Redes diferentes se enxergando!!!

Ae pessoal to com um pequeno problema, que talvez seja a dúvida de muitos outros aki!!!
Tenho um Servidor Linux com cerca de 120 Clientes pendurados, ele ta dando conta do recado direitinho!!! funfa 100% :lol: :lol:
Mas estou com um pequeno problema de segurança relativamente simples, mas que ta me tirando o sono, nele tenho duas placas de rede eth0 e eth1 na eth0 estão pendurandos todos os meus clientes nas interfaces virtuais eth0:1, eth0:2, eth0:3 etc... Em todas as redes sempre utilizo mascara 252, e tranco ela ao brodcast ou seja fica assim eth0:1 192.168.0.1 Brodcast 192.168.0.3 no cliente
IP 192.168.0.2
Masc 255.255.255.252
Gat 192.168.0.1
Nenhum cliente consegue se enxeragar, já que tbm as portas de Netbios estão bloqueadas para isso uso essas regras abaixo

iptables -t filter -A INPUT -j DROP -p udp --sport 137
iptables -t filter -A INPUT -j DROP -p udp --dport 137
iptables -t filter -A INPUT -j DROP -p udp --sport 138
iptables -t filter -A INPUT -j DROP -p udp --dport 138
iptables -t filter -A INPUT -j DROP -p udp --sport 139
iptables -t filter -A INPUT -j DROP -p udp --dport 139
iptables -t filter -A OUTPUT -j DROP -p udp --sport 137
iptables -t filter -A OUTPUT -j DROP -p udp --dport 137
iptables -t filter -A OUTPUT -j DROP -p udp --sport 138
iptables -t filter -A OUTPUT -j DROP -p udp --dport 138
iptables -t filter -A OUTPUT -j DROP -p udp --sport 139
iptables -t filter -A OUTPUT -j DROP -p udp --dport 139

Até ai blza!!! Agora vamos ao meu problema...

Mesmo estando em uma rede diferente pr ex 192.168.200.2 eu consigo pingar para a rede 192.169.150.2 e até mesmo abrir seu compartilhamento de arquivos caso o mesmo esteja ativado numa boa,
isso acontece com todas as redes que tenho nesse servidor, ja tentei várias regras de iptables, mas não obtive sucesso em nenhuma delas...
O que estou precisando é que nenhum cliente tenha a minima possibilizade de realizar qualquer troca de pacotes principalmente troca de arquivos com pastas compartilhadas, ou seja ele pode sair pra Net sem qualquer impedimento, mas não pode enxergar o host de outro cliente..!!!

Aguardo uma dica dos amigos!!!

Valeu!!!

Ola Michael:

Parece ser problema de regras IPTABLE e Roteamento.

Verifique minunciosamente.
Se nao conseguir resolver, monte ontro servidor
linux, com as mesmas regras e vá excluindo as possibilidades.

Veja se no AP existe alguma regra de roteamento, NAt ou gateway

Desculpe nao poder ajudar mais

Abraços

Att. Alexandre

bom vou dar uma dica dai se não der certo vc entra ai e avisa pq ñ tenho certeza se isso resolve.
Seguinte: pelo que sei vc deve bloquear as portas tcp e udp 137 138 e 139 mas como vi vc só bloqueou as udp , talvez esse seja o motivo de que os compatilhamentos de arquivos se enxerguem.

Outra coisa como vc está fazendo nat as redes irão se enxergar mesmo estando em redes distintas, para impedir isso vc deve criar uma regra do iptables bloqueando o acesso de uma faixa de ip interna para outra... isso foi o uma sugestão minha, quem tiver uma dica melhor por favor poste aqui.

Citação:

---

Postado originalmente por ondasbr

Ola Michael:

Parece ser problema de regras IPTABLE e Roteamento.

Verifique minunciosamente.
Se nao conseguir resolver, monte ontro servidor
linux, com as mesmas regras e vá excluindo as possibilidades.

Veja se no AP existe alguma regra de roteamento, NAt ou gateway

Desculpe nao poder ajudar mais

Abraços

Att. Alexandre

---

Realmente camarada é um problema de regras de iptables, mas resta agora saber onde bloquear o acesso de uma rede à outra... :D :D Esse é o X da questão!!! Quanto a montagem de outro server só resolver pra isso é desperdicio... :lol: :lol: :lol: Mas blza!! valeu a intenção de ajudar!!!! :D :D :D :D

Citação:

---

Postado originalmente por gustavo_marcon

bom vou dar uma dica dai se não der certo vc entra ai e avisa pq ñ tenho certeza se isso resolve.
Seguinte: pelo que sei vc deve bloquear as portas tcp e udp 137 138 e 139 mas como vi vc só bloqueou as udp , talvez esse seja o motivo de que os compatilhamentos de arquivos se enxerguem.

Outra coisa como vc está fazendo nat as redes irão se enxergar mesmo estando em redes distintas, para impedir isso vc deve criar uma regra do iptables bloqueando o acesso de uma faixa de ip interna para outra... isso foi o uma sugestão minha, quem tiver uma dica melhor por favor poste aqui.

---

Ja fechei tbm as portas tcp, mas continuam se enxergando!!! :( :(

feche o FORWARD dessas portas...

fera tira estas regras dai e coloca essa q eu tb tenho um sistema igual ao seu. agora este sistema tem uma falha.
por exemplo:
cliente 1 = 192.168.1.2
cliente 2 = 172.16.1.2
eles nao se enxergam, mais se o cliente 1 mudar o ip dele para 172.16.1.3 ele poderá entrar na rede do outro e invadir, portanto, muito cuidado com sua lista de ips.
regra
iptables -A FORWARD -i ! eth1 -j DROP
ele irá bloquear tudo, exceto a placa q da acesso a net.

Citação:

---

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

---

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra, pois ja tentei de tudo e nenhuma deu certo!!
Talvez estaja cometendo algum erro na criação, que ta me causando tanto transtorno!!

tenta esta q coloque acima

Citação:

---

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

---

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra de FORWARD, pois ja tentei de tudo e nenhuma deu certo!!
Talvez esteja cometendo algum erro na criação, que ta me causando tanto transtorno!!

Citação:

---

Postado originalmente por pensador-ce

fera tira estas regras dai e coloca essa q eu tb tenho um sistema igual ao seu. agora este sistema tem uma falha.
por exemplo:
cliente 1 = 192.168.1.2
cliente 2 = 172.16.1.2
eles nao se enxergam, mais se o cliente 1 mudar o ip dele para 172.16.1.3 ele poderá entrar na rede do outro e invadir, portanto, muito cuidado com sua lista de ips.
regra
iptables -A FORWARD -i ! eth1 -j DROP
ele irá bloquear tudo, exceto a placa q da acesso a net.

---

Amigão, infelizmente a mesma coisa, tbm troquei a eth1 pela eth0 e nda!!!
consigo acessar qualquer rede na boa!! tanto pingando quanto dando um //ip_do_cara consigo abrir tudo!!!

Citação:

---

Postado originalmente por Michael

Citação:

---

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

---

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra, pois ja tentei de tudo e nenhuma deu certo!!
Talvez estaja cometendo algum erro na criação, que ta me causando tanto transtorno!!

---

ueh eh soh vc usar as mesmas regras q vc postou no primeiro post seu e trocar o INPUT por FORWARD

na ordem em que está a sua rede, você não criou subredes, pois sua mascara não esta definidade para criar subredes:
exemplo:
192.168.1.1 mascara 255.255.160.1 rede 1
192.169.1.1 mascara 255.255.255.0 rede 2

mais ou menos nessa ordem,
quem irá definir as subredes será a mascara.

Citação:

---

Postado originalmente por 1c3_m4n

Citação:

---

Postado originalmente por Michael

Citação:

---

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

---

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra, pois ja tentei de tudo e nenhuma deu certo!!
Talvez estaja cometendo algum erro na criação, que ta me causando tanto transtorno!!

---

ueh eh soh vc usar as mesmas regras q vc postou no primeiro post seu e trocar o INPUT por FORWARD

---

Amigo nada!!
o acesso continua!!!

Citação:

---

Postado originalmente por marleciooliveira

na ordem em que está a sua rede, você não criou subredes, pois sua mascara não esta definidade para criar subredes:
exemplo:
192.168.1.1 mascara 255.255.160.1 rede 1
192.169.1.1 mascara 255.255.255.0 rede 2

mais ou menos nessa ordem,
quem irá definir as subredes será a mascara.

---

Todas a minha subredes estão definidas com mascara 252 Exp:
IP 192.168.0.1 Mac 255.255.255.252 BroadCast 192.168.0.3

No cliente fica o ip 192.168.0.2 e gateway 192.168.0.1
e assim por diante!!!

tenta bloquear o broadcast tb

esse é foda em...cara tive esse problema...faz isso..aqui

IPTABLES -A FORWARD -d 192.168.0.0/24 -s 10.30.0.0/24 -j DROP
IPTABLES -A FORWARD -d 192.168.0.0/24 -s 192.168.0.0/24 -j DROP

Amigos ouncer e 1c3_m4n nenhuma das alternativas deu certo!!!
putzz!!!
Será que isso naum tem jeito???

cara tem um detalhe, tipo se sua rede já "enxergou" a outra, qdo vc bloquear os pacotes ela num vai simplesmente desaparecer da lista, no win leva um tempinho pra ele atualizar esses dados

tem que da certo..assim amigo...tenho aqui ap...


IPTABLES -A FORWARD -d rede1 -s rede2 -j DROP
IPTABLES -A FORWARD -d rede2 -s rede1 -j DROP

se nada tá funcionando quer dizer q teu fw tá errado...

digita "iptables -L -n" e cola aqui...

dica, se vc nao quer q nada passe nas portas netbios, tranque-as dessa forma:

iptables -A FORWARD -m tcp -m multiport -p tcp --dports 135,137,138,139,445 -j REJECT
iptables -A FORWARD -m udp -m multiport -p udp --dports 135,137,138,139,445 -j REJECT
iptables -t nat -A POSOTROUTING -m tcp -m multiport -p tcp --dports 135,137,138,139,445 -j REJECT
iptables -t nat -A POSOTROUTING -m udp -m multiport -p udp --dports 135,137,138,139,445 -j REJECT

isso bloqueará as portas MS-RPC (135), NetBIOS (137,138,139) e Microsoft DS (445)...

tudo o q for relativo a essas portas em qq interface será rejeitado pelo roteador....

outra dica é travar cada cliente por ip/netmask/mac/portas...

iptables -A FORWARD -s 192.168.1.2/255.255.255.252 -m mac XX:XX:XX:XX:XX:XX -d 0/0 -m tcp -m multiport -p tcp --dports ! 135,137,138,139,445 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2/255.255.255.252 -m mac XX:XX:XX:XX:XX:XX -d 0/0 -m udp -m multiport -p udp --dports ! 135,137,138,139,445 -j ACCEPT

isso garantirá que caso alguem troque o netmask pra tentar trocar arquivos sem passar pelo seu roteador seja bloqueado... (provavelmente ele vai te ligá pra perguntar pq n tá funcionando e vc vai saber quem tá fazendo coisa errada...)


outra dica é implementar solucoes como PPPoE, fazendo com que o usuario "disque pra internet" pra poder se conectar... aqui na UL tem um tutorial de como fazer isso...

Caso use um switch gerenciável, tb tem como fazer isso pelo switch (coisa q eu acho meio dificil... mto pouca gente tem $$ pra ter um desses)

Citação:

---

Postado originalmente por 1c3_m4n

cara tem um detalhe, tipo se sua rede já "enxergou" a outra, qdo vc bloquear os pacotes ela num vai simplesmente desaparecer da lista, no win leva um tempinho pra ele atualizar esses dados

---

Mas tipo eu naum to nem olhando pelo Win... estou disparando um ping contra o ip de outra rede com classe diferente e dando um //IP_do_cara e ta abrindo sem problemas, como se ele fizesse parte da minha classe de Ip e vice versa!! :)

PESSOAL AI ESTÁ MEU FIREWALL, NAT, SASACCT E TUDO MAIS!!!
REGRAS DE BLOQUEIO ETC... JA TENTEI DE TUDO E NADA TA DANDO CERTO, SERÁ QUE EXISTE ALGO DE ERRADO COM ESSE SCRIPT???

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle

echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

iptables -A FORWARD -m unclean -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

iptables -N TRINOO
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i eth1 --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 35555 -j TRINOO

iptables -N TROJAN
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i eth1 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 16660 -j TROJAN

iptables -A FORWARD -p tcp --dport 135 -i eth0 -j REJECT

iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

iptables -N SCANNER
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j SCANNER

iptables -A FORWARD -p udp --dport 137:139 -j DROP
iptables -A FORWARD -p tcp --dport 137:139 -j DROP
iptables -t filter -A INPUT -j DROP -p udp --sport 137
iptables -t filter -A INPUT -j DROP -p udp --dport 137
iptables -t filter -A INPUT -j DROP -p udp --sport 138
iptables -t filter -A INPUT -j DROP -p udp --dport 138
iptables -t filter -A INPUT -j DROP -p udp --sport 139
iptables -t filter -A INPUT -j DROP -p udp --dport 139
iptables -t filter -A OUTPUT -j DROP -p udp --sport 137
iptables -t filter -A OUTPUT -j DROP -p udp --dport 137
iptables -t filter -A OUTPUT -j DROP -p udp --sport 138
iptables -t filter -A OUTPUT -j DROP -p udp --dport 138
iptables -t filter -A OUTPUT -j DROP -p udp --sport 139
iptables -t filter -A OUTPUT -j DROP -p udp --dport 139

iptables -t filter -A INPUT -j DROP -p tcp --sport 137
iptables -t filter -A INPUT -j DROP -p tcp --dport 137
iptables -t filter -A INPUT -j DROP -p tcp --sport 138
iptables -t filter -A INPUT -j DROP -p tcp --dport 138
iptables -t filter -A INPUT -j DROP -p tcp --sport 139
iptables -t filter -A INPUT -j DROP -p tcp --dport 139
iptables -t filter -A OUTPUT -j DROP -p tcp --sport 137
iptables -t filter -A OUTPUT -j DROP -p tcp --dport 137
iptables -t filter -A OUTPUT -j DROP -p tcp --sport 138
iptables -t filter -A OUTPUT -j DROP -p tcp --dport 138
iptables -t filter -A OUTPUT -j DROP -p tcp --sport 139
iptables -t filter -A OUTPUT -j DROP -p tcp --dport 139

iptables -t filter -A FORWARD -j DROP -p udp --sport 137
iptables -t filter -A FORWARD -j DROP -p udp --dport 137
iptables -t filter -A FORWARD -j DROP -p udp --sport 138
iptables -t filter -A FORWARD -j DROP -p udp --dport 138
iptables -t filter -A FORWARD -j DROP -p udp --sport 139
iptables -t filter -A FORWARD -j DROP -p udp --dport 139
iptables -t filter -A FORWARD -j DROP -p udp --sport 137
iptables -t filter -A FORWARD -j DROP -p udp --dport 137
iptables -t filter -A FORWARD -j DROP -p udp --sport 138
iptables -t filter -A FORWARD -j DROP -p udp --dport 138
iptables -t filter -A FORWARD -j DROP -p udp --sport 139
iptables -t filter -A FORWARD -j DROP -p udp --dport 139
iptables -t filter -A FORWARD -j DROP -p tcp --sport 137
iptables -t filter -A FORWARD -j DROP -p tcp --dport 137
iptables -t filter -A FORWARD -j DROP -p tcp --sport 138
iptables -t filter -A FORWARD -j DROP -p tcp --dport 138
iptables -t filter -A FORWARD -j DROP -p tcp --sport 139
iptables -t filter -A FORWARD -j DROP -p tcp --dport 139
iptables -t filter -A FORWARD -j DROP -p tcp --sport 137
iptables -t filter -A FORWARD -j DROP -p tcp --dport 137
iptables -t filter -A FORWARD -j DROP -p tcp --sport 138
iptables -t filter -A FORWARD -j DROP -p tcp --dport 138
iptables -t filter -A FORWARD -j DROP -p tcp --sport 139
iptables -t filter -A FORWARD -j DROP -p tcp --dport 139

iptables -N SASACCT
iptables -I INPUT -j SASACCT
iptables -I OUTPUT -j SASACCT
iptables -I FORWARD -j SASACCT


#
# AQUI CADA CLIENTE TEM UMA ENTRADA DESSA COM DUAS LINHAS PRA GERAÇÃO DE GRAFICOS COM O SASACCT
#
iptables -I SASACCT -s 192.164.213.2 -d 0/0 -j ACCEPT
iptables -I SASACCT -s 0/0 -d 192.164.213.2 -j ACCEPT

iptables -I SASACCT -s 192.164.0.4 -d 0/0 -j ACCEPT
iptables -I SASACCT -s 0/0 -d 192.164.0.4 -j ACCEPT


#
# SQUID TRANSPARENTE
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128


#
# AQUI ABAIXO O MEU NAT!!!
# TENHO NELE CERCA DE 120 CLIENTES

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.145.2 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.3 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.4 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.5 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.6 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.165.65.2 -o eth1 -j MASQUERADE

vouto a dizer que voce não tem duas subredes aí com essa mascara,

faça o seguinte:
use o penultimo octeto para dividir sua subrede:
192.168.0.1 mascara 255.255.160.0 na rede 1
e

192.168.0.1 mascara 255.255.255.0 na rede 2
ou
crie duas classes de ip
172.16.0.* e 192.168.1.* fazendo ip forward no gateway
depois vç cria o netfilter no gateway

Meu estava andando pelo fórum e vi seu caso.
Aqui onde trabalho um rapaz que passou pela empresa desenvolveu a mesma técnica e eu levei uma surra pra aprender isso.
Bom vou esplicar de forma simples como era aqui, e como eu consertei a casa. Olha, deve ser o seu problema.
Antes:
GW - 192.168.0.1
clientes - A - 192.168.3.2/255.255.255.0
B - 192.168.4.2/255.255.255.0
C - 192.168.5.2/255.255.255.0

GW clientes - A - 192.168.3.1
dhcp server - 192.168.0.1 ( máquina linux ) / 255.255.0.0

Bom até aí tudo bem, mas os clientes se enxergavam na rede algumas vezes. Como resolvi ?

DEPOIS:
Eu passei tudo para a Classe A. Com isso ganhei mas ip´s e nunca mais ninguém se enxergo.

clientes - A - 10.0.2.1/255.255.255.0 eth1:1
B - 10.0.4.2/255.255.255.0 eth1:2
C - 10.0.5.2/255.255.255.0 eth1:3
D - 10.4.1.2/255.255.255.0 eth1:4
.......
E - 10.255.255.254/255.255.255.0 meu último ip eth1: ...

GW clientes - A - 10.0.3.1
dhcp server - 10.0.0.1 ( máquina linux ) / 255.0.0.0

Repare os clientes estão em sub redes diferentes. E o Gateway numa classe A lá em cima ele ve todo mundo. Mais ninguém ve ele e ninguém se vé.

Agora eu sei que funciounou, só não me pergunte porquê. haHahaha.

Clone sua máquina com o northon ghost do lado ou use o comando dd.

Configure o novo gateway, teste, assim q tiver beleza, bote todo mundo nele !!! troque também firewall, cbq, squid. Tudo que depender disso.

Michael.

Vou tentar te ajudar.

Primeiro: Voce esta comecando tudo errado. Voce esta liberando TODO o trafego e tentando bloquear o que nao for desejado. Faca o seguinte, bloqueie tudo e libere o que voce desejar (http, https, mail, etc). Com certeza voce acabara com esses problemas.

Segundo: Voce esta querendo que usuarios dentro do mesmo hub/switch estejam em redes diferentes. Nao eh porque voce fez uma rede /30 que os broadcasts nao vao ser enviados entre eles...Isso nao aumenta a seguranca em nada. Divida a rede corretamente, disabilite o broadcast na interface de rede ou entao use VLANs.

Terceiro: Se o firewall do Linux esta complicado para voce, use o OpenBSD :)) Realmente a sintaxe do Iptables eh meio dificil para iniciantes...

[]'s

Daniel B. Cid