Olá amigos,
Já li alguns posts e apliquei algumas regras para bloquear tráfego de netbios, dhcp, etc na camada 2, isto é, na própria bridge.
Porém, estive pensando em fazer uma regra só, bem simples e funcional: liberar todo o tráfego que vai ou vem da minha placa de clientes do Mk e dropar todo o resto... Faria isso em cada rb minha que funcionasse como AP bridge... então o cliente só conseguiria mandar e receber pacote do meu server MK, eliminado todo e qualquer tráfego dentro da rede. Bem, para isso fiz 3 regras, duas accept com o MAC da minha placa de clientes do MK (uma com SRC e outra com DST) e a última com um drop geral. Funcionou, os clientes continuaram navegando e nos testes que fiz, qq outro tipo de tentativa de acesso que não fosse internet foi bloqueado. Mas... como tudo sempre tem um "mas" rs, o estranho foi que os clientes que estava conectados no hotspot permaneceram conectados normalmente, porém os clientes que estão desconectados e tentaram se conectar não conseguiram. Não entendi, pq o meu server do hostpot roda nessa mesma placa de clientes do MK (claro..rs) que teve o MAC liberado nas regras... Aí me falta um pouco de conhecimento de como o hotspot procede para a autenticação... pois aí poderia liberar isso tb...
Aqui vai um print das regras:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Libera acesso ao MK
chain=forward action=accept
src-mac-address=00:50:DA:68:85:3D/FF:FF:FF:FF:FF:FF
1 chain=forward action=accept
dst-mac-address=00:50:DA:68:85:3D/FF:FF:FF:FF:FF:FF
2 ;;; Bloqueio_entre_clientes1
chain=forward out-interface=wlan2 action=drop in-interface=wlan1
3 ;;; Bloqueio_entre_clientes2
chain=forward out-interface=wlan1 action=drop in-interface=wlan2
4 X ;;; Dropa o resto
chain=forward action=drop
Se alguém puder dar uma ajuda, agradeço desde já!
-
04-07-2011, 11:14 #1
- Ingresso
- May 2007
- Posts
- 261
Bridge Filters: dúvidas em algumas regras
-
27-10-2012, 01:09 #2
- Ingresso
- Sep 2010
- Posts
- 33
Re: Bridge Filters: dúvidas em algumas regras
Brother, nessa sua regra de drop ( chain=forward action=drop ) tenta colocar chain=forward MAX Protocol-Num=800(ip) action=drop.
Postado originalmente por ricardofjayme
Olá amigos,
Já li alguns posts e apliquei algumas regras para bloquear tráfego de netbios, dhcp, etc na camada 2, isto é, na própria bridge.
Porém, estive pensando em fazer uma regra só, bem simples e funcional: liberar todo o tráfego que vai ou vem da minha placa de clientes do Mk e dropar todo o resto... Faria isso em cada rb minha que funcionasse como AP bridge... então o cliente só conseguiria mandar e receber pacote do meu server MK, eliminado todo e qualquer tráfego dentro da rede. Bem, para isso fiz 3 regras, duas accept com o MAC da minha placa de clientes do MK (uma com SRC e outra com DST) e a última com um drop geral. Funcionou, os clientes continuaram navegando e nos testes que fiz, qq outro tipo de tentativa de acesso que não fosse internet foi bloqueado. Mas... como tudo sempre tem um "mas" rs, o estranho foi que os clientes que estava conectados no hotspot permaneceram conectados normalmente, porém os clientes que estão desconectados e tentaram se conectar não conseguiram. Não entendi, pq o meu server do hostpot roda nessa mesma placa de clientes do MK (claro..rs) que teve o MAC liberado nas regras... Aí me falta um pouco de conhecimento de como o hotspot procede para a autenticação... pois aí poderia liberar isso tb...
Aqui vai um print das regras:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Libera acesso ao MK
chain=forward action=accept
src-mac-address=00:50
A:68:85:3D/FF:FF:FF:FF:FF:FF
1 chain=forward action=accept
dst-mac-address=00:50A:68:85:3D/FF:FF:FF:FF:FF:FF
2 ;;; Bloqueio_entre_clientes1
chain=forward out-interface=wlan2 action=drop in-interface=wlan1
3 ;;; Bloqueio_entre_clientes2
chain=forward out-interface=wlan1 action=drop in-interface=wlan2
4 X ;;; Dropa o resto
chain=forward action=drop
Se alguém puder dar uma ajuda, agradeço desde já!
Abraços!
Citação