+ Responder ao Tópico



  1. #1

    Padrão Bloqueando acesso de clientes a outros clientes na rede Cabeada de um modo bacana

    Galera... Lendo alguns topicos sem poder responder pq estavam trancados.. resolvi colocar minha ideia pra ver ajuda alguem..

    Citação Postado originalmente por lucianogf Ver Post
    Pessoal, tapar sol com peneira não adianta!
    É possível "tentar" gerenciar este tráfego com algumas maneiras, mas como disse, se pega alguém com um minimo de conhecimento já era!!!


    Grande Luciano,

    sem italico por favor...

    putz... desligar italico!

    ahhh... muito bom.. nao desligou... desligar italico janela corrente!

    Bom.. como nao desliga.. vamos lah:

    uso uma rb450 numa rede hotel q oferece wireless gratuito para os hospedes... eu tenho dois links adsl entrando nessa rb.. e um cabo sai dessa rb para o hub q distribui para as makinas internas e para os ap´s q por sua vez distribuem para os hospedes..

    mas os hospedes pegavam o mesmo range da rede interna... e causava transtornos..

    entao fiz o seguite.. a rede interna coloquei em um range separado dos hospedes.. dessa forma jah consegui de cara isolar os hospedes da rede interna.. o dhcp do mk envia um range pra os hospedes e outro bem distinto pra rede interna..

    o proximo passo serah configurar os hospedes para receberem /32 e assim entre eles tb nao havera comunicação... claro.. q se eles setarem um ip para compartilharem entre si... fazer o q neh?? minha preocupação era exatamente eles nao entrarem na rede interna...

    isso foi soh pra contornar...

    agora solicitei ao hotel a compra de duas switchs gerenciaveis para poder ter certeza q ninguem vai ficar tentando descobrir o range interno da empresa..

    acho q eh soh... soh queria contribuir com uma ideia...

    e se alguem tiver uma ideia de como desligar esse italico.. agradeço... pq no botao lah em cima nao funfa...

    negrito funfa... e depois delisga... sublinhado tb... e tb desliga... mas a peste do italico... nao desliga....

    um grande abraço....

  2. #2

    Padrão

    Cara vendo sua topologia não vi nada que possa bloquear o usuario de acessar o outro...tudo bem que estão em faixas de redes diferentes, mais mesmo assim existe a possibilidade de ter o acesso a outra maquina, pois basta ele entrar no range das outras maquinas, que consiguira acessar normalmente....pois todos os ips partem da mesma placa de rede e não existe os bloqueios.

    Ja com os switchs gerenciaveis você criara as inter Vlan routing e conseguira bloquear isso ae.

  3. #3

    Padrão

    Citação Postado originalmente por gustavinho69 Ver Post
    Cara vendo sua topologia não vi nada que possa bloquear o usuario de acessar o outro...tudo bem que estão em faixas de redes diferentes, mais mesmo assim existe a possibilidade de ter o acesso a outra maquina, pois basta ele entrar no range das outras maquinas, que consiguira acessar normalmente....pois todos os ips partem da mesma placa de rede e não existe os bloqueios.

    Ja com os switchs gerenciaveis você criara as inter Vlan routing e conseguira bloquear isso ae.

    pois eh.. por isso q acrescentei q vou comprar duas gerenciaveis.. mas ao meu ver.. isso resolve o problema parcialmente.. ateh pq estao em duas ranges separadas.. e seria preciso um pouco de engenharia social para os hospedes descobrirem o range interno...

    por outro lado me diz uma coisa.. se eu colocasse duas switchs nao gerenciaveis.. uma na porta eth1 da rb450.. e outra swtich na porta eth2..

    dessa forma eu estaria evitando de maneira mais eficiente q uma rede enxergue outra neh?? ateh pq estao em eth diferentes...

    o q me diz?

  4. #4

    Padrão

    Sim desta forma por estarem em divididas as rede sim....pois cada range partira de uma placa...mais ae neste caso seria ideal voce fazer um DHCP para cada eth, e não fazer bridge pois dai mataria a divisão.

    No seu caso a melhor solução ai seria você atribuir IPs com mascara /30 assim cada host teria uma faixa de ip propria.
    ex:
    192.168.1.0 - rede
    192.168.1.1 - gateway
    192.168.1.2 - Host (usuario)
    192.168.1.3 - Broadcast

    192.168.2.0 - rede
    192.168.2.1 - gateway
    192.168.2.2 - Host (usuario2)
    192.168.2.3 - Broadcast

    E assim por diante.....isso ja ajudaria e muito voce ai...pois o cara so entraria na rede do outro se ele se tornasse o gateway.

    Faz um teste ae deste jeito que te falei depois me fala....
    abração!

  5. #5

    Padrão

    Existem switches configuráveis para isolamento entre portas, mesmo não sendo gerenciáveis no sentido de se poder monitorar o que está acontecendo.
    Um exemplo é o Compex PS2216.

  6. #6

    Padrão

    Citação Postado originalmente por gustavinho69 Ver Post
    Sim desta forma por estarem em divididas as rede sim....pois cada range partira de uma placa...mais ae neste caso seria ideal voce fazer um DHCP para cada eth, e não fazer bridge pois dai mataria a divisão.

    No seu caso a melhor solução ai seria você atribuir IPs com mascara /30 assim cada host teria uma faixa de ip propria.
    ex:
    192.168.1.0 - rede
    192.168.1.1 - gateway
    192.168.1.2 - Host (usuario)
    192.168.1.3 - Broadcast

    192.168.2.0 - rede
    192.168.2.1 - gateway
    192.168.2.2 - Host (usuario2)
    192.168.2.3 - Broadcast

    E assim por diante.....isso ja ajudaria e muito voce ai...pois o cara so entraria na rede do outro se ele se tornasse o gateway.

    Faz um teste ae deste jeito que te falei depois me fala....
    abração!

    Amigo voce teria como me passar uma luz de como devo aplicar essas regras na configuração do servidor

  7. #7

    Padrão

    Citação Postado originalmente por gustavinho69 Ver Post
    Sim desta forma por estarem em divididas as rede sim....pois cada range partira de uma placa...mais ae neste caso seria ideal voce fazer um DHCP para cada eth, e não fazer bridge pois dai mataria a divisão.

    No seu caso a melhor solução ai seria você atribuir IPs com mascara /30 assim cada host teria uma faixa de ip propria.
    ex:
    192.168.1.0 - rede
    192.168.1.1 - gateway
    192.168.1.2 - Host (usuario)
    192.168.1.3 - Broadcast

    192.168.2.0 - rede
    192.168.2.1 - gateway
    192.168.2.2 - Host (usuario2)
    192.168.2.3 - Broadcast

    E assim por diante.....isso ja ajudaria e muito voce ai...pois o cara so entraria na rede do outro se ele se tornasse o gateway.

    Faz um teste ae deste jeito que te falei depois me fala....
    abração!
    vou fazer sim... como te falei... uso dhcp mesmo.. nao sou muito fã de bridge...

    e a idéia eh usar dois dhcp, um para cada eth.. e como vou jogar dada eth em uma switch não-gerenciável à parte.. acredito resolver o problema...

    quanto à sua proposta... pode soh me explicar melhor.. eu teria q criar um ip address para cada usuario q for usar?? desculpa se falei besteira...

  8. #8

    Thumbs up

    Citação Postado originalmente por geba3uer Ver Post
    Amigo voce teria como me passar uma luz de como devo aplicar essas regras na configuração do servidor
    Opa claro.....não seria bem uma regra....vou explicar aqui em baixo.

    Citação Postado originalmente por eugeniomarques Ver Post
    vou fazer sim... como te falei... uso dhcp mesmo.. nao sou muito fã de bridge...

    e a idéia eh usar dois dhcp, um para cada eth.. e como vou jogar dada eth em uma switch não-gerenciável à parte.. acredito resolver o problema...

    quanto à sua proposta... pode soh me explicar melhor.. eu teria q criar um ip address para cada usuario q for usar?? desculpa se falei besteira...
    Exatamente.....vocês terao que criar uma rede para cada cliente.....ou seja é como se cada cliente seu, você estivesse criando uma rede no MK.

    Para fazer isto é simples, vou tentar detalhar o maximo pra melhor entendimento:

    1° em IP/Address você ira criar uma nova faixa de IP, ex:

    Adress: 192.168.1.1/30
    Network: 192.168.1.0
    Broadcast: 192.168.1.3
    Interface: LAN (clientes)

    2° Depois em IP/DHCP_Server Network:
    Address: 192.168.1.0/30
    Gatway: 192.168.1.1
    Network: 30
    DNS: 192.168.1.1

    Até aqui ja esta criado a rede para 1 usuario na rede.

    Como eu amarro IPxMAC então eu amarro no LEASES o IP e o MAC.

    3° Depois em IP/DHCP_Server Leases:

    Address: 192.168.1.2 (aqui você define o IP do usuario na maquina)
    Mac Address: 00:00:00:00:00:00 (mac do cliente, placa de rede, router, etc.)
    Server: DHCP (aqui coloque o DHCP que você criou)

    Para o proximo cliente o Address sempre será:
    192.168.2.2
    192.168.3.2
    192.168.4.2....

    *Postei uma img para entenderem como ficaria.

    Espero ter ajudado, qualquer duvida estamos ae.!!!
    boa sorte ae galera.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         criando_mascara_30_no_MK.JPG
Visualizações:	313
Tamanho: 	70,8 KB
ID:      	4569  

  9. #9

    Padrão

    Citação Postado originalmente por gustavinho69 Ver Post
    Opa claro.....não seria bem uma regra....vou explicar aqui em baixo.



    Exatamente.....vocês terao que criar uma rede para cada cliente.....ou seja é como se cada cliente seu, você estivesse criando uma rede no MK.

    Para fazer isto é simples, vou tentar detalhar o maximo pra melhor entendimento:

    1° em IP/Address você ira criar uma nova faixa de IP, ex:

    Adress: 192.168.1.1/30
    Network: 192.168.1.0
    Broadcast: 192.168.1.3
    Interface: LAN (clientes)

    2° Depois em IP/DHCP_Server Network:
    Address: 192.168.1.0/30
    Gatway: 192.168.1.1
    Network: 30
    DNS: 192.168.1.1

    Até aqui ja esta criado a rede para 1 usuario na rede.

    Como eu amarro IPxMAC então eu amarro no LEASES o IP e o MAC.

    3° Depois em IP/DHCP_Server Leases:

    Address: 192.168.1.2 (aqui você define o IP do usuario na maquina)
    Mac Address: 00:00:00:00:00:00 (mac do cliente, placa de rede, router, etc.)
    Server: DHCP (aqui coloque o DHCP que você criou)

    Para o proximo cliente o Address sempre será:
    192.168.2.2
    192.168.3.2
    192.168.4.2....

    *Postei uma img para entenderem como ficaria.

    Espero ter ajudado, qualquer duvida estamos ae.!!!
    boa sorte ae galera.
    Essa sua ideia funciona com hotspot usando a atribuição de ips aos clientes via DHCP

  10. #10

    Padrão

    Citação Postado originalmente por gustavinho69 Ver Post
    Opa claro.....não seria bem uma regra....vou explicar aqui em baixo.

    [...]

    Espero ter ajudado, qualquer duvida estamos ae.!!!
    boa sorte ae galera.

    Cara.. ajudou bastante sim.. eu jah desconfiava q seria assim.. mas nao tinha 100% de informação... agora tenho tudo q preciso...

    o legal dessa forma q evitamos ateh os clientes se enxergarem... se bem q se eles quiserem adicionar um ip extra pra se enxergarem... vai acontecer pq estao no mesmo switch..

    mas como disse antes.. nao eh meu problema.. pq meu caso eh uma rede de hotel.. e provavelmente nenhum hospede vai querer ser rastreado por outro.. mas se o fizer.. nao tem problemas pra mim nao...

    um grande abraço,

    Muito obrigado..

  11. #11

    Padrão

    Citação Postado originalmente por geba3uer Ver Post
    Essa sua ideia funciona com hotspot usando a atribuição de ips aos clientes via DHCP
    Sim, aqui uso com hotspot, depois disso basta voce amarrar o usuario e o mac no hotspot que ele ira receber o ip.

    Citação Postado originalmente por eugeniomarques Ver Post
    Cara.. ajudou bastante sim.. eu jah desconfiava q seria assim.. mas nao tinha 100% de informação... agora tenho tudo q preciso...

    o legal dessa forma q evitamos ateh os clientes se enxergarem... se bem q se eles quiserem adicionar um ip extra pra se enxergarem... vai acontecer pq estao no mesmo switch..

    mas como disse antes.. nao eh meu problema.. pq meu caso eh uma rede de hotel.. e provavelmente nenhum hospede vai querer ser rastreado por outro.. mas se o fizer.. nao tem problemas pra mim nao...

    um grande abraço,

    Muito obrigado..
    Que bom que ajudou.....sobre adicionar um ip extra não teria como, pois com a mascara /30 ela limita a 2 hosts, ou seja 1 gateway e outro o usuario.

    Abração

  12. #12
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.116
    Posts de Blog
    15

    Padrão

    Não seria mais viável disponibilizar um discador pppoe para os clientes do hotel (com propaganda do hotel, por exemplo) onde a placa cliente nem ip teria no servidor, poderia ate remeter o cliente a uma pagina onde o próprio cliente fizesse o download do discador para navegar.
    Se ai fosse o caso ou o próprio hotel usaria o pppoe ou ate mesmo um hotspot mais através de placas distintas.

  13. #13

    Padrão

    Citação Postado originalmente por interhome Ver Post
    Não seria mais viável disponibilizar um discador pppoe para os clientes do hotel (com propaganda do hotel, por exemplo) onde a placa cliente nem ip teria no servidor, poderia ate remeter o cliente a uma pagina onde o próprio cliente fizesse o download do discador para navegar.
    Se ai fosse o caso ou o próprio hotel usaria o pppoe ou ate mesmo um hotspot mais através de placas distintas.

    poderia ateh ser.. mas para o cliente do hotel seria complicado... eles odeiam ter trabalho.. eles querem internet PNP.. plugue e use...

    - mas valeu a dica...

    um abração...

    eita.. nao posso beber nao.. tou gripado...