Forum

Ping alto nas RB´s

Postado por Alexandre Porfirio Nunes em 3 de Setembro de 2010 às 12:01
Pessoal tava desde domingo sofrendo com pings altos nos meus cartoes aqui. São o xr2, troquei cartao, testei aterramento, baixei potencia, olhei CCQ, ACK, mudei canal, fiz tanta da coisa que nem tenho como descrever tudo. Nas minhas RB tenho filtro de bridge apenas, o firewall deixo desabilitado, inclusive connection traking, para nao ficar usando processamento da RB, os filtro bloqueiam trafego entre clientes, pacotes espurios., mais mesmo assim tava alto, ontem a noite, resolvi desmarcar os default altentication e usar o sistema do pedro configurado para acessar os rádios somente quem ta com mac no sistema cadastrado, pois não é que resolveu, melhorou coisa de uns 80%. Bem meu tópico é para agradecer ao Pedro, e relatar o benefício porque pode ter mais gente com problema de ping por ai que pode ser resolvido assim.
Visualizações: 58

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: acesso, ajuda, controle, sistema
Votos 0
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho Setembro 5, 2010 1:05
    realmente se deixar liberado para todos tem mala que acessa somente para ficar trocando dados pela rede do provedor.
  • Genivaldo Setembro 5, 2010 8:31
    Olá Pedro, já tive este problema e resollví com muito custo trocando os canais, em uma coloquei o canal 1 e na outra o ultimo canal, só foi resolvido esse problema.
    Me diz onde encontro a tua solução que o Alexandre menciona neste tópico.
    Grato!

    Pedro Filho disse:
    realmente se deixar liberado para todos tem mala que acessa somente para ficar trocando dados pela rede do provedor.
  • Alicson R. Miranda Setembro 5, 2010 12:31
    bloqueia todos acessos externos e libera seus clientes no acess list... deixando so o autenticath....
    e nos cartoes desmarca na aba wireless as opções defalt forward e defalt autenticath


    e sempre de olho nos cartoes com canais saturados !!!
  • Alexandre Porfirio Nunes Setembro 5, 2010 18:01
    Para deixar somente quem ta cadastrado no com mac no seu mk-auth a RB é só seguir:

    http://mk-auth.com.br/page/radius-com-accesslist

    Mas a RB tem que estar comunicando direitinho com o mk-auth.

    As regras de filtro que uso são:

    /interface bridge filter
    add action=drop chain=input comment="Spanning Tree" disabled=no \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF

    add action=drop chain=forward comment="Boqueia Pacotes entre Interfaces" \
    disabled=no in-interface=!rede out-interface=!rede

    obs.: Rede é a interface da RB que recebo o link.

    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Descartando ARP espurios" disabled=no mac-protocol=arp

    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=Realnet04 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment="" disabled=no in-interface=Realnet04 \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=Realnet05 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment="" disabled=no in-interface=Realnet05 \
    ip-protocol=udp mac-protocol=ip src-port=67

    E em Firewall, connections, traking, deixo desabilitado.

    Quem tiver mais coisa a acrescentar.
  • Flavio Setembro 5, 2010 21:15
    Desculpa amigao to aprendendo agora sobre regras e mikrotik pois so agora tou tendo nescessidade de mexer mas o que significa estas regras e o que elas realmente faz?
    Se puder falar numa linguagem mais facil para entender agradeço mt como por exemplo o que é os espurios?

    Alexandre Porfirio Nunes disse:
    Para deixar somente quem ta cadastrado no com mac no seu mk-auth a RB é só seguir:

    http://mk-auth.com.br/page/radius-com-accesslist

    Mas a RB tem que estar comunicando direitinho com o mk-auth.

    As regras de filtro que uso são:

    /interface bridge filter
    add action=drop chain=input comment="Spanning Tree" disabled=no \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF

    add action=drop chain=forward comment="Boqueia Pacotes entre Interfaces" \
    disabled=no in-interface=!rede out-interface=!rede

    obs.: Rede é a interface da RB que recebo o link.

    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Descartando ARP espurios" disabled=no mac-protocol=arp

    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=Realnet04 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment="" disabled=no in-interface=Realnet04 \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=Realnet05 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment="" disabled=no in-interface=Realnet05 \
    ip-protocol=udp mac-protocol=ip src-port=67

    E em Firewall, connections, traking, deixo desabilitado.

    Quem tiver mais coisa a acrescentar.
  • LocoM5 184,00 Setembro 6, 2010 10:55
    ja vivi esse problema, tb resolvi com mudança de canais
  • Alexandre Porfirio Nunes Setembro 6, 2010 11:50
    Vou fazer melhor, nao vou plagiar regras dizendo que sao minhas ou coisa do tipo, vou postar aqui o Material do Maia da Mikrotik Brasil, onde vc pode estudar e entender as regras.

    Seguranca_camada2_Maia.pdf

  • Leandro Cesar Souza Setembro 6, 2010 12:15
    Interessante tuas regras. Porém, e quando se trata de bloquear trafego entre clientes da mesma interface?

    Eu uso aki assim. Realmente bloqueia mas nao faz milagres, rsrsrsrs.

    /interface bridge filter
    add action=accept chain=input comment="ACEITA WINBOX POR IP" disabled=no dst-port=8291 ip-protocol=tcp mac-protocol=ip
    add action=accept chain=input comment="ACEITA WINBOX POR MAC" disabled=no dst-port=20561 ip-protocol=udp mac-protocol=ip
    add action=accept chain=input comment="ACEITA WINBOX DISCOVERY" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
    add action=mark-packet chain=input comment="MARCA PACOTES QUE NAO TENHAM COMO DESTINO O GATEWAY" disabled=no dst-address=!MUDE/32 in-interface=MUDE mac-protocol=ip new-packet-mark=wlan1_mp
    add action=mark-packet chain=input comment="" disabled=no dst-address=!MUDE/32 in-interface=MUDE mac-protocol=ip new-packet-mark=wlan2_mp
    add action=mark-packet chain=input comment="" disabled=no dst-address=!MUDE/32 in-interface=MUDE mac-protocol=ip new-packet-mark=wlan3_mp
    add action=log chain=input comment=LOG disabled=yes log-prefix="" packet-mark=wlan1_mp
    add action=log chain=input comment="" disabled=yes log-prefix="" packet-mark=wlan2_mp
    add action=log chain=input comment="" disabled=yes log-prefix="" packet-mark=wlan3_mp
    add action=drop chain=input comment="DROPA PACOTES MARCADOS QUE NAO TEM COMO DESTINO O GATEWAY" disabled=no packet-mark=wlan2_mp
    add action=drop chain=input comment="" disabled=no packet-mark=wlan1_mp
    add action=drop chain=input comment="" disabled=no packet-mark=wlan3_mp
    add action=drop chain=input comment="DROPA TODOS PROTOCOLOS DE MAC QUE NAO SEJAM IP" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=input comment="" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=input comment="" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=forward comment="PREVENTIVO NETBIOS" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip

    Sei que tem regras que realmente ajudam mto no desempenho e estou desesperadamente atrás delas.
  • Alexandre Porfirio Nunes Setembro 7, 2010 18:24
    Essa regra de bloqueio preventivo netbios, aqui removi, antes usava tbm, mais percebi que subiam os pings, deixo elas apenas no servidor.


    Leandro Cesar Souza disse:
    Interessante tuas regras. Porém, e quando se trata de bloquear trafego entre clientes da mesma interface?

    Eu uso aki assim. Realmente bloqueia mas nao faz milagres, rsrsrsrs.

    /interface bridge filter
    add action=accept chain=input comment="ACEITA WINBOX POR IP" disabled=no dst-port=8291 ip-protocol=tcp mac-protocol=ip
    add action=accept chain=input comment="ACEITA WINBOX POR MAC" disabled=no dst-port=20561 ip-protocol=udp mac-protocol=ip
    add action=accept chain=input comment="ACEITA WINBOX DISCOVERY" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
    add action=mark-packet chain=input comment="MARCA PACOTES QUE NAO TENHAM COMO DESTINO O GATEWAY" disabled=no dst-address=!MUDE/32 in-interface=MUDE mac-protocol=ip new-packet-mark=wlan1_mp
    add action=mark-packet chain=input comment="" disabled=no dst-address=!MUDE/32 in-interface=MUDE mac-protocol=ip new-packet-mark=wlan2_mp
    add action=mark-packet chain=input comment="" disabled=no dst-address=!MUDE/32 in-interface=MUDE mac-protocol=ip new-packet-mark=wlan3_mp
    add action=log chain=input comment=LOG disabled=yes log-prefix="" packet-mark=wlan1_mp
    add action=log chain=input comment="" disabled=yes log-prefix="" packet-mark=wlan2_mp
    add action=log chain=input comment="" disabled=yes log-prefix="" packet-mark=wlan3_mp
    add action=drop chain=input comment="DROPA PACOTES MARCADOS QUE NAO TEM COMO DESTINO O GATEWAY" disabled=no packet-mark=wlan2_mp
    add action=drop chain=input comment="" disabled=no packet-mark=wlan1_mp
    add action=drop chain=input comment="" disabled=no packet-mark=wlan3_mp
    add action=drop chain=input comment="DROPA TODOS PROTOCOLOS DE MAC QUE NAO SEJAM IP" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=input comment="" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=input comment="" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=forward comment="PREVENTIVO NETBIOS" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip

    Sei que tem regras que realmente ajudam mto no desempenho e estou desesperadamente atrás delas.
  • Alexandre Porfirio Nunes Setembro 7, 2010 18:25
    Nao entendi as linhas abaixo:

    add action=drop chain=input comment="DROPA TODOS PROTOCOLOS DE MAC QUE NAO SEJAM IP" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=input comment="" disabled=no in-interface=MUDE mac-protocol=!ip
    add action=drop chain=input comment="" disabled=no in-interface=MUDE mac-protocol=!ip

    Outra coisa, onde tem MUDE é a interface por onde ta chegando o link na RB ?
This reply was deleted.