Recentemente, adquirimos dois rádios da Mikrotik para interligar a unidade principal da empresa a um prédio que fica próximo, alguns metros de distância. Os rádios foram instalados nos dois locais e configurados no modo bridge. Desta forma, todos os pacotes são encaminhados entre os rádios, gerando um problema: se tudo é transferido para a outra ponta, o tráfego broadcast também e? A resposta é sim!
Isso gerou vários transtornos, pois eles interligam duas sub-redes com faixa de endereços IP diferentes, porém, com o broadcast viajando pra todo lado, uma estação ao ser ligada, por exemplo, enviava um broadcast solicitando um endereço IP para um servidor DHCP e, às vezes, recebia resposta do que estava instalado em outra sub-rede.
Bem, após várias consultas ao Google, encontrei um fórum onde simplesmente era dito que se deveria "criar um filtro para o tráfego de broacast na bridge". Legal, mas e aí, onde raios fica isso? Bem, resolvi escrever este artigo, pois ele complementa, explicando como realizar a tal configuração.
Outro comentário que gostaria de fazer é que também foi criado um filtro para bloquear os pacotes arp, pois, ele só é utilizado na comunição de computadores em uma mesma sub-rede.
Bem, vamos a obra.
Gostaria de lembrar que na interface web do rádio não há esta opção. É necessário utilizar o winbox.
Após efetuar o logon, na tela inicial, clique em Bridge.
Em seguida, será aberta a tela de configuração da bridge. Vá na aba Filters e clique no botão indicado na figura abaixo.
Primeiramente, vamos criar o filtro que bloqueia os pacotes arp. Assim, nas configurações do novo filtro, deve-se escolher o chain FORWARD, o qual é aplicado aos pacotes que trafegam através do rádio, de uma interface a outra. As configurações devem ficar iguais a exibida na figura abaixo.
Para finalizar, é necessário acessar a aba Action e escolher drop.
Após clicar em OK, o filtro será criado.
Agora, vamos para a criação da regra que bloqueia o broadcast.
Na tela de criação do novo filtro, com exceção da opção MAC Protocol, as demais são iguais a do filtro para o protocolo arp.
Em seguida, deve-se acessar a aba Advanced e em Packet Type selecionar Broadcast.
Para finalizar, escolha drop na aba Action e clique em OK para salvar as alterações.
Após a criação dos filtros, eles serão exibidos conforme abaixo.
Um abraço e até a próxima.
Gostei do post e tenho uma duvida...
ResponderExcluirNo caso onde o MK repassa os MACs para autenticar no servidor onde fica o cadastros dos clientes, se eu bloquear o MAC, o cliente ficará sem conexão... correto?
Olá Gustavo! Bem no cenário descrito no artigo, o rádio era utilizado para interligar duas redes com endereços IP diferentes. Por exemplo, uma rede tem o endereço 192.168.1.0/24 e a outra 192.168.2.0/24. O bloqueio do broadcast e do arp não interfere na comunicação entre elas, pois o Mikrotik era utilizado como um roteador. Agora, se o Mikrotik é utilizado para interligar dois seguimentos de rede onde os dois possuem o mesmo endereço IP, por exemplo, 192.168.1.0/24, o broacast e o arp não podem ser bloqueados, pois todos os computadores fazem parte da mesma rede local.
ResponderExcluirQuando eu ativo a regra que bloqueia o broadcast os clientes param de comunicar com o servidor, é normal isso?
ResponderExcluirEnio, o bloqueio do broadcast impede que o tráfego como DHCP, por exemplo, vá para o outro site. No nosso caso, foi necessário configurar endereços de IP nos rádios e configurar rotas estáticas nas duas pontas para permitir a comunicação entre as redes. Bloqueamos o broadcast naquele caso, pois os rádios interligavam redes com endereços de rede diferentes. Abraços.
ResponderExcluirRafael, tenho 5 torres com rbs tudo em bridge, meus usuarios saõ autenticados pelo mac + ip fixo em um servidor linux. tem um palhaço que fica entrando nos radios dos outros altera e fica utilizando net scan, o que eu poderia fazer para bloquear isso.
ResponderExcluirAgradeço a atenção
Lucio
Boa tarde! Desculpe a demora... Cara, honestamente, na época que escrevi este artigo estava trabalhando em outra empresa. Faz mais de um ano que saí de lá. Nem lembro mais da interface do Radio...
Excluir