+ Responder ao Tópico



  1. #1

    Talking bloquear IP de navegar

    Quero bloquear IPs para nao navegarem na Internet e outros SIM

    eu tentei fazendo assim:

    # Primeiro libere os ips que deseja liberar para navegar

    Em /ip firewall filter

    add chain=forward src-address=192.168.1.10 protocol=tcp dst-port=80 action=accept

    add chain=forward src-address=192.168.1.11 protocol=tcp dst-port=80 action=accept

    # Depois bloqueia a
    rede

    add chain=forward src-address=192.168.1.0/24 protocol=tcp dst-port=80 action=drop

    Ps: Neste exemplo somente os pcs com IP 192.168.1.10 e 192.168.1.11 vão navegar (porta 80)

    Mas nao deu certo, pq?

    Obs: Uso o MK com web-cache

  2. #2

    Padrão

    Amigo faz isto no reply only é mais facil la vc amarra o ip que nao quer que navegue, va em interfeice na placa de saida marque reply only, va em ip arp e cadastre todos os ips mac dos clientes a interfeice deixe a de saida que ta com reply only, dai amigo e só bloquear quem vc nao quer no ip arp que nao navega.qualquer duvida e so posta ok.

  3. #3

    Padrão

    Bem simples:

    /ip/firewall/nat

    ;;; Fulano de tal
    chain=srcnat action=masquerade src-address=192.168.xx.xx/32
    out-interface=LINK-ether1

    Faz nat só para os ip q voce quer q navegue e deixa o Filter só para para regras de bloqueio de portas, controle de sessão, etc ...

  4. #4

    Padrão

    No meu caso fiz um hotspor para fazer uma propaganda. gostaria que o cliente pegasse o ip pelo dhcp e esse cliente navegasse por 30 minutos e depois ficasse sem pegar um ip por 48 horas. será que tem como usar essas regras?

  5. #5

    Padrão

    A maneira mais eficaz é a que o amigo lá no alto falou, usar o reply-only.

  6. #6

    Padrão

    Citação Postado originalmente por webier Ver Post
    Quero bloquear IPs para nao navegarem na Internet e outros SIM

    eu tentei fazendo assim:

    # Primeiro libere os ips que deseja liberar para navegar

    Em /ip firewall filter

    add chain=forward src-address=192.168.1.10 protocol=tcp dst-port=80 action=accept

    add chain=forward src-address=192.168.1.11 protocol=tcp dst-port=80 action=accept

    # Depois bloqueia a rede

    add chain=forward src-address=192.168.1.0/24 protocol=tcp dst-port=80 action=drop

    Ps: Neste exemplo somente os pcs com IP 192.168.1.10 e 192.168.1.11 vão navegar (porta 80)

    Mas nao deu certo, pq?

    Obs: Uso o MK com web-cache
    n tenho certeza mas acho q vc fez errado, vou fazer aqui e ver se funciona

    \ip firewall filter
    add chain=forward src-address=192.168.1.2-192.168.1.9 protocol=tcp dst-port=0-65535 action=drop
    add chain=forward src-address=192.168.1.12-192.168.1.254 protocol=tcp dst-port=0-65535 action=drop
    add chain=forward src-address=192.168.1.10-192.168.1.11 protocol=tcp dst-port=0-65535 action=accept

    flw

  7. #7

    Padrão

    Citação Postado originalmente por lenimax Ver Post
    Amigo faz isto no reply only é mais facil la vc amarra o ip que nao quer que navegue, va em interfeice na placa de saida marque reply only, va em ip arp e cadastre todos os ips mac dos clientes a interfeice deixe a de saida que ta com reply only, dai amigo e só bloquear quem vc nao quer no ip arp que nao navega.qualquer duvida e so posta ok.

    Fiz o seguinte procedimento:

    -Fui em Interface, na interface de saída coloquei a propriedade ARP para reply only
    -Fui no IP / ARP e lá já tinha todos os IP´s q uso normalmente.

    Ai surgiram as seguintes duvidas:
    -Uso do 192.168.0.1 até o 192.168.0.10, vou ter que cadastrar um-a-um do 192.168.0.11 até o 192.168.0.254?

    -Notei que nos IP´s que apareceram quando fui no IP / ARP possuia a letra "D" na frente, e que o mesmo não aceitava ser desabilitado... como faço para desabilita-lo?

  8. #8

    Padrão

    Citação Postado originalmente por webier Ver Post
    Fiz o seguinte procedimento:

    -Fui em Interface, na interface de saída coloquei a propriedade ARP para reply only
    -Fui no IP / ARP e lá já tinha todos os IP´s q uso normalmente.

    Ai surgiram as seguintes duvidas:
    -Uso do 192.168.0.1 até o 192.168.0.10, vou ter que cadastrar um-a-um do 192.168.0.11 até o 192.168.0.254?

    -Notei que nos IP´s que apareceram quando fui no IP / ARP possuia a letra "D" na frente, e que o mesmo não aceitava ser desabilitado... como faço para desabilita-lo?
    Quando aparecer o "D" é porque eles foram criados dinamicamente, o que você tem que fazer é deletar os dinamicos e add. Quanto ao número de ips que você tem... não é preciso cadastrar todos. Quando você setou a interface para reply-only, fechou a table arp (independente de ter todos os ips cadastrados).

  9. #9

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Quando aparecer o "D" é porque eles foram criados dinamicamente, o que você tem que fazer é deletar os dinamicos e add. Quanto ao número de ips que você tem... não é preciso cadastrar todos. Quando você setou a interface para reply-only, fechou a table arp (independente de ter todos os ips cadastrados).
    Entao quando escolhi reply-only, somente preciso add os IP´s que quero q naveguem no IP/ARP e os que eu nao colocar lah, não navegará?

    outra coisa, quando coloco reply-only na interface, automaticamente todos os pc´s deixam de navegar... porque? tantos os que tem o IP definido como os q nao tem...

  10. #10

    Padrão

    Citação Postado originalmente por webier Ver Post
    Entao quando escolhi reply-only, somente preciso add os IP´s que quero q naveguem no IP/ARP e os que eu nao colocar lah, não navegará?
    Isto mesmo.


    Citação Postado originalmente por webier Ver Post

    outra coisa, quando coloco reply-only na interface, automaticamente todos os pc´s deixam de navegar... porque? tantos os que tem o IP definido como os q nao tem...
    Vale observar que os ips tem que estarem cadastrado para tal interface, senão ele não funciona. Ex: interface=clientes e interface=outros. Se você setou o reply-only para a interface clientes, deve-se ter todos os clientes arps cadastrados para a interface clientes, caso tenha eles cadastrados na interface outros, não navegam.

  11. #11

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Isto mesmo.




    Vale observar que os ips tem que estarem cadastrado para tal interface, senão ele não funciona. Ex: interface=clientes e interface=outros. Se você setou o reply-only para a interface clientes, deve-se ter todos os clientes arps cadastrados para a interface clientes, caso tenha eles cadastrados na interface outros, não navegam.

    estou todas cadastrados na interface que tem o IP´s no IP/ARP...

    Será q tenho q reiniciar o servidor?

    Outra coisa, noitei que cadastro por exemplo o IP 192.168.0.2... ai desabilito ele (para esse IP nao navegar)... ai ligo a maquina q tem esse IP... ai fica 2 com o mesmo IP na lista... o que coloquei e o dinamico... sendo que o dinamico aparece o MAC da placa.

    porque?

  12. #12

    Padrão

    Isto foi porque você não marcou o reply-only na interface correta ou todas as interfaces estão conectadas num mesmo switch (lan e wan), ou mesmo, seu mikrotik tá bugado.

    Verifique isto ae.

  13. #13

    Padrão

    Citação Postado originalmente por Raniel Ver Post
    Isto foi porque você não marcou o reply-only na interface correta ou todas as interfaces estão conectadas num mesmo switch (lan e wan), ou mesmo, seu mikrotik tá bugado.

    Verifique isto ae.
    xô explicar:

    Possuo uma lan de 10 pcs... todos estão conectado via hub x placas de redes por cabos partrançado... meu servidor está ligado numa porta comum do hub.

    no servidor possuo MK, com duas placas... uma de rede comum(3com) e outra Wireless (atheros)... recebo a internet via placa wireless e distribuo para meu hub via rede local.

    nesse servidor tem WebProxy e DHCP...

    As duas Interfaces são chamadas assim: Internet (placa wireless) e Clientes (rede local).

    Gostaria somente de Liberar do IP 192.168.0.1 até 192.168.0.10... dai pra frente ninguem mais navega sem ter esses IP´s.

    Como faço isso

  14. #14

    Padrão

    Estranho amigo, era para funcionar tranquilamente. Seguinte, poste aí seu arp (/ip arp print) e as propriedades da interface que quer bloquear.

    Façamos assim, refaça tudo ae:

    Crie a sua rede desta forma, já que usa apenas 10 ips, ip add add address=192.168.10.1/28(mask = 255.255.255.240) - assim terá apenas 16 hosts, mas apenas 14 estarão disponíveis.

    Já que está usando o servidor dhcp, coloque a pool como static e cadastre os pcs na leases: /ip dhcp-server add name=dhcp-server interface=clientes add-arp=no address-pool=static-only

    Set sua interface como reply-only: /interface ethernet set clientes arp=reply-only

    Com base nisto aí você deve resolver seu problema.

    Qualquer coisa...

  15. #15

    Padrão

    Isto mesmo amigo nao esqueça de colocar o mac das placas tambem se nao nao navega.