bloqueio entre clientes

**nandop1240** · 11-06-2008, 11:13

pessoal , implantei a regra para bloqueio de trafego entre clientes, agora estou com o problema

preciso liberar um cliente:

o cliente tem a fabrica e a casa e da casa ele quer ver as cameras da fabrica, sem a necessidade de ip real

com ips 10.x.x.x

e tambem do escritorio nosso acessar os radios ISPs

ou seja preciso de duas regras

uma que faça o cliente se comunicar com um unico ip

e outra que um ip (do nosso escritorio) se comunique com todos os outros.

valeu turma, obrigado

**Raniel** · 11-06-2008, 11:31

Postado originalmente por nandop1240

pessoal , implantei a regra para bloqueio de trafego entre clientes, agora estou com o problema

preciso liberar um cliente:

o cliente tem a fabrica e a casa e da casa ele quer ver as cameras da fabrica, sem a necessidade de ip real

com ips 10.x.x.x

e tambem do escritorio nosso acessar os radios ISPs

ou seja preciso de duas regras

uma que faça o cliente se comunicar com um unico ip

e outra que um ip (do nosso escritorio) se comunique com todos os outros.

valeu turma, obrigado

Coloque isto acima de suas regras de bloqueio:

/ip firewall filter
add chain=forward src-address=10.x.x.IP/32 st-address=10.x.x.IP/32 protocol=tcp srcport=135-139 dst-port=135-139 action=accept
add chain=forward src-address=10.x.x.IP/32 dst-address=10.x.x.IP/32 protocol=tcp srcport=445 dst-port=445 action=accept
add chain=forward src-address=10.x.x.IP/32 dst-address=10.x.x.IP/32 protocol=udp srcport=445 dst-port=445 action=accept
add chain=forward src-address=10.x.x.IP/32 dst-address=10.x.x.IP/32 protocol=udp srcport=135-139 dst-port=135-139 action=accept

Para apenas um ip comunicar com todos:
/ip firewall filter
add chain=forward src-address=10.x.x.IP/32 st-address=10.x.x.x/24 protocol=tcp srcport=135-139 dst-port=135-139 action=accept

Para os rádios, especificar as portas dos mesmos nas regras acima.

Qualquer coisa...

**nandop1240** · 11-06-2008, 12:14

Postado originalmente por Mr. RG

Coloque isto acima de suas regras de bloqueio:

/ip firewall filter
add chain=forward src-address=10.x.x.IP/32 st-address=10.x.x.IP/32 protocol=tcp srcport=135-139 dst-port=135-139 action=accept
add chain=forward src-address=10.x.x.IP/32 dst-address=10.x.x.IP/32 protocol=tcp srcport=445 dst-port=445 action=accept
add chain=forward src-address=10.x.x.IP/32 dst-address=10.x.x.IP/32 protocol=udp srcport=445 dst-port=445 action=accept
add chain=forward src-address=10.x.x.IP/32 dst-address=10.x.x.IP/32 protocol=udp srcport=135-139 dst-port=135-139 action=accept

Para apenas um ip comunicar com todos:
/ip firewall filter
add chain=forward src-address=10.x.x.IP/32 st-address=10.x.x.x/24 protocol=tcp srcport=135-139 dst-port=135-139 action=accept

Para os rádios, especificar as portas dos mesmos nas regras acima.

Qualquer coisa...

Valeu pelas diacas

eu fiz somente a de um micro acessar todos os outros , mas nao funcionou,
na verdade esse ip 10.x.x.10 precisa acessar os radios ISP que estao na rede com ips de clientes tambem.

a porta que acessamos é a porta 80 para configurar o ap.

Valeu,
Muito obrigado por ser sempre prestativo.

**Raniel** · 11-06-2008, 12:47

Vejamos,
Mude a porta do rádio, para 82 por exemplo, e em ip firewall nat:
Chain = dst-nat
Dst.Address = endereço ip do mikrotik da rede interna
Protocol = tcp
Dst.Port = 4040
Action = dstnat
To Address = endereço ip do radio que pretende accessar
To Port = 82

Chain = dst-nat
Dst.Address = endereço ip do mikrotik rede interna
Protocol = udp
Dst.Port = 4040
Action = dstnat
To Address = endereço ip do radio
To Port = 82

Chain = dst-nat
Dst.Address = endereço ip do radio
Protocol = tcp
Dst.Port = 82
Action = dstnat
To Address = endereço ip do radio
To Port = 82

Obs: coloque o ip do radio na address list (IP ADDRESS)

Caso não dê certo, poste suas configuração de firewall para dar uma olhada.

Valeu amigo,
Qualquer coisa...

**Raniel** · 12-06-2008, 01:00

Postado originalmente por nandop1240

Valeu pelas diacas

eu fiz somente a de um micro acessar todos os outros , mas nao funcionou,
na verdade esse ip 10.x.x.10 precisa acessar os radios ISP que estao na rede com ips de clientes tambem.

a porta que acessamos é a porta 80 para configurar o ap.

Valeu,
Muito obrigado por ser sempre prestativo.

Fiz agora a pouco, coloque no forum pois muitos poderam vê e tirar as dúvidas:

https://under-linux.org/forums/mikro...k-solucao.html

Qualquer coisa...

**evoclutch** · 12-06-2008, 09:02

Mr. RG ,,

No meu caso, tenho a rede 192.168.15.0/24 , nenhum ip precisa ter acesso a outro ip, como ficaria a regra, pode me dizer?

Grato

evoclutch

Postado originalmente por Mr. RG

Fiz agora a pouco, coloque no forum pois muitos poderam vê e tirar as dúvidas:

https://under-linux.org/forums/mikro...k-solucao.html

Qualquer coisa...

**Raniel** · 12-06-2008, 20:50

Postado originalmente por evoclutch

Mr. RG ,,

No meu caso, tenho a rede 192.168.15.0/24 , nenhum ip precisa ter acesso a outro ip, como ficaria a regra, pode me dizer?

Grato

evoclutch

Você quer bloquear a comunicação entre os ips da rede, é isto?
Se seus clientes estiverem interligados por um switch, as regras de firewall não serão eficazes, pois esta comunicação não passará pelo mikrotik. Segue em anexo uma configuração que peguei aqui no forum, descupe ao amigo que postou, pois eu não sei se ficou o nome.

**brunophsp** · 13-06-2008, 14:53

Amigo vc tem algum hub em sua arede ou so tem ap e mk?

**evoclutch** · 13-06-2008, 15:32

então,
Minha estrutura esta da seguinte maneira:

Link>>Mikrotik>>switch>>Mikrotik(fazendo bridge c/ 3 Dlink e 3 paineis setoriais)

Estava pensando se poderia usar estas regras no MK que esta fazendo bridge em cima da torre... oq vcs me dizem, vão ter efeito as regras?

abraço

evoclutch

Postado originalmente por brunophsp

Amigo vc tem algum hub em sua arede ou so tem ap e mk?

**brunophsp** · 16-06-2008, 22:38

Postado originalmente por evoclutch

então,
Minha estrutura esta da seguinte maneira:

Link>>Mikrotik>>switch>>Mikrotik(fazendo bridge c/ 3 Dlink e 3 paineis setoriais)

Estava pensando se poderia usar estas regras no MK que esta fazendo bridge em cima da torre... oq vcs me dizem, vão ter efeito as regras?

abraço

evoclutch

olha amigo faz o seguinte ai se vc usar bridge nos dois mk ussa esse codigo ai
interface bridge filter add chain=forward action=drop mac-protocol=ip dst-port=135-139 ip-protocol=tcp
interface bridge filter add chain=forward action=drop mac-protocol=ip src-port=135-139 ip-protocol=tcp
interface bridge filter add chain=forward action=drop mac-protocol=ip dst-port=135-139 ip-protocol=tcp
interface bridge filter add chain=forward action=drop mac-protocol=ip dst-port=445 ip-protocol=tcp
interface bridge filter add chain=forward action=drop mac-protocol=ip dst-port=445 ip-protocol=udp
interface bridge filter add chain=forward action=drop mac-protocol=ip dst-port=135-139 ip-protocol=udp
e nos dlink abilida a opçao block cliente eu acho vou ver amanha certinho e ai eu de falo ok ate mais a e o seu switch tem a opçao vlan?

bloqueio entre clientes

Ferramentas de Tópicos

bloqueio entre clientes