Impedir que "usuários" façam NAT para "sua" rede internet

maciels · 02-08-2006, 22:02

Existe alguma possibilidade de impedir que "usuários" façam NAT para "sua" rede internet? Hoje o servidor amarra IPxMAC para um computador de um "usuário" acessar a internet. Gostaria de impedir que ele (o usuario) fizesse NAT para outras máquinas de sua rede internet e/ou limitar o numero de maquinas para NAT da rede internet dele.

xstefanox · 02-08-2006, 23:03

Eu achava que não tinha jeito, mas outro dia olhando aqui no fórum eu achei um post que falava sobre isso. O negócio é utilizar o TTL (Time To Live) do pacote para bloquear.

maciels · 03-08-2006, 19:22

Agradeço demais a atenção, mas já procurei incansavelmente algo sobre o assunto e infelizmente não encontrei. Talvez seja a palavra chave na busta, por fim estou pesquisando agora no www.netfilter.org. Mas se alguém já fez isso e quiser me mostrar o link para que possa me virá ou até mesmo já passa o bisu.
Desde já to agradecendo.
Pelo menos uma luz. Utilizar o TTL (Time To Live). Já usei o man iptables mas não conseguir montar um sintaxe compreensivel para esse fim.

xstefanox · 03-08-2006, 19:45

Na verdade a solução do problema é mais conceitual do que difícil.

A definição de TTL é o tempo de vida do pacote até que ele alcance o seu destino. O TTL de um pacote pode depender do sistema operacional da máquina destino e da região em que o host se encontra. Para cada nó da rota, é subtraído 1 número do TTL do pacote.

Seguindo esse conceito, você há de concordar comigo que um roteador sob o seu domínio vai passar por 2, 3 nós até chegar ao seu servidor, que estará rodando IPTables. Então você pode montar algo mais ou menos assim (Não posso afirmar com certeza porque eu estou na faculdade e aqui só tem Microsoft Windows):

Existe um módulo do IPTables que permite setar e identificar o TTL de um pacote que esteja passando por ele:

Código:

# iptables -t nat -A PREROUTING -s $cliente -j TTL --set-ttl 2
# iptables -t nat -A FORWARD -m ttl --ttl-gt 62 -j DROP

Estes são apenas exemplos para você ter uma idéia do quadro inteiro, mas eu recomendo que você dê uma lida no Wikipedia sobre o conceito e depois dê uma caçada no Google sobre o assunto. Se você digitar como chave de pesquisa a string "-m ttl" netfilter vai encontrar a solução pro seu problema com certeza.

maciels · 18-08-2006, 22:57

Blz,
Ajudou bastante, infelizmente não consegui fazer na prática, mas já compreendir. O ttl do pacote é decrementado 1 a cada roteador que passa. No entanto o que irá solucionar parte desse problema será ajustar o valor do ttl para "1" na entrega do pacote ao ip do cliente. Tentei a seguinte sintaxe:
root@server:~# iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 1
iptables: No chain/target/match by that name
porém diz que não conhece o chain... em fim. Por quê?
Bom, digo parte do problema pois a limitação do numero de pontos adicionais depois do roteador cliente ser controlado tbm através do server.
Vamos estudar que conseguimos... bola pra frente.

02-08-2006, 22:02	#1 (permalink)
maciels Registrado em: Aug 2005 Mensagens: 14 Agradeceu: 0 Agradecido 2 vez em 1 Post Reputação: 0	Impedir que "usuários" façam NAT para "sua" rede internet Existe alguma possibilidade de impedir que "usuários" façam NAT para "sua" rede internet? Hoje o servidor amarra IPxMAC para um computador de um "usuário" acessar a internet. Gostaria de impedir que ele (o usuario) fizesse NAT para outras máquinas de sua rede internet e/ou limitar o numero de maquinas para NAT da rede internet dele.

02-08-2006, 23:03	#2 (permalink)
xstefanox Administrador Registrado em: May 2004 Idade: 22 Mensagens: 3.595 Agradeceu: 5 Agradecido 123 vez(es) em 118 Posts Reputação: 413	Re: Impedir que "usuários" façam NAT para "sua" rede internet Eu achava que não tinha jeito, mas outro dia olhando aqui no fórum eu achei um post que falava sobre isso. O negócio é utilizar o TTL (Time To Live) do pacote para bloquear. __________________ A verdadeira felicidade não está na meta, mas sim na trilha utilizada. Por isso eu só aponto as direções neste fórum.<br />Se usuário tivesse extensão, com certeza seria .fdp<br />Faça perguntas da maneira correta!<br />http://www.istf.com.br/perguntas

03-08-2006, 19:22	#3 (permalink)
maciels Registrado em: Aug 2005 Mensagens: 14 Agradeceu: 0 Agradecido 2 vez em 1 Post Reputação: 0	Re: Impedir que "usuários" façam NAT para "sua" rede internet Agradeço demais a atenção, mas já procurei incansavelmente algo sobre o assunto e infelizmente não encontrei. Talvez seja a palavra chave na busta, por fim estou pesquisando agora no www.netfilter.org. Mas se alguém já fez isso e quiser me mostrar o link para que possa me virá ou até mesmo já passa o bisu. Desde já to agradecendo. Pelo menos uma luz. Utilizar o TTL (Time To Live). Já usei o man iptables mas não conseguir montar um sintaxe compreensivel para esse fim.

03-08-2006, 19:45	#4 (permalink)
xstefanox Administrador Registrado em: May 2004 Idade: 22 Mensagens: 3.595 Agradeceu: 5 Agradecido 123 vez(es) em 118 Posts Reputação: 413	Re: Impedir que "usuários" façam NAT para "sua" rede internet Na verdade a solução do problema é mais conceitual do que difícil. A definição de TTL é o tempo de vida do pacote até que ele alcance o seu destino. O TTL de um pacote pode depender do sistema operacional da máquina destino e da região em que o host se encontra. Para cada nó da rota, é subtraído 1 número do TTL do pacote. Seguindo esse conceito, você há de concordar comigo que um roteador sob o seu domínio vai passar por 2, 3 nós até chegar ao seu servidor, que estará rodando IPTables. Então você pode montar algo mais ou menos assim (Não posso afirmar com certeza porque eu estou na faculdade e aqui só tem Microsoft Windows): Existe um módulo do IPTables que permite setar e identificar o TTL de um pacote que esteja passando por ele: Código: # iptables -t nat -A PREROUTING -s $cliente -j TTL --set-ttl 2 # iptables -t nat -A FORWARD -m ttl --ttl-gt 62 -j DROP Estes são apenas exemplos para você ter uma idéia do quadro inteiro, mas eu recomendo que você dê uma lida no Wikipedia sobre o conceito e depois dê uma caçada no Google sobre o assunto. Se você digitar como chave de pesquisa a string "-m ttl" netfilter vai encontrar a solução pro seu problema com certeza. __________________ A verdadeira felicidade não está na meta, mas sim na trilha utilizada. Por isso eu só aponto as direções neste fórum.<br />Se usuário tivesse extensão, com certeza seria .fdp<br />Faça perguntas da maneira correta!<br />http://www.istf.com.br/perguntas

18-08-2006, 22:57	#5 (permalink)
maciels Registrado em: Aug 2005 Mensagens: 14 Agradeceu: 0 Agradecido 2 vez em 1 Post Reputação: 0	Re: Impedir que "usuários" façam NAT para "sua" rede internet Blz, Ajudou bastante, infelizmente não consegui fazer na prática, mas já compreendir. O ttl do pacote é decrementado 1 a cada roteador que passa. No entanto o que irá solucionar parte desse problema será ajustar o valor do ttl para "1" na entrega do pacote ao ip do cliente. Tentei a seguinte sintaxe: root@server:~# iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 1 iptables: No chain/target/match by that name porém diz que não conhece o chain... em fim. Por quê? Bom, digo parte do problema pois a limitação do numero de pontos adicionais depois do roteador cliente ser controlado tbm através do server. Vamos estudar que conseguimos... bola pra frente.

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
converter "arquivo.c" para uma saida "arquivo.o"	Danilo_Montagna	Programação	5	21-04-2006 23:57
Regra do "squid" no "iptables"	capgaiotto	Iniciantes	0	13-09-2005 15:46
"home" e "end" não funcionam mais no ter	flipeexpl	Adm. em Geral	0	06-08-2005 3:07
VSFTP com multiplos "homes" para alguns usuários	CrashOverride	Ftpd	0	03-12-2004 9:20
Sistema para montar "disco virtual" ou "webdi	Visitante	Adm. em Geral	4	05-08-2004 12:51