como bloquear dhcp vindo do cliente

Relembrando a primeira mensagem :

como bloquear dhcp vindo do cliente???
o que ta acontecendo aqui e que meu cliente ta pegando dhcp de algum radio
com range diferente a do meu servidor dhcp de algum radio ta ativado
como bloqueia isto e faze que meu clientes sempre pegue o dhcp do meu servidor nao de outro radio que aparecer .....

brigado pela sua ajuda

cdanielboy escreveu:

junior.laura escreveu:POR FAVOR GENTE ME AJUDA TO DESISPERADO NAO SEI MAS O Q FAZER...

cria uma regra no filter bloqueando acesso a porta 67-68 e pronto acaba
com esse problema de Rádios se ativarem com os DHCP ativos ou cliente leigo
fussando em rádio e deixando os DHCP ativados.

/ip firewall filter
add action=drop chain=forward comment="Block invalid DHPC Servers" \
disabled=no in-interface=Clientes ip-protocol=udp mac-protocol=ip \
src-port=67

/ip firewall filter
add action=drop chain=forward comment="Block invalid DHPC Servers" \
disabled=no in-interface=Clientes ip-protocol=udp mac-protocol=ip \
src-port=68

V se isso resolve !!!

vou testa

essas regras são  gambiarras  procura  segmentar vlan na rede

boa noite a forma correta seria essa:

    /interface bridge filter
    add action=log chain=input comment="Block DHCP servers on 192.168.0.0/16" \
       disabled=no dst-address=255.255.255.255/32 ip-protocol=udp log-prefix=\
       "ALERT ROGUE DHCP (BLOCKED)" mac-protocol=ip src-address=192.168.0.0/16 \
       src-port=67-68
    add action=drop chain=input comment="Block DHCP servers on 192.168.0.0/16" \
       disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
       ip src-address=192.168.0.0/16 src-port=67-68

    /interface bridge settings
    set use-ip-firewall=yes use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=yes

bom amigos  sou meio leigo no asunto intao tenho esse tipo de problema direto ai o que faco coloco a faixa de ip no meu pc e acesso o ip do gatiwey e vou no dhcp do radio que sempre esta com senha admin admin em cado de rotiadores e desativo o dhcp do cliente e bloqueio o mac do  rotiador assim resolve maior parte . comclusao deixo bloquiado o mac , deixo na faixa de ip um unico ip disponivel ,desabilito o dhcp . se nao tiver com senha admin e login admin e porque tem alguem suando sua rede ai vc tem que bloquiar de uma a uma das antenas e ver qual vai parar de oferecer o dhcp assim vc sabera em qual regiao esta o safado rsrsr, dai so vizitar todos clientes da regiao rsrs

/ip firewall filter
add action=drop chain=input comment="DHCP EXTERNO CLIENTE BLOQUEADO - ETH4" \
    dst-port=67 in-interface=ether4-Cabo protocol=udp
add action=drop chain=input comment="DHCP EXTERNO CLIENTE BLOQUEADO - ETH5" \
    dst-port=67 in-interface=ether5-Wireless protocol=udp

Olá preciso muito de um help queria saber de todas as regras acima qual a mais eficaz ,minha rede é toda cabeada ultimamente tem dado muito retorno de DHCP ,ai aparece pro cliente que ele ta conectado e não está ...

topologia 
webmicrotik >BR 1000 MK >rede cabeada >clientes pppoe  bom não tenho nenhuma regra em firewal so a do webmicrotik debloqueio e pendencia não uso Hotspot

skype mpc825
Fico muito grato se houver uma receita pronta pois sou leigo e nao tenho outra RB pra testar se der erro derruba todos meus clientes

Migrar para PPPoE é A melhor solução para isso;  Criar um servidor PPPoE no Mikrotik, dessa forma tanto o mikrotik quanto os clientes vão se conectar e ignorar qualquer outro ip de roteadores na rede, criem o servidor PPPoE com uma ranger de IP 172.20.xxx.xxx e seja muito feliz. Isso é uma solução definitiva.

vá em bridge, filters elas vão estar lá.
depois de add no new terminal, me digam se funcinou.

/ interface bridge filter 
add chain=input in-interface=interface dos clientes mac-protocol=ip src-port=67-68 ip-protocol=udp action=drop comment="Anti-DHCPServer-Externo" disabled=no 

add chain=forward in-interface=interface dos clientes mac-protocol=ip src-port=67-68 ip-protocol=udp action=drop comment="Anti-DHCPServer-Externo" disabled=no

AMIGO EU CONSEGUI UMA COISA AQUI NÃO SEI SE VAI TE AJUDAR, VA LA EM IP / DHCP SERVER,VA NA ABA ALERTS, CLIQUE NO SINAL DE +, VAI ABRIR UMA ABA (NEW DHPC ALERT) EM (INTERFACE) COLOQUE A INTERFACE DE SAÍDA PARA SEUS CLIENTES EM (VALID SERVER DEIXE COMO ESTA, EM (ALERT TIMEOUT) COLOQUE 00:01:00, FEITO ISSO E SO CRIAR O SCRIPT EM ON ALERT, AI MESMO NA ABA DHCP ALERT 

:log error message=">>>>>>>>>ROTEADOR JOGANDO DHCP NA REDE<<<<<<<<<<"

PRONTO QUANDO TIVER UM CLIENTE JOGANDO DHCP NA REDE, VAI APARECER NO LOG O MAC E O IP DESSE CLIENTE,  E LA EM UNKNOWN TIMEOUT VAI FICAR O MAC DESSE CLIENTE, ASSIM NÃO VAI BLOQUER MAIS VC VAI CONSEGUI IDENTIFICAR ESSE CLIENTE BEM RAPIDO.

junior.laura escreveu:add action=drop chain=input comment="DHCP EXTERNO CLIENTE" disabled=no \
   dst-port=67 in-interface=Rede protocol=udp
coloca essa q funciona depois de quebrar muito a cabeça essa regra ai funciona direitinho bloqueaia qualquer dhcp onde tem rede vc coloca sua interface de saida dos clientes

olha , meu amigo estas regras valem tb  para sub rede

Pessoal, boa noite!

Tem como tentar descobrir quem tá gerando IP falso na rede.  Em alguns casos, é possível acessar o roteador do cliente que colocou o fio fora da porta WAN.  Aqui jogamos um fio direto do switch no pc e configuramos a conexão de acordo com os IP"s que conhecemos, tipo: 192.168.0.1 ... então em alguns casos, temos sucesso e identificamos o sujeito em casos de conexão PPOE(nome do usuário visível).  No entanto, quando não esse macete não funciona, temos que ir de poste em poste desabilitando um de cada vez até descobrir.  Já ficamos sem net devido a fatos como esse.  O ideal é colocar todos em PPOE.

marcel escreveu:como bloquear dhcp vindo do cliente???
o que ta acontecendo aqui e que meu cliente ta pegando dhcp de algum radio
com range diferente a do meu servidor dhcp de algum radio ta ativado
como bloqueia isto e faze que meu clientes sempre pegue o dhcp do meu servidor nao de outro radio que aparecer .....

brigado pela sua ajuda

 

Amigo não nos conhecemos mais posso resolver seu problema. não adianta postar regras aqui pra voce pois pelo que li sua rb esta configurada de forma não comercial se voce esta provendo acesso tera que usar somente pppoe ai sim poderei te ajudar se ficar com dhcp ou ip fixo não adianta não ira para frente. o correto é link / rb / pppoe