Acho que podemos ter um objetivo maior, alem de bloquear entender mais o funcionamento dos pacotes e como controla-los melhor.
falows
Versão Imprimível
Acho que podemos ter um objetivo maior, alem de bloquear entender mais o funcionamento dos pacotes e como controla-los melhor.
falows
QoS na veia... ;)Citação:
Postado originalmente por ruyneto
Sou dessa mesma opinião... Estou estudando layers a pelo menos 6 meses para tentar entender como trabalhar de forma mais eficaz com P2P, VoIP e outros serviços/protocolos que dependem diretamente de mais banda para funcionarem perfeitamente.
Parabens PatrickBrandao pelo seu desempenho, para complementar a eliminação do compartilhamento do Windows que mata 99% dos supostos tecnicos em informatica, poderiamos ainda ver a LIMITAÇÃO de SESSÃO restringindo no maximo 10 por cliente que é suficiente para ter Email, MSN e IE aberto simultaneamente e puchar o Freio de mao no Emule e P2P semelhantes
Bom pessoal desculpem tanto tanto sem responder, mas voltei para dar minha resposta sobre o compartilhamento em linux........ ele não funciona tambem, já li as respostas do topico e já vi que muita coisa rolou, já irei testar as soluções do patrick........
Minha opinião sobre o compartilhamento:
Se vc comprou um link de por exemplo 100k, eu acho q vc pode fazer compartilhar ele como quiser, só q pelo ao menos no provedor que trabalho tem gente que é muito safada, vejam o pq: o cara compra um link de 64k, dai fala com amigo vizinho e diz que pode "vender" internet pro cara ai puxa um cabo de rede pro carinha e compartilha ganhando dinheiro em cima daquela conexão e eu sei que muitos fazem isso por aqui, é isso que eu acho errado.... o cara compra, revende e se der algum problema de lentidão ainda reclama, mesmo a gente sabendo que ele revende (coisa que o cliente faz questão de omitir), essa é minha opinião.
Flw.
ola patrick se sua ideia funciona entao vc foi fantastico pq faz muito tempo q andava atras disso q nao conseguia e a questao do ttl realmente eh muito boa principamente na questao do iptables a forma de bloqueio pq fica praticamente muito dinamico pra bloquear 99.9% dos clientes q sao windows e eles com certeza nao tem conhecimento tecnico... adorei parabens....
Ja que ele estao usando subnet com mascara .252 para o cliente. *Eu nunca testei isso* mas pode ser o iptables com L7 filtrando netbios...
Fiz um teste aqui no meu servidor colocando apenas a regra que monitora os pacotes com ttl abaixo de 127 e realmente todos os meus clientes que eu sei q tem rede apareceu lá a ttl=126, vou fazer testes de bloqueio de compartilhamento hj ainda, pois só isso ai já bloqueia 99% dos clientes q fazem compartilhamento indevidamente.
Flw.
Amigo recomendo que antes de fazer o bloqueio coloque isso em contrato e divulge a todos seus clientes para não ter problemas com a justiça, e com processos.Citação:
Postado originalmente por TheHawk
falows
Já existe isso em contrato, quem quiser rede tem que pagar uma taxa extra para o provedor, só que tem os espertos que compartilham por fora e ainda vendem a conexão, é isso que quero acabar.Citação:
Postado originalmente por ruyneto
Flw.
Não estou conseguindo alterar o valor padrão no linux coloquei no rc.local o seguinte comando:Citação:
Postado originalmente por PatrickBrandao
echo "128" > /proc/sys/net/ipv4/ip_default_ttl
e apesar de ter sido alterado o tcpdump demonstra ainda a ttl 64
O que pode ser?
Que regras devemos usar para libera nos seguintes casos.Citação:
Postado originalmente por PatrickBrandao
1)- Rede atrás de um servidor linux
2)- Um determinado ip para que possa fazer compartilhamento e os demais não.
** Quem se habilita para fazer um script ????
Grato,
Thon
husauhsahusahusauhsasuha essa foi boaCitação:
Postado originalmente por SDM
Voltando ao assunto do tópico.
Posso ta falando besteira, me corrijam se estiver errado.
Fazendo um compartilhamento em linux com mascaramento nao resolve ?
Mesmo com compartilhamento em linux mascarando o pacote ele ainda vai sair com o tempo de vida decrescido de 1, ou seja 63 no caso de linux.Citação:
Postado originalmente por Skorpyon
Flw.
:clap:
Graaande tópico este. Realmente interessante.
Tenho uma situação um pouco diferente:
Tenho servidores linux (ou rádios tipo Kodama ou Ovislink) que pegam o sinal da ap e compartilham com os clientes com windows.
Eu poderia implementar esse bloqueio de conexão nesses servidores clientes, mas nos rádios não.
Então eu poderia fazer direto no meu gateway de internet, mas aí teria que decrementar mais 1 nos ttls, é isso?
Porque acho que a maioria dos provedores wireless não fornece link diretamente pros micros dos usuários, e sim em rádios ou servidores para compartilhar com uma maior quantidade de usuários.
[]
Na minha opnião não tem como bloquear o compartilhamento isso é praticamente impossível.
uma coisa eu garanto 99.99% dos compartilhamentos seram cortados pq 0.01% dos usuarios sabem o q eh TTL e muito menos sabem q o bloqueio eh feito em cima disso e mais ainda sabem q tem como modificar isso... entao eh tiro e queda...Citação:
Postado originalmente por vioflas
tenho duas perguntas (não li todo o tópico, já são 5 páginas)...
1. Você quer implementar o processo de impedir o compartilhamento ou quer burlar o sistema ??? Se for para burlar o sistema, lembre-se que isso não deve ser algo dentro da lei... veja seu contrato de prestação de serviços...
2. você colocou um proxy no servidor que está conectado à internet e mesmo assim o compartilhamento continua sendo impedido ???
Citação:
Postado originalmente por Thon
Pessoal
Estou tentando logar e bloquear compartilhamento de internet em minha rede. Uso iptables e squid transparente as regras que estou usando são as seguinte :
Eth1 - Interface da minha rede internaCódigo :
10.0.0.0/8 - Faixa de ip dentro da minha rede que quero atuação da regra
O problema é que não estar sendo criado o log apesar de ser bloqueado porem as maquinas continuam navegando via proxy transparente exceto os outros serviço que não passam pelo squid tipo msn, email e outros.
Como faço para resolver este problema
Grato,
thon
Pessoal to tentando bloquear o compartilhamento aqui só que quando pingo do micro cliente para o servidor a ttl que aparece é 64, coloquei então este micro compartilhando e quando pingo aparece ttl 128.
MICRO LOCAL WINXP>>>PING TTL 128>>>MICRO CLIENTE WIRELESS WINXP>>>PING TTL 64>>>SERVIDOR LINUX WIRELESS
Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?
meu rei num e da minha conta nao mas... um colega meu do underlinux q mora aki perto de minha cidade fez o mesmo bloqueio
se nao me engano esse bloqueio e feito pela ttl tipo todo windows a ttl e de 128 dai ele fez uma regra dizendo q se a ttl for = ou abaicho de 127 nao navega hehehe tipo todo windows quando compartilha conexao a ttl diminui so que para tristeza tem uma versao do windows xp ea Windows XP SP2 E3 "E ap cubo" trabalha com ttl de 64 e nao da menos nao q eu visse
O pessoal que for postar por favor leia todas as página.
O ping funciona mesmo em casos de ttl pois o NAT nos pacotes icmp são replicados em forma de proxy pela maquina que faz o NAT, ou seja, vc dá um ping na net, a maquina que faz nat segura seu ping e faz um ping para fora (novo pacote), quando o pacote novo chega de volta e maquina devolve seu ping original. Logo o proqueio ttl so funciona para UDP e TCP, onde o NAT nao altera o campo ttl nem cria um novo pacote.
[quote="PatrickBrandao"]O pessoal que for postar por favor leia todas as página.
O ping funciona mesmo em casos de ttl pois o NAT nos pacotes icmp são replicados em forma de proxy pela maquina que faz o NAT, ou seja, vc dá um ping na net, a maquina que faz nat segura seu ping e faz um ping para fora (novo pacote), quando o pacote novo chega de volta e maquina devolve seu ping original. Logo o proqueio ttl so funciona para UDP e TCP, onde o NAT nao altera o campo ttl nem cria um novo pacote.
A pergunta é:
Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?
como seria o comando?
Krs eu axu issu ai um tanto quantu LOUCU eim???
eu axu que eh realmente feitu com algum tipo defiltro por pacote como o nosso amigo ai em cima citou!!!!
Soh pode ser issu!!!
:D
Citação:
Postado originalmente por robsonzornitta
Nada cara, pode confiar, os posts do Patrick estão cheios de razão, é só estudar um pouco, o próprio material da CCNA no módulo 1 e 2, que já tem uma boa explicação sobre ttl e como ele é alterado a cada nó.
boa tarde, estou acompanhando o topico, e tentei utilizar as regras descritas pelo Patrick Brandão, dessa forma criei ao seguinte script em um micro pra teste:
firewall-teste.sh
#!/bin/bash
## Ativa o roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward
## Define as variaveis
IPT=/sbin/iptables
REDE=192.168.100.0/24
IPCLIENTE=192.168.100.5
## Limpa as regras do iptables
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
## bloquear compartilhamento da internet
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP
## libera compartilhamento
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT
## compartilha a conexão
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE
Funcionou muito bem pra bloquear que o compartilhamento de conexão porem quando tentei efetuar o bloqueio de todos os ips e libera apenas alguns endereços pra compartilhar a conexão com outros micros nao consegui.
Falow
Clecio
Niguem se haibilita a dizer como deve ser as regras?Citação:
Postado originalmente por valeonline
Você tem liberar primeiro os endereços para compartilhar a conexão e depois bloquear o resto, inverta as regras, deixe como abaixo:Citação:
Postado originalmente por cleciorodrigo
Código :