FPI - Fórum para Provedores de Internet
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
FPI - Fórum para Provedores de Internet


Você não está conectado. Conecte-se ou registre-se

Dúvida Firewall Bridge Mikrotik (Resolvido)

4 participantes

Ir para baixo  Mensagem [Página 1 de 1]

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

Bom dia a todos!!

Galera, aqui estou de novo como mais uma dúvida. Estou com um pequeno problema em uma bridge relacionado ao firewall. Possuo uma RB433UAH em um segmento da minha rede que uso como bridge, configurei filtros para somente passar requisições PPPoE, os quais funcionam perfeitamente, porém me deparei com o seguinte problema, há clientes que não posso configurar nenhum tipo de túnel e tenho que configurar IP Fixo e é aí que surge minha dor de cabeça. O que bloqueia os IPs é uma regra que dropa requisições ARP no Forward, mesmo se eu colocar um filtro que libere antes desta regra, eu não consigo liberar o ip. Certas vezes, se eu desabilitar o filtro que bloqueia o arp, consigo navegar sem problemas (É claro), se eu ativar de novo, eu continuo navegando até eu reiniciar o pc ou o firewall. Seguem abaixo os filtros que criei com os respectivos Accepts e Drops.



/interface bridge filter
add action=accept chain=forward comment="LAPTOP PRETO OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.253/32
add action=accept chain=forward comment="LAPTOP PRETO IN" disabled=no dst-address=172.16.10.253/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="NETBOOK AZUL OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.252/32
add action=accept chain=forward comment="NETBOOK AZUL IN" disabled=no dst-address=172.16.10.252/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1847 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.17.3/32
add action=accept chain=forward comment="CLIENTE 1847 IN" disabled=no dst-address=172.16.17.3/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1903 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.30.32/32
add action=accept chain=forward comment="CLIENTE 1903 IN" disabled=no dst-address=172.16.30.32/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-SESSION" disabled=no mac-protocol=pppoe
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-SESSION" disabled=no mac-protocol=pppoe packet-mark=""
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=drop chain=input comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=input comment="BLOQUEIA DESCOBERTA DE VIZINHAN\C7A" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=input comment="BLOQUEIA INGRESSO VLAN" disabled=no mac-protocol=vlan
add action=drop chain=input comment="BLOQUEIA INGRESSO IPX" disabled=no mac-protocol=ipx
add action=drop chain=input comment="BLOQUEIA INGRESSO IPV6" disabled=no mac-protocol=ipv6
add action=drop chain=forward comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=forward comment="BLOQUEIO DE BROADCAST" disabled=no mac-protocol=ip packet-type=broadcast
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 TCP" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 UDP" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no dst-port=10001 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD IP" disabled=no mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD ARP" disabled=no mac-protocol=arp
add action=drop chain=forward comment="BLOQUEIA FORWARD RARP" disabled=no mac-protocol=rarp
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=forward comment="BLOQUEIA FORWARD VLAN" disabled=no mac-protocol=vlan
add action=drop chain=forward comment="BLOQUEIA FORWARD IPX" disabled=no mac-protocol=ipx
add action=drop chain=forward comment="BLOQUEIA FORWARD IPV6" disabled=no mac-protocol=ipv6



OBS.: A REDE É TODA CABEADA.


Agradeço a resposta. Um bom dia a todos.

demattos

demattos
MODERADOR
MODERADOR

Nightwolf escreveu:Bom dia a todos!!

Galera, aqui estou de novo como mais uma dúvida. Estou com um pequeno problema em uma bridge relacionado ao firewall. Possuo uma RB433UAH em um segmento da minha rede que uso como bridge, configurei filtros para somente passar requisições PPPoE, os quais funcionam perfeitamente, porém me deparei com o seguinte problema, há clientes que não posso configurar nenhum tipo de túnel e tenho que configurar IP Fixo e é aí que surge minha dor de cabeça. O que bloqueia os IPs é uma regra que dropa requisições ARP no Forward, mesmo se eu colocar um filtro que libere antes desta regra, eu não consigo liberar o ip. Certas vezes, se eu desabilitar o filtro que bloqueia o arp, consigo navegar sem problmas (É claro), se eu ativar de novo, eu continuo navegando até eu reiniciar o pc ou o firewall. Seguem abaixo os filtros que criei com os respectivos Accepts e Drops.



/interface bridge filter
add action=accept chain=forward comment="LAPTOP PRETO OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.253/32
add action=accept chain=forward comment="LAPTOP PRETO IN" disabled=no dst-address=172.16.10.253/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="NETBOOK AZUL OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.252/32
add action=accept chain=forward comment="NETBOOK AZUL IN" disabled=no dst-address=172.16.10.252/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1847 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.17.3/32
add action=accept chain=forward comment="CLIENTE 1847 IN" disabled=no dst-address=172.16.17.3/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1903 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.30.32/32
add action=accept chain=forward comment="CLIENTE 1903 IN" disabled=no dst-address=172.16.30.32/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-SESSION" disabled=no mac-protocol=pppoe
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-SESSION" disabled=no mac-protocol=pppoe packet-mark=""
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=drop chain=input comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=input comment="BLOQUEIA DESCOBERTA DE VIZINHAN\C7A" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=input comment="BLOQUEIA INGRESSO VLAN" disabled=no mac-protocol=vlan
add action=drop chain=input comment="BLOQUEIA INGRESSO IPX" disabled=no mac-protocol=ipx
add action=drop chain=input comment="BLOQUEIA INGRESSO IPV6" disabled=no mac-protocol=ipv6
add action=drop chain=forward comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=forward comment="BLOQUEIO DE BROADCAST" disabled=no mac-protocol=ip packet-type=broadcast
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 TCP" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 UDP" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no dst-port=10001 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD IP" disabled=no mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD ARP" disabled=no mac-protocol=arp
add action=drop chain=forward comment="BLOQUEIA FORWARD RARP" disabled=no mac-protocol=rarp
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=forward comment="BLOQUEIA FORWARD VLAN" disabled=no mac-protocol=vlan
add action=drop chain=forward comment="BLOQUEIA FORWARD IPX" disabled=no mac-protocol=ipx
add action=drop chain=forward comment="BLOQUEIA FORWARD IPV6" disabled=no mac-protocol=ipv6



OBS.: A REDE É TODA CABEADA.


Agradeço a resposta. Um bom dia a todos.

Amigo uma ideia, vamos la:


Geralmente nas interface que recebe autenticacao pppoe nao se coloca ip para questao de sergurança e nao ocorrer que alguém descubra a faixa de ip consiga fazer uma conexão e navegar. Ja que vc deseja entregar ip fixo sem autenticacao para alguns clientes vc pode amarrar ip X mac na tabela Arp da rb sem fazer regras na bridge . Voce vai na opcao ip / arp e add o ip e o mac que vc quer controlar ( nao esquecer de colocar na interface na opcao ARP para reply-only. observacoa nao esquece de criar um NAT masquared para o ip em questao para que ele navegue claro isto depende como esta realizado configuraco seu NAT.

Exemplo :

chain=srcnat action=masquerade out-interface=ether1 ( este aceitara qualquer ip que trafegar na sua RB )
ou

chain=srcnat action=masquerade src-address=IP fixo liberado out-interface=ethe1 ( inteface de entrada do link )
Obs desta forma so tera navegacao o ip que que estiver feito o masquerade

Duvidas pode postar ai amigo ou me add no skype estou invisível mas estou aqui


abraço



http://www.criciumanet.com.br

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

Bom dia!! Obrigado pela resposta. No caso a estrutura da rede aqui neste segmento está assim:

FIREWALL ==> SERVER DE AUTENTICAÇÃO ==> SEGMENTO A ==> BRIDGE ==> SEGMENTO B

Neste caso eu quero que alguns clientes do "SEGMENTO B" que usam IP Fixo tenham acesso ao "SERVER DE AUTENTICAÇÃO" através da BRIDGE, e é justamente isso que não estou conseguindo porque a BRIDGE não deixa passar de jeito nenhum, pois o firewall bloqueia. Os serviços PPPoE funcionam perfeitamente, mas os ips não passam. Eu não desejo, de fato, transformar a Bridg em gateway, por questões de segurança. Na verdade, só quero que a bridge deixe passar os somente os IPs que eu quero.

To começando achar que isto á um grande problema. Agradeço a resposta.

demattos

demattos
MODERADOR
MODERADOR

Boa Tarde amigo conseguiu resolver seu problema? Gostaria de saber para poder ajudar caso não tenha conseguido.

abraço

http://www.criciumanet.com.br

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

demattos escreveu:Boa Tarde amigo conseguiu resolver seu problema? Gostaria de saber para poder ajudar caso não tenha conseguido.

abraço

Bom dia

Na verdade, ainda não consegui ainda, estou com algumas dificuldades em implementar uma regra de excessão n firewal para passar os ips que eu quero. As vezes me parece que o firewall da bridge não funciona de forma sequencial. Se puder me ajudar nessa empreitada, ficarei agradecido.

Tenha, um bom dia.

demattos

demattos
MODERADOR
MODERADOR

boa noite, uma pergunta , chegou a desativar todas as regras de firewall para ver se funciona ? estou achando que não seja firewall mas , configuração da rede.

http://www.criciumanet.com.br

cobausque


Iniciante
Iniciante

Nightwolf escreveu:
demattos escreveu:Boa Tarde amigo conseguiu resolver seu problema? Gostaria de saber para poder ajudar caso não tenha conseguido.

abraço

Bom dia

Na verdade, ainda não consegui ainda, estou com algumas dificuldades em implementar uma regra de excessão n firewal para passar os ips que eu quero. As vezes me parece que o firewall da bridge não funciona de forma sequencial. Se puder me ajudar nessa empreitada, ficarei agradecido.

Tenha, um bom dia.




Mas amigo seu filtro na bridge e para evitar boradcast ? qual a finalidade dele na bridge ??

demattos

demattos
MODERADOR
MODERADOR

cobausque escreveu:
Nightwolf escreveu:
demattos escreveu:Boa Tarde amigo conseguiu resolver seu problema? Gostaria de saber para poder ajudar caso não tenha conseguido.

abraço

Bom dia

Na verdade, ainda não consegui ainda, estou com algumas dificuldades em implementar uma regra de excessão n firewal para passar os ips que eu quero. As vezes me parece que o firewall da bridge não funciona de forma sequencial. Se puder me ajudar nessa empreitada, ficarei agradecido.

Tenha, um bom dia.




Mas amigo seu filtro na bridge e para evitar boradcast ? qual a finalidade dele na bridge ??

todas aquela regras somente com esta finalidade broadcast? e um detalhe a bridge so une as interfaces na camada 2 se vc observar vai notar que o trafico na bridge nao e a mesma das interfaces , eu pedi para desabilitar uma por nao conhecer sua rede e outra achando muito estranho um ip esta sendo barrado ao passar pela bridge. Quande pedi para parar o firewall nao e so da bridge mas qualquer outro que tenha ativo em seu sistema para ter certeza que nao tenha regras conflitando. tenho aqui na minha rede um concentrador PPPOE que justamente fornece ip publico ou fixo com chaman para empresas e passa por bridge, esta com regras simples que limita o trafico de broadcast para nao ultrapassar o limite que venha prejudicar a rede.

http://www.criciumanet.com.br

cobausque


Iniciante
Iniciante

Bom no provedor onde estou tenho usado no caso de bridges onde tenho trafego de clintes faço somente filtros sobre o ARP nao utilizo filtros com base no firewall mas sim no filtro bridge .
O restante dos filtros deixo nos pontos de autenticação dos clientes
No caso estou trabalhando com pppoe e hotspot sem problemas ...

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

demattos escreveu:boa noite, uma pergunta , chegou a desativar todas as regras de firewall para ver se funciona ? estou achando que não seja firewall mas , configuração da rede.

Eu desativei sim!!! Funciona normalmente. Quando ativo a regra "add action=drop chain=forward comment="BLOQUEIA FORWARD ARP" disabled=no mac-protocol=arp", não consigo mais ter nenhuma resposta. Embora eu tenha filtros que liberam tais IPs antes dessa regra.

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

cobausque escreveu:
Nightwolf escreveu:
demattos escreveu:Boa Tarde amigo conseguiu resolver seu problema? Gostaria de saber para poder ajudar caso não tenha conseguido.

abraço

Bom dia

Na verdade, ainda não consegui ainda, estou com algumas dificuldades em implementar uma regra de excessão n firewal para passar os ips que eu quero. As vezes me parece que o firewall da bridge não funciona de forma sequencial. Se puder me ajudar nessa empreitada, ficarei agradecido.

Tenha, um bom dia.




Mas amigo seu filtro na bridge e para evitar boradcast ? qual a finalidade dele na bridge ??

É para evitar loops de rede. Não quero que na passe pela Bridge, que os problemas do segmento fiquem somente no segmento. Com estas regras que estão configuradas, tudo funciona perfeitamente com exceção dos IPs configurados no segmento atrás da Bridge que não conseguem chegar ao Gateway antes da Bridge.

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

No caso a estrutura da rede aqui neste segmento está assim:

FIREWALL ==> SERVER DE AUTENTICAÇÃO ==> SEGMENTO A ==> BRIDGE ==> SEGMENTO B

Neste caso eu quero que alguns clientes do "SEGMENTO B" que usam IP Fixo tenham acesso ao "SERVER DE AUTENTICAÇÃO" através da BRIDGE, e é justamente isso que não estou conseguindo porque a BRIDGE não deixa passar de jeito nenhum, pois o firewall bloqueia. Os serviços PPPoE funcionam perfeitamente, mas os ips não passam. Eu não desejo, de fato, transformar a BRIDGE em GATEWAY, por questões de segurança. Na verdade, só quero que a bridge deixe passar os somente os IPs que eu quero.

demattos

demattos
MODERADOR
MODERADOR

Amigo sugiro uma lida neste pdf muito bom e acredito que sera de proveito para todos os que aplicam bridge em suas redes e querem mais segurança, ele trata de assuntos referente a segurança e tratamento de loops na rede de forma simples e detalhada
http://mum.mikrotik.com/presentations/BR11/2_Velez.pdf

Outro endereço e este onde e aplicado também limite de broadcast, lembrando que não podemos eliminar completamente o broadcast da rede se não alguns serviços que exigem o mesmo param de funcionar segue ai um site http://tecoytech.blogspot.com.br/2010/12/bloqueando-broacast-no-radio-mikrotik.html

abraço a todos

http://www.criciumanet.com.br

Nightwolf

Nightwolf
Colaborador Iniciante
Colaborador Iniciante

Bom dia, galera

Para todos que responderam um muito obrigado. Consegui resolver o problema. No caso, é preciso liberar o ARP SRC e DST MAC ADDRESS e depois o IP requerido. Não consegui através de marcação de rotas, mas está funcionando bem através dos filtros da bridge. A minha intenção é bloquear tudo mesmo, só deixar passar requisições PPPoE e algum IP FIXO, nada mais, porque não há necessidade. Agradeço a todos pela ajuda. PROBLEMA RESOLVIDO.

Marcio Marques

Marcio Marques
ADMINISTRADOR FUNDADOR
ADMINISTRADOR FUNDADOR

Nightwolf escreveu:Bom dia, galera

Para todos que responderam um muito obrigado. Consegui resolver o problema. No caso, é preciso liberar o ARP SRC e DST MAC ADDRESS e depois o IP requerido. Não consegui através de marcação de rotas, mas está funcionando bem através dos filtros da bridge. A minha intenção é bloquear tudo mesmo, só deixar passar requisições PPPoE e algum IP FIXO, nada mais, porque não há necessidade. Agradeço a todos pela ajuda. PROBLEMA RESOLVIDO.

Muito obrigado amigo por retornar e relatar sobre seu problema e a solução ..

Abraço !

http://marquescsh.blogspot.com

Conteúdo patrocinado



Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos