewall no ap/mk os ips nao utilizados, vou escalonando de acordo com a necessidade do cliente.

Aqui eu permito apenas 2 pc na lan, se o cara quiser mais de 2 pcs ai começo a fazer um valor diferenciado.

Antes que acontecam discussoes sobre o cliente conseguir compartilhar assim mesmo vou logo explicar, se o cliente quiser colocar 2 placas na maquina dele e compartilhar pelo windows ai é problema dele, nao me comprometo com a qualidade da internet, me comprometo até onde eu configurei.

para quem utiliza placa nos clientes muito cuidado, a coisa mais facil do mundo é descobrir a senha de seu radio/torre no windows e passar o mac e senha para "amigos". resultado: prejuízo.

"Segurança nunca é demais" (Herbert - Under-Linux)

Melhor gastar um pouco mais com o ap, ou ter um valor de adesão um pouco mais salgado e ter um sistema seguro do que querer concorrer sem escrúpulos e ter prejuízos.

Essa sim é uma remediação mais cara.

Já pensou em ter que trocar as placas por APs? O cliente vai ter pagar adesão novamente? Duvido.

neon

[xandemartini]

Aqui eu permito apenas 2 pc na lan, se o cara quiser mais de 2 pcs ai começo a fazer um valor diferenciado.

neon

Também trabalho dessa forma aqui, se o cliente quiser compartilhar por conta e risco dele, eu fico descompromissado de dar assistência. Se quiser mais que uma máquina, cobro 10 reais por máquina adicional. Mas ainda uso as placas pci, que na realidade são maioria aqui. Faço controle de MAC x IP x usuário x senha com o www.myauth.com.br , e faço block relay no MK, além de filtrar as portas da Netbios do Windows. Tem alguns filtros também no firewall, embora use o MK apenas como bridge e controle de banda, fazendo o NAT, proxy e autenticação e um segundo controle de banda tudo no Myauth.

Na questão do controle de banda, tenho feito assim: no MK down de 256 e up de 128 (256 é o plano máximo q tenho) e no myauth é definido o valor da banda real do cliente. Acredito que dessa forma, se algo passar pelo MK, ficará no Myauth. Estou correto neste meu modo de pensar?

[neon]

Na questão do controle de banda, tenho feito assim: no MK down de 256 e up de 128 (256 é o plano máximo q tenho) e no myauth é definido o valor da banda real do cliente. Acredito que dessa forma, se algo passar pelo MK, ficará no Myauth. Estou correto neste meu modo de pensar?

meu cenario aqui é assim:
internet <--> roteadores <--> srv-linux <--> mk-bb <--> mk-torre <--> cliente

em srv-linux: firewall definitivo, controle de banda com htb, proxy com squid, srv email com qmail (configurando), serv http, rotas, controle de balanceamento de links, ips publicos

em mk-bb: mk em router, rotas das sub-redes de clientes, block relay, back bone das torres com outros mks, radios, firewall de portas validas (aqui nao libero p2p), ips invalidos, todos os clientes passam por aqui, todos.

em mk-torre: mk em router, rotas, block relay, autenticacao wpa2, casamento mac x ip, firewall de ips, ips invalidos, ips mask /30 (lado provedor)

clientes: mask /30, ips invalidos

so faço o controle de banda no srvlinux pq tenho no meu squid/htb o patch ZPH, cache a full.

se o cliente acessar paginas ja acessadas ele pega do proxy sem controle de banda, melhora a QoS.

se um cliente precisar de um ip publico nunca configuro no radio, so faço SNAT DNAT no srvlinux e pronto.



neon

[JHONNE]

Olá pessoal,


Se for rede wireless basta desmarcar o default forward, sem se ver no máximo o que vai acontecer é parar a máquina de quem clonou o ip do mk, mais os outros clientes navegam normalmente. Agora se for rede cabeada é problema!!

[fernandolv]

aqui na minha cidade tive que vira a polaridade de todos os clientes .. mais de 200 .. imagina so o trabalho .. mas vamo la ..

pra resolver este problema compre somente acess point e coloque firmware ap-router nele .. e mais caro mais fica impossivel o cliente colocar o memo ip do microtik .
E claro que tambem amarre ip X mac na placa wan-wirelles
E sempre use mascara /30 ex:
ip 172.16.0.6
masc 255.255.255.252
gat 172.16.0.5 este gat vc tem que adicionar no mk pra cada cliente vai ter um gat . e os ips sero libeirados em 4 em 4 no proximo cliente seria
ip 172.16.0.10
gat 172.16.0.9 e assim por diante

[zetula]

Aproveitando o caso da mascara /30 gostaria de reportar um problema, meus cliente com Windows Vista tem dificuldade em conectar usando a mascara 252 fornecido pelo DHCP, algums funcionam, outros dão pau a doidado. Já aconteceu com alguem? já que com /24 funciina tudo legal.

Outra coisa talvez a mais importante, seria possivel aceitar as conexões somente dos usuários com mascara /30 ? Negando os que estiverem com outras mascaras?