[Inclusão Digital]PPPoE server no MK + ubiquiti

[Eduardo Schoedler]

Em 8 de abril de 2012 00:10, Rubens Kuhl <rubensk em gmail.com> escreveu:

> 2012/4/7 Eduardo Schoedler <listas em esds.com.br>:
> > Em 07/04/2012, às 23:26, Rubens Kuhl <rubensk em gmail.com> escreveu:
> >
> >>> Tenho concentradores PPPoE rodando Mikrotik distribuindo ip 'válido'.
> >>> Os clientes estão usando Nanostation M5 em modo 'Router', ou seja,
> fazendo
> >>> NAT no próprio dispositivo.
> >>
> >>> Porém estive implementando a BCP38 e, para minha surpresa, peguei
> vários
> >>> pacotes dos ips 192.168.2.x cruzando a WAN dos concentradores.
> >>
> >>
> >> Mas que faixas de IP estão atribuídos na LAN para gerenciar as
> Nanostation?
> >
> > Rubens, o range da LAN é justamente 192.168.2.0/24. De alguma forma
> esta 'vazando' pela WAN sem NAT.
>
> Imaginando que sejam seus usuários espertinhos, você vai precisar
> combinar medidas como:
> No concentrador:
> - Permitir tráfego da LAN apenas para a sua rede de gerência

(administradores e sistemas automáticos).
>

No Mikrotik não consigo fazer regras em IP > Firewall na LAN porque ele
cria interface para cada cliente PPPoE conectado.
Estou filtrando BCP38 na saída da minha WAN, deixo sair somente ips do
nosso AS.

O que poderia fazer é filtrar em L2 na LAN, bloquear tudo que é IP, deixar
somente PPPoE (pppoe-session e pppoe-discovery) e ARP.



> - Colocar ARP em reply-only e cadastrar entradas ARP estáticas para as
> remotas.
>

Nossa, que missão.



> Nas Nanostation:
> - Filtrar tráfego dos clientes para o Nanostation permitindo apenas
> pacotes IP com destino a IPs públicos.
>

Notei que a área de instalação não está nem ativando firewall nos ubiquiti.
Não faço idéia quais são as regras default dele.


> - Tirar o Skynet e a versão vulnerável de AirOS
>
>
Olhei aqui e não é skynet, pelo menos no primeiro caso.

-- 
Eduardo Schoedler