Dúvida - bridge/filters

[ricardofjayme]

Boa tarde amigos,

MInha rede é composta por 1 Servidor/PC Mikrotik central (autenticação PPPoE e Hotspot, controle de banda, regras de NAT, Firewall, etc) e mais 4 MK nas pontas, como distribuição wireless, configurados unicamente como APBRIDGE. Para interligar essas pontas de distribuição com o Mikrotik central, faço enlaces em 5.8Ghz também usando Mikrotik.
Minha rede está funcionando perfeitamente, mas queria fazer alguns ajustes finos nela.
Uma das coisas que gostaria de fazer e ainda não consegui, e por isso peço ajuda, é resolver o seguinte problema:
- da forma como descrevi a minha rede, se o cliente setar um IP qualquer na sua placa de rede e outro cliente, em outra ponta da rede (tem que ser em outra ponta pq já deixo desabilitado o Default Forward dos cartões) também colocar um IP na mesma classe, eles conseguem se comunicar. Isso porque os enlaces, antes de atingirem a placa de rede do meu servidor MK, passam todos por um switch. Então, tentei inserir nos filtros das bridges de cada um desses Mk de distribuição, dois tipos de regra: uma dava ACCEPT a todo o tráfego que vinha ou ia para o endereço MAC da placa do Servidor MK e em todo o tráfego PPPoE. A outra regra dava DROP no restante do tráfego. O problema é que os clientes que usam hotspot foram dropados também... isso é, a regra não entendeu a requisição enviada pelo cliente com destino para a placa do Servidor MK.
Não sei se ficou confuso a explicação, mas se alguém quiser dar uma ajuda, eu vou explicando melhor..rs

Antes de tentar essa solução com regras no MK, havia comprado um Switch gerenciável da 3Com. É um modelo já fora de linha 4226T, mas o preço estava acessível. Porém, não tenho muito experiência com Switchs Gerenciáveis também, mas pelo que entendi de tudo que li é que eu teria que criar Vlans para separar o tráfego... porém não posso adicionar uma mesma porta em duas vlans.. então.. se meu raciocínio não estiver errado, no meu caso o switch gerenciável não foi a solução... rs...

Obrigado a todos desde já!
Abraços

[Bruno]

e ai DR blz
seu switch é uma otima pedida
basta configurar para que todas as portas tenha acesso a porta 1 e a 1 acesso a todas as portas e o resto não tenha comunicacao

[Bruno]

bom o que vc pode fazer é
usar um !ip_do hot
para que ele nao bloqueie a sv tb
o switch gerenciavel é uma boa se ele aceitar um controle como sitei acima
agora se não coloca 4 placa de redes no sv rs

[ricardofjayme]

e ai DR blz
seu switch é uma otima pedida
basta configurar para que todas as portas tenha acesso a porta 1 e a 1 acesso a todas as portas e o resto não tenha comunicacao

Opa Bruno!
Valeu pela ajuda!
Mas só completando, essa configuração do switch seria através da criação de vlans mesmo?

[Bruno]

não esta conf no switch vc faz nele mesmo ele tem como vc bloquear exatamente o que vc quer
vc libera a porta 1 para ter acesso a outras as outras ter acesso a porta 1 porem as outras nao tem acesso a outras

[Geeek]

melhor trocar seu switch por uma bridge.

[Bruno]

geek mais ai ele vai ficar na mesma a intensao é de ambas as ether dos mk não ter comunicacao entre si

[Geeek]

geek mais ai ele vai ficar na mesma a intensao é de ambas as ether dos mk não ter comunicacao entre si

entao como eu disse da pra ter uma boa segurança usando bridge, olha essa simples regra.

Código :

/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop

A regra diz que tudo q nao vem do router e nao vai para o router é kill .

[ricardofjayme]

entao como eu disse da pra ter uma boa segurança usando bridge, olha essa simples regra.

Código :

/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop

A regra diz que tudo q nao vem do router e nao vai para o router é kill .

Valeu pela ajuda Geek, mas acho que não vai resolver essa regra, porque, por exemplo, se um cliente de um ponto A tentar se comunicar com um cliente de um ponto B, os pacotes vão ter in e out pela mesma eth da RB que o cliente A está... e aí não dá drop!

[Geeek]

Anexo 13896pelo contrario meu amigo é um drop legitimo de camada 2, veja o anexo do Mestre Maya.

[ricardofjayme]

Anexo 13896pelo contrario meu amigo é um drop legitimo de camada 2, veja o anexo do Mestre Maya.

EXCELENTE material amigo! Valeu mesmo!
Seguinte, fiz a regra usando o endereço MAC da placa local do meu server. Dei Accept apenas no que vai e vem para esse MAC. Porém, precisou habilitar a função External FDS = yes, conforme o material fornecido.
Nos testes de Laboratório funcionou normal. Amanhã vou colocar em produção para ver se tudo transcorre perfeitamente e depois posto o resultado. Muito obrigado amigos!

Grande abraço!

[aka2005]

Código :

/interface bridge filter
add chain=forward in-interface=!ether que entra para router
out-interface=!ether que sai para router action=drop

Boa Geek, so uma questao no meu caso aki, o q eu fiz, montei um Forward dando DROP nas portas 135-139 upd/tcp e na faixa de ip 10.0.0.0/8 e 192.168.0.0/16, q sao padroes de muita gente... ativei na Bridge das RBs.... sendo assim, essa regra sua ai... eu pondo da RB, nao bloquearia o cliente A e B, sendo eles setando na maquinas deles, ips fixo... certo?? pq usaria a interface por ex. numa RB com 3 WANs, eles tivessem na WAN1 e setassem o ip, se comunicariam correto??

[Roberto21]

Quem não usa DHCP na rede, pode dar um drop também nas portas utilizadas pelo DHCP na camada2, 67-68 as portas corretas seriam 135-139, e também 445 tcp/udp, essas ultimas sim, bloqueiam um trafego (desnecessário) enorme.

[Geeek]

Boa Geek, so uma questao no meu caso aki, o q eu fiz, montei um Forward dando DROP nas portas 135-139 upd/tcp e na faixa de ip 10.0.0.0/8 e 192.168.0.0/16, q sao padroes de muita gente... ativei na Bridge das RBs.... sendo assim, essa regra sua ai... eu pondo da RB, nao bloquearia o cliente A e B, sendo eles setando na maquinas deles, ips fixo... certo?? pq usaria a interface por ex. numa RB com 3 WANs, eles tivessem na WAN1 e setassem o ip, se comunicariam correto??

Não entendi muito bem sua duvida, mas vou tentar responder que, todo tráfego na bridge com essas portas filtradas seria anulado, mas os clientes conseguiriam se comunicar um com outro com ips setados manualmente sim...

Quem não usa DHCP na rede, pode dar um drop também nas portas utilizadas pelo DHCP na camada2, 67-68 as portas corretas seriam 135-139, e também 445 tcp/udp, essas ultimas sim, bloqueiam um trafego (desnecessário) enorme.

correto isso gerra um tráfego enorme mesmo (Windows é o cão nisso).

[Juniin]

Bom eu uso ap bridge nas rb`s e no servidor(Mk) uso mascara 30,ou seja os clientes recebem mascara 255.255.255.252, mesmo assim o pessoal com windows 7 tao se enxergando na rede.
Fui em outro topico,https://under-linux.org/f225/cliente...81/index5.html, e lá tem com resolvido,apliquei as regras que estao lá e os clientes nao receberam por dhcp o ip do servidor, foi bloqueado as portas dhcp. Vendo o post do Roberto21 vi o porque do bloqueio do meu dhcp.
A pergunta: que drop devo usar para os clientes com w7 nao se enxergarem na rede ja que uso dhcp??

abs

[aka2005]

Eu tava vendo uns topicos e estudando uns itens sobre VLAN, como o mikrotik tem o pacote VLAN nele. nao seria melhor no servidor mikrotik, criar a VLAN, e no HUB q chega os clientes a CABO, criar a VLAN idependente um de cada um,.. assim o cliente nao se enxerga mais.
Outra forma q eu tava vendo é nas RBs q manda sinal Wireles... tentei criar nelas VLANs tbm, mas nao consegui pingar... entre as vlans, dela ate o servidor.

[Roberto21]

Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:

/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2


Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.

Outra é desmarcar o forward nas interfaces wireless de suas Rb's

[aka2005]

Roverto21, entendi sua questao de bloqueio na bridge.... mas a questao q eu tinha comentando é q essas regras bloqueio o DHCP.. so q mesmo fazendo ela, desativando o Forward nas wireless.. o cliente num ponto A colocando ip, e outro no ponto B colocando mesma faixa d ip, eles se comunicam devido a bridge criada... entende, isso q eu quero tirar.

[Roberto21]

Compreendo sim, e minha rede é toda em bridge e ninguém se encherga de forma alguma, faça assim, adicione o bloqueio entre interfaces na camada2, e também faça uma contribuição na maquina do cliente, sempre que for fazer uma instalação desative o net-bios, ai você perguntaria...e se o cliente ativar...Certo se o cliente ativar volta, mas nem todos ativam, além disso você pode utilizar de ferramentas em sua rede como o simples ''angry ipscan'' para verificar quem está com a porta 135-139 aberta.

Outra é que existe a possibilidade de desativar o netbios no gerenciador de dispositivos do windows, onde fica mais difícil ele reativar, Já ví que como você não fez isso desde o início de sua rede vai ter uma trabalhinho pra fazer, mas no final valerá a pena, por que além de evitar isso, você diminui um trafego imenso em sua rede, e o pior, desnecessário.

[jwjunior]

Boa noite Roberto muito obrigado pela sua ajuda estou passando por esse problema, peço uma ajuda.
no meu caso eu tenho 3 cartao em uma RB e em outras 3 RB tenho somente 2 cartoes, nesse caso como farei as regras paraa cada interface e desculpa qualquer coisa eu sou novo em wireless.

Olá! Colega você sabe exatamente onde é o firewall de camada dois? Isso não é uma critica é uma pergunta ok? Vá em bridge/filter e aplique as regras abaixo:

/interface bridge filter
add action=drop chain=forward comment="Filtro 135-139 tcp" disabled=no \
dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="Filtro 135-139 udp" disabled=no \
dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="Filtro 445 tcp" disabled=no dst-port=\
445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment=67-68_TCP/UDP disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=input comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=67-68 \
ip-protocol=udp mac-protocol=ip
add action=accept chain=forward comment="Bloqueio entre interfaces" disabled=\
no in-interface=ether1 out-interface=ether4
add action=accept chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether1
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether3
add action=drop chain=forward comment="" disabled=no in-interface=ether3 \
out-interface=ether2
add action=drop chain=forward comment="" disabled=no in-interface=ether2 \
out-interface=ether4
add action=drop chain=forward comment="" disabled=no in-interface=ether4 \
out-interface=ether2


Observe que você novamente tem que tirar as regras das portas do dhcp, outra coisa muito importante a fazer, que até coloquei pra vc nessa resposta é o bloqueio entre interfaces na camada2.

Outra é desmarcar o forward nas interfaces wireless de suas Rb's