Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Cliente enxergando outro

    Boa noite amigo,

    Bom estou com um probleminha que pode acabar virando um problemão se não for solucionado o quanto antes.

    Vou falar um pouco da minha rede para que entenda e tenham uma noção da minha situação:

    Bom aqui no prédio da loja tenho a rede cabeada que é ligada ao Swith que liga também os rádios, hoje tenho 2 Edimax e um MK AP na torre.

    Agora o problema:

    Acontece que tenho algumas empresas, onde os computadores que tem compartilhamento ativo são enxergados tanto por clientes da rede cabeada quanto por clientes via rádio. Eu já tinha visto que estava acontecendo isso mas não me atentei para o perigo, um cliente de uma das empresas me ligou essa semana dizendo que ao acessar sua rede viu outros computadores, inclusive os computadores de uma outra empresa que é concorrente desta, por tanto, já pensou se um deles apagam arquivos do outro para levar vantagem, ainda bem que esse cliente que viu é uma pessoa super honesta e me perguntou o pq daquilo, disse a ele que foi propositalmente que estava aparecendo pois eu estava realizando alguns testes na rede, com isso prometi solucionar esse problema.

    Com isso já quebrei a cabeça e não consegui resolver tal problema, alguém poderia me ajudar, provavelmente alguém já passou por este problema.


    Grato pela atenção de todos.

    Stanley Leal
    Sobradinho - DF
    61 84290789 - 34873487

  2. #2

    Padrão

    Citação Postado originalmente por stanleyleal Ver Post
    Boa noite amigo,

    Bom estou com um probleminha que pode acabar virando um problemão se não for solucionado o quanto antes.

    Vou falar um pouco da minha rede para que entenda e tenham uma noção da minha situação:

    Bom aqui no prédio da loja tenho a rede cabeada que é ligada ao Swith que liga também os rádios, hoje tenho 2 Edimax e um MK AP na torre.

    Agora o problema:

    Acontece que tenho algumas empresas, onde os computadores que tem compartilhamento ativo são enxergados tanto por clientes da rede cabeada quanto por clientes via rádio. Eu já tinha visto que estava acontecendo isso mas não me atentei para o perigo, um cliente de uma das empresas me ligou essa semana dizendo que ao acessar sua rede viu outros computadores, inclusive os computadores de uma outra empresa que é concorrente desta, por tanto, já pensou se um deles apagam arquivos do outro para levar vantagem, ainda bem que esse cliente que viu é uma pessoa super honesta e me perguntou o pq daquilo, disse a ele que foi propositalmente que estava aparecendo pois eu estava realizando alguns testes na rede, com isso prometi solucionar esse problema.

    Com isso já quebrei a cabeça e não consegui resolver tal problema, alguém poderia me ajudar, provavelmente alguém já passou por este problema.


    Grato pela atenção de todos.

    Stanley Leal
    Sobradinho - DF
    61 84290789 - 34873487
    Desativar a opção "default forward" da tua interface wireless no mkt ap. Aí teus clientes que estiverem conectados via rádio não vão mais se ver, e os que estiverem conectados via cabo não vão ver os conectados via rádio também. Quanto aos clientes conectados via cabo verem uns aos outros, creio que só mudando a faixa de ip deles. Cada cliente em uma faixa de ip diferente. E caso vc use pppoe, você tem que alertar os clientes para não usarem ips fixos em suas interfaces ethernet, pois se usarem fixos com a mesma faixa, vão se enxergar. Diga a eles pra usarem isso apenas quando QUIZEREM se enxergar, tipo pra jogar em rede. Deve ter possibilidades que eu não cobri aqui, pois sou novato na coisa, mas creio que já dá pra ajudar um bocado. Quanto aos rádios zinwell, nunca usei, não sei como funcionam. Mas devem ter uma opção similar à "default forward" do mkt. Boa sorte.

    Anh, a opção "default forward" está na aba "wireless" da tua interface wireless no mkt. mais fácil fazer por lá do que via terminal.

  3. #3

    Cool bloqueio cliente se enxergarem

    ip/firewall/filter

    add chain=forward src-address=192.168.0.0 dst-address=192.168.0.254 action=drop

  4. #4

    Padrão Topologia...

    So vendo toda sua topologia pra dar uma opinião definitiva...
    Posta ai como esta a disposição dos equip, ip's utilizados etc...
    As dicas dos colegas acima foram de grande valia, mas so analozando seu caso vamos poder ajudar...

  5. #5

    Padrão Estrutura e equipamentos atualmente em uso

    BASE:
    Hoje tenho na minha BASE um servidor MK gerenciando toda a minha rede composta por uma torre que deve ter uns 30m, nessa torre tenho 3 Edimax com antenas direcionais, mandando sinal para outras três repetidoras e alguns clientes, essa semana instalei na torre um AP MK com 3 Placas Dlink, para testar comprei 2 Dwl-510 e 1 Dwl-520, em cada placa está ligada um PAINEL SETORIAL 120°, que são apenas para teste, se funcionar bem permanecerei com eles por um tempo, caso não funcione comprarei 4 painéis de 90° Hyperlink, mas como o custo desses foi zero e dos Hyperlink são em torno de R350,00, optei em testar estes, lembrando que o AP MK ainda não está em uso com os clientes, ainda irei fazer alguns testes.

    REPETIDORAS:
    A maioria dos meus clientes estão concentrados próximo as REPETIDORAS, que possuem sempre 02 AP´s, "2 Edimax ou 2 Ovislink", sempre com uma GRADE para receber o sinal e uma OMNI para retransmitir, essas REPETIDORAS geralmente atendem uma área de no máximo uns 500m².

    SWITH:
    Tenho um swith de 24 portas 3com, que por sua vez liga o MODEM, RÁDIOS E AP MK, liga nele também a rede interna do prédio "CABEADA". Tenho um Swith Encore em cada andar e no subsolo, mando a rede para os clientes do prédio pelos dutos de telefone, ficou bem legal, tudo arrumadinho.

    FUNCIONAMENTO DO SERVIDOR::
    Utilizo o sistema DHCP, devido a praticidade oferecida por tal recurso, desde que configurei, mantive assim e permaneci. Não sei se foi mais fácil assim, mas foi como consegui fazer.
    Utilizo da seguinte forma, tenho a faixa de IP liberada para os clientes pegarem, apartir do momento que o cliente conecta a primeira vez ele pega um dos IP´s dentro daqueles liberados, com isso fixo tal IP, onde toda vez que o cliente entrar o DHCP irá lhe fornecer aquele IP que eu fixei, não havendo necessidade de configurar um IP fixo nos clientes, "muitos já me disseram que tem a maior dor de cabeça com isso, pois alguns tem Notebook e usa na rede de casa e do trabalho", dessa forma o cliente define para pegar o IP AUTOMÁTICO e o SERVIDOR libera aquele IP que fora fixado.
    Estou utilizando IP 10.1.1.xxx para os clientes.

    Bom minha configuração básica é esta.

    Tenho muitas coisas que pretendo implementar em meu servidor, mas a principal creio que seja fazer com que OS CLIENTES NÃO SE ENXERGUEM, pois isso pode acarretar um sério problema, pra meus clientes e até mesmo pra mim, uma vez que até os computadores da minha loja está aparecendo na rede, mas os da loja escondo os compartilhamentos, mas nos clientes não tem como fazer isso, cada cliente tem seu técnico e trabalha de uma forma.

    Desculpem o LIVRO que escrevi, é que as vezes me empolgo, mas era necessário para explicar o funcionamento, para que possam me ajudar melhor.

    Desde já agradeço a atenção de todos.

    Stanley Leal
    Sobradinho - DF
    61 84290789 - 34873487

  6. #6

    Padrão Range...

    Basicamente vc utiliza 1 range de ip's para todos os clientes...
    se vc desmarcar o forward dos radios, entre os radios a comunicacao vai continuar...
    e seus clientes cabeados tb...
    como vc utiliza dhcp...o mais facil seria vc utilizar mascara 252 nos clientes...criando um gateway para cada um...
    exemplo

    cliente 1
    gateway
    10.1.1.1/30
    cliente
    10.1.1.2/30

    cliente 2
    gateway
    10.1.2.1/30
    cliente
    10.1.2.2/30

    acho q isso resolveria seu problema e adicionar a seguinte regra em seu firewall...
    /ip firewall filter add chain=forward src-address=10.1.0.0/16 dst-address=10.1.0.0/16 action=drop

  7. #7

    Padrão

    Amigo, para que seus clientes não mais se encherguem, você terá que ativar o Block Relay nos seus APs, pois eles são responsáveis por deixar o tráfego fluir entre os clientes.
    Fazendo isso nos seus APs, os clientes não mais se enchergarão, fazendo com que todo o tráfego vindo dos clientes transcorra para o seu servidor, lhe garantindo um firewall seguro (se aplicado) em seus clientes.

    Espero ter ajudado.

  8. #8

    Padrão

    bloqueia forward nas porta 137 a 139 .. tcp e udp.. ja resolve

    e desmarca o default forward das interfaces wireless

  9. #9

    Padrão

    Citação Postado originalmente por stanleyleal Ver Post
    Boa noite amigo,

    Bom estou com um probleminha que pode acabar virando um problemão se não for solucionado o quanto antes.

    Vou falar um pouco da minha rede para que entenda e tenham uma noção da minha situação:

    Bom aqui no prédio da loja tenho a rede cabeada que é ligada ao Swith que liga também os rádios, hoje tenho 2 Edimax e um MK AP na torre.

    Agora o problema:

    Acontece que tenho algumas empresas, onde os computadores que tem compartilhamento ativo são enxergados tanto por clientes da rede cabeada quanto por clientes via rádio. Eu já tinha visto que estava acontecendo isso mas não me atentei para o perigo, um cliente de uma das empresas me ligou essa semana dizendo que ao acessar sua rede viu outros computadores, inclusive os computadores de uma outra empresa que é concorrente desta, por tanto, já pensou se um deles apagam arquivos do outro para levar vantagem, ainda bem que esse cliente que viu é uma pessoa super honesta e me perguntou o pq daquilo, disse a ele que foi propositalmente que estava aparecendo pois eu estava realizando alguns testes na rede, com isso prometi solucionar esse problema.

    Com isso já quebrei a cabeça e não consegui resolver tal problema, alguém poderia me ajudar, provavelmente alguém já passou por este problema.


    Grato pela atenção de todos.

    Stanley Leal
    Sobradinho - DF
    61 84290789 - 34873487
    Amigo se vc ta usando switch para interligar tudo, inevitavelmente, mesmo com todas as dicas dos colegas, o tráfego vai fluir pelo switch, sugiro que substitua esse switch por um outro mas sofisticado onde se possa realizar o bloqueio. Dependendo do número de portas que vc precisar pode criar u mpequeno router mk pra servir de switch, procure uma placa mae que tenha bastante slot pci, pode ser uma maquina antiga e instale várias placas de rede, assim terá condição de bloquear ou permitir o tráfego entre as portas

  10. #10

    Thumbs up

    acho q isso resolveria seu problema e adicionar a seguinte regra em seu firewall...
    /ip firewall filter add chain=forward src-address=10.1.0.0/16 dst-address=10.1.0.0/16 action=drop[/QUOTE]


    bom o ip que vc colocou é so um exemplo, ou a regra segue dessa forma mesmo?

  11. #11

    Padrão

    Amigo
    Voce esta com um serio problema,

    Pois se voce bloquea os clientes, via firewall, tanto bloqueando as portas netbios como bloequeando o trafego entre os clientes, a rede interna de cada empresa vai para de funcionar tb, ou seja se voce bloquea a classe 10.1.0.0/16 a empresa que tiver dentro dela 2 ips para rede internet ex: 10.1.1.5 e 10.1.1.6 a rede deles nao ira funcionar.

    A melhor solucao para seu problema de momento, é criar uma classe de ip para cada apartamento, ou para cada empresa que voce tem no predio. Vai dar um pouco de trabalho mas tudo bem.

    Quanto aos clientes via radio, se voce tiver somente 1 cartao wireles desabilita a opcao forward, se tiver mais de 1 cartao, bloqueia via firewall com as linhas que os amigos do forum postaram ai.

    Abraco,

  12. #12

    Thumbs up

    tambem tenho isso acontecendo aqui no meu mikrotik, tenho um routerboard kodama com memoria flash dois cartoes, Atheros uso um deles como ap bridge, gostaria de saber como faça pra que os clientes não se enxerguem, pois já desmarquei a opção "default forward" e não resolveu. sou grato a qualquer ajuda.

  13. #13

    Padrão

    Certo
    Voce usa um deles como apbridge e o outro como station???
    Qual classe de ip que voce usa ai??

  14. #14

    Thumbs up Cliente enxergando o outro

    sim, todo minha rede é sem fio, não uso cabos.

    tem dois cartoes, porem só uso um como apbridge, o outros esta desativando.

    rede
    192.168.20.1/24

    no cliente
    192.168.20.2
    gatway
    192.168.20.1
    sendo que em todos os clientes uso DNS primario e secundario, desculpe amigo se não ficou claro é que ainda sou iniciante em mikrotik, sou grato pela sua ajuda.

  15. #15

    Padrão

    Citação Postado originalmente por dnp Ver Post
    sim, todo minha rede é sem fio, não uso cabos.

    tem dois cartoes, porem só uso um como apbridge, o outros esta desativando.

    rede
    192.168.20.1/24

    no cliente
    192.168.20.2
    gatway
    192.168.20.1
    sendo que em todos os clientes uso DNS primario e secundario, desculpe amigo se não ficou claro é que ainda sou iniciante em mikrotik, sou grato pela sua ajuda.
    Bom
    Seguinte
    3 Alternativas


    Desativar a opcao Default Forward na Interface wireles q esta em Ap.
    /interface wireless set "sua placa wireless" default-forwarding=no


    Voce pode bloquear todo trafego entre os ips desta classe.
    /ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.20.0/24 action=drop
    Ps. Neste caso nem o ping ira funcionar, todo trafego q tiver entre essa classe de ip 192.168.20.0/24 ira ser dropado


    Voce pode apenas bloquear o trafego nas portas netbios.
    /ip firewall filter
    add chain=forward src-address=192.168.20.0/24 dst-address=192.168.20.0/24 protocol=tcp src-port=135-139 dst-port=135-139 action=drop

    add chain=forward src-address=192.168.20.0/24 dst-address=192.168.20.0/24 protocol=tcp src-port=445 dst-port=445 action=drop

    add chain=forward src-address=192.168.20.0/24 dst-address=192.168.20.0/24 protocol=udp src-port=445 dst-port=445 action=drop

    add chain=forward src-address=192.168.20.0/24 dst-address=192.168.20.0/24 protocol=udp src-port=135-139 dst-port=135-139 action=drop

    Assim voce ira apneas bloquear o trafego na porta netbios, eu uso assim aqui =]

    Abraco

  16. #16

    Padrão

    Amigo, se você usa rádios normais como APs, é só ativar a opção Block Relay que tem nas configurações deles.

    Apenas isso.

  17. #17

    Padrão

    o problema eh que se voce tiver mais de 1 radio ligado no mesmo segmento.. eles um cliente de um radio.. consegue enxergar o outro.. (mesmo estando com block relay ativado)...

    block relay funciona para clientes do mesmo CARTAO e/ou AP ..

  18. #18

    Padrão

    Certo certo...
    Então, o ideal era que cada AP estivesse em uma faixa de rede, ligados a um roteador, que fizesse a função do firewall que ele tá precisando...

    Mudar as redes, não resolve seu problema não?

  19. #19

    Padrão 252

    Como ja havia dito anteriormente a solucao dele eh utilizar mascara 252 pq assim vc força o cliente a passar pelo gateway podendo bloquear o q vc quiser...como vc usa fica facil vc mudar os ips dos clientes...eles nem vao saber...abracos...

  20. #20

    Padrão Dhcp

    esqueci de colocar dchp...

    ...como vc utiliza dhcp...