#  > Geral >  > Segurança >  >  Socoooorrroo !!! Meus clientes estao se enchergando na wireless !! ajudem-me

## Phillipe

Ola galera.. estou com um problemasso na minha rede.. meus clientes ficam se enchergando no ambiente de rede.. . pingando uns aos outrtos e o pior... trocando arquivos entre si... o que arrebenta com os meus radios.. 

queria saber como impedir isso .. . ja tentei de tudo.. tentei usar o block relay dos radios que nao vale bosta nenhuma.. continuou do mesmo jeito.

tentei usar a funçao port filter dos radios. bloqueando 135:139 e a 445 .. mas tambem nao deu certo.. 

os clientes continuam se enchergando e acessando a maquina do outro pelo iniciar executar //ip/

espero que alguem me ajude pelo amor de deus...estou desesperado e precisando resolver isso !!! 

um abraço e obrigado a todos.

phill

----------


## Michael

Ja vi inumeras pessoas com esse problema e existem varias formas de se resolver isso, a mais simples e que realmente funciona descrevo abaixo.
Em meu prov faço dessa forma e não tenho problemas.

1º ) Para cada cliente defina uma rede pra ele 
criando um alias na sua interface LAN do servidor.

eth0
ifconfig eth0:1 192.168.200.1 netmask 255.255.255.252 broadcast 192.168.200.3
ifconfig eth0:2 192.168.201.1 netmask 255.255.255.252 broadcast 192.168.201.3
ifconfig eth0:3 192.168.202.1 netmask 255.255.255.252 broadcast 192.168.202.3

Feito isso vc ira atribuir para cada cliente um ip de classe diferente, no cliente ficaria 

IP 192.168.200.2
Masc 255.255.255.252
Gw 192.168.200.1

Dns 200.xx.xx.xx.xxx ===> SEU DNS 

Após feito isso basta essa regra para bloquear todos os forwards entre as subnet que existem em teu servidor.

iptables -t filter -A FORWARD -d 192.0.0.0/8 -s 192.0.0.0/8 -j DROP

Com isso seus cliente iram falar apenas com seu servidor e não falaram mais entre si...!!! 

qker duvida posta ai novamente 

falaows!!

----------


## Phillipe

obrigado por responder amigao !!! 

mas ja pensei em fazer esse lance das varias redes... mas so que isso iria sobrecarregar a minha eth do servidor, certo ?

tenho 350 clientes mais ou menos.. imagina fazendo um subrede pra cada um... nao quero nen pensar nisso so de pensar ja desanimo.. 

teria alguma outra forma mais simples... que nao compremeteria o desempenho do meu server ????

se puder ajudar ficarei grato.. mto obrigado
um abraço phill

----------


## capitainkurn

Há duas formas de se fazer isso.

1 a. - Usar um servidor PPPoE, não é algo muito complicado mas tem um puta
inconveniente , os clientes terão que instalar clientes PPPoE em suas
estaćões o que pode ser um tremendo transtorno se tratando de leigos
em sua massića maioria.

2 a. - Dividir em até 252 subredes pode ser feito até por DHCP

Segue abaixo o /etc/dhcpd.conf para este fim.

option domain-name "meu-dominio.com.br";
option domain-name-servers 200.184.26.10, 200.184.46.2;
ddns-update-style ad-hoc;
option routers 192.168.0.1;
authoritative;

subnet 192.168.0.0 netmask 255.255.0.0 {
ddns-updates on;
option subnet-mask 255.255.255.0;
#option netbios-name-servers 192.168.0.1;
#option netbios-node-type 2;
default-lease-time 86400;
max-lease-time 150000;
deny unknown-clients;

#Nome do Cliente 1
host AP101 {
hardware ethernet 00:11:A3:01:24:0C;
fixed-address 192.168.20.10;
}
#Nome do Cliente 2
host AP102 {
hardware ethernet 00:11 :Big Grin: 8:94:E7:67;
fixed-address 192.168.21.10;
}
#Nome do Cliente 3
host AP103 {
hardware ethernet 00:01:6C:3A:CE:75;
fixed-address 192.168.22.10;
}
}

Pois bem... atenćão para alguns detalhes
Esta divisão em muitas subredes gera uma tabela ARP monstruosa voce devera
criar um arquivo /etc/ethers e configura-lo da seginte forma
192.168.20.10 00:11:A3:01:24:0C
192.168.21.10 00:11 :Big Grin: 8:94:E7:67
192.168.22.10 00:01:6C:3A:CE:75

coloque o comando arp -f no seu script de inicialiaćão

No início dá trabalho mas depois resolve!
Outro problema será o NAT,
O Masquerade tem problemas para traduzir um numero elevado de sub-redes
então faća com SNAT que finciona extremamente bem além de lhe dar
possibilidade de balanceamento de carga e desvido de pacotes por marcas

ex: de4 SNAT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/16 -j SNAT --to-source
200.216.161.15
Onde eth1 é a interface que sai para a internet e 200.216.161.15 é o seu ip

Outra coisa extremamente importante é liberar o Kernel para manipular mais
de 1024 entradas arp o máximo é 65534

inclua no seu script de inicializaća /etc/rc.d/rc.local o seguinte
echo 16384 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo 32768 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 65535 > /proc/sys/net/ipv4/neigh/default/gc_thresh3

Isso evitará o erro "Neighbour Table Overflow"
Que é um transbordamento da tabela arp que resulta em paralizaćão do
sistema.

É isso aí!
pode fazer sem medo que funciona e bem.

----------


## capitainkurn

Eu garanto que funciona, tenho esta solućao em vários condomínios e um probedor com cerca de 500 clientes, uma máquina Semprom 2300 com 512Mb de HD manipulou 230 clientes simultâneos sem crickas, apenas não recomendo o uso das intervaces de rede on board nem as ethernet de baixo custo com chisets via ou Realtek, pois estas eths só servem para estaćões.
Uma 3Com 3C905B resolve o caso com folga e são baratas, em torno de R$ 80,00.

----------


## bauer

Opa

Você não citou o equipamenteo que usa...
O AP2000 da proxym tem uma opção chamada de Intra BBS, no qual é só setar o modo de Operação para block e pronto, problema sanado. 

t+

----------


## gatoseco

Bloqueie as portas 135 a 139,445 e assim por diante referentes a netbios tanto no seu server quanto no seu ap se ele tiver esse recurso, e quando for no seu cliente desative todas as opçoes nas propriedades do cartao deixando somente TCP/IP e faça o teste !!!

Pronto e a coisa mais simples do mundo nao precisa criar milhoes de coisas, va sempre pelo mais simples e funcional !!!

Abraçao

----------


## Phillipe

ola.. vou fazer os testes e posto o resultado.. 

se alguem tiver alguma outra sugestao.. por favor me ajudem..

quanto aos radios que estou usando uso radios da zinwell e kodama... ambos tem o block relay e e o port filter.. so que nao ta funcionando... sei la porque..

obrigado.

----------


## Mitnicks

Cara além deu usar o Intra BBS no meu radio, uso tb uma outra forma facil, basta nos seus clientes voce desativar dois itens da conexão de internet do cliente...

1 - Cliente de rede microsoft
2 - Compartilhamento de arquivos...

pronto em todos os sistemas operacionais tem esses itens, basta vc desativar esses itens na interface de conexão com a internet do seu cliente... ok...

----------


## Phillipe

mitinicks, valeu pela dica.. parece que funcionou... 

os clientes que eu desabilitei esta funcao ja nao estao se enchergando mais.. 

gostaria de agradecer... por toda a galera que ajuda a gente no forum.. e que se precisarem de algo que tiver ao meu alcance e so valar;.. 

valeu galera.. mais um problema meu resolvido pelo under.. VIVA O FORUM .. valeu

----------


## bauer

> Cara além deu usar o Intra BBS no meu radio, uso tb uma outra forma facil, basta nos seus clientes voce desativar dois itens da conexão de internet do cliente...
> 
> 1 - Cliente de rede microsoft
> 2 - Compartilhamento de arquivos...
> 
> pronto em todos os sistemas operacionais tem esses itens, basta vc desativar esses itens na interface de conexão com a internet do seu cliente... ok...


Opa

Logicamente que tirando estas opções não vão se enxergarem, mas não é funcional/seguro, porque a qualquer momento o cliente pode adicionar as opções novamente...

t+

----------


## Francinei

> Postado originalmente por Mitnicks 
> 
> Cara além deu usar o Intra BBS no meu radio, uso tb uma outra forma facil, basta nos seus clientes voce desativar dois itens da conexão de internet do cliente...
> 
> 1 - Cliente de rede microsoft
> 2 - Compartilhamento de arquivos...
> 
> pronto em todos os sistemas operacionais tem esses itens, basta vc desativar esses itens na interface de conexão com a internet do seu cliente... ok...
> 
> ...


Realmente ameniza a situação!
Porem nao foi combatido o mau pela raiz!

----------


## blackstone

Desative o NetBios tcp/ip vai melhorar bastante e os clintes tb nao se enxergam.

----------


## cytron

Pelo amor de Deus!!! hahaha! O cara vai ficar perdido de tanta solução diferente!

Aqui estou eu pra dar mais uma... hehehe!

Começo dizendo que realmente todas as souções apresentadas acima realmente funcionam... mas pensem comigo...
Todo bom programador sabe muito bem que usuário só tem 1 neorônio e 1 dedo, ou seja, além de pensar errado ainda digita errado. Esta é uma lógica que os admins também devem ter.

Seus clientes certamente já vieram de outros tipos de conexões com a internet, tanto acesso discado como banda larga, estão acostumados a "liberdade" e praticidade de simplesmente criar um login e pronto.

Nada de ficar bloqueando portas, mudando isso ou aquilo e principalmente... mexer no compartilhamento do micro, imagine se o cara precisar compartilhar uma pasta quando a regra do provedor é: "Proibido compartilhamento!", ou se ele compartilhar e... descobrir que tá tudo bloqueado.

Você!... como você se sentiria sabendo que sua conexão com a internet só deixa passar a porta 80? E se você precisar de algo tem que ficar falando com o admin! Isso é chato pra caramba!

Eu nunca vou querer ser cliente de um provedor que fica bloqueando portas no meu IP ou falando que no meu micro tem que ser assim ou assado!

Deixa o cliente com as políticas internas dele!

O lance é fazer como os grandes, o cliente se conecta, loga com user e pass, ganha um IP e pronto, o resto é entre o cliente e a internet.

Eu tenho um provedor wireless e fiz assim:

Meu rádio é o AP2000 (ainda bem que ele existe!),
os clientes se conectam através de pppoe, "não é necessário instalar nada nos clientes pois o winXP já tem suporte nativo, somente o win98 que precisa! Mas afinal... quem é que usa net sem ter um discador?!!!".

Daí, no meu caso, o freeradius faz boa parte da segurança e controle de banda (que é fantástico).

No AP2000 tem duas opções muito boas, Impedir que os clientes se enxergem e direcionar todo o tráfego da rede para o servidor.

Eu ganho da concorrência aqui facilmente, pois os clientes sempre comparam wireless com adsl, e no meu caso, minha net se asemelha muito com adsl, pois os concorrentes por aqui bloqueiam portas, desativam compartilhamentos nos clientes, subredes e ip fixo pra todo mundo... daí eles pensam que a coisa é bagunçada. Sacou?!!!

O seu rádio não é um AP2000? Tudo bem! Não é problema, provavelmente deve ter nas confs dele um arquivo com as regras de iptables (caso seu ap use algum tipo de linux, muitos usam), neste arquivo, se você estudar bem vai descobrir que algumas alterações podem bloquear o tráfego entre clientes. Fiz esse teste num Ovislink. Caso você não consiga, então a alternativa é subredes mesmo. Mas tenta fazer com ip dinâmico, porque "se hoje o ladrão bate na sua porta, amanhã ele não sabe onde você mora mais". E se o clientes quiser ip fixo... vai ter que pagar um extra. No caso da Embratel isso custa caro!

Atualmente estou fazendo uns testes aqui para fazer tunel nas conexões com os clientes, pois os "hackers moscas" ficam voando a procura de pacotes na minha rede. Quero fazer isso com o mínimo de alterações na máquina do clientes. Isso evita transtornos, e o cliente pode fazer o que quiser na máquina dele, até formatar vinte vezes sem ter que me chamar toda vez pra configurar a net dele novamente. Quero tornar o processo de conexão tão simples que o próprio cliente de 1 neorôneo e 1 dedo poderá configurar.

Espero ter ajudado com esse "pequeno" texto. hehe!

----------


## cytron

Esqueci de dizer mais uma coisinha:

Sei que este post é antigão, mas minha intenção aqui é de ajudar principalmente alquem que está atualmente com um problema parecido.

Valeu!!!

----------

