como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.
Versão Imprimível
como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.
bem, para isso todo o trafego que ocorre entre elas deverá passar por um firewall que irá bloquear as portas do samba que são 137,138 e 139
a regra seria + ou - assim, supondo que sua rede fosse 192.168.0.0/24
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137:139 -j DROP
isso bloquearia todo o trafego que passase pelo firewall vindo de e para a sua rede com destino as portas que o samab usa para comaprtilhamento, se eu estiver enganado, me corrijam. abraços ...
Brother ,,, isso naum vai resolver o problema do colega ,, tenho essa regra onde bloqueio o trafego na rede atravéz dessas portas 135,137,138,139 pois sao portas onde normalmente trafegam virus por serem portas de sistema de compartilhamento de arquivo como o samba , bem mas mesmo assim os clientes ainda se enxergavam ... a solução foi o isolamento com as masks,dica do Lacierdias , ex:
cliente 1 : 192.168.0.2/255.255.255.252 broadcast 192.168.0.3
cliente 2 : 192.168.0.6/255.255.255.252 broadcast 192.168.0.7
e assim vai ,,,de 4 em 4,,,,,,,,,,,,,,,, quanto as portas nao sei se minha tese esta correta ......
Citação:
Postado originalmente por luiscarlos
pilantrox como faço esse isolamento no meu server? que getway ei vou usar em cada cliente ?
olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...
pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
nao seria soh bloquear qquer conexao entre as duas maquinas ??
se eu estiver errado eu edito :{Código :
#iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP #iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP
Bom fera,,, vc pode fazer de duas maneiras simples,,, ex:
1ª - No seu servidor configura a Ethx que liga com a rede interna da seguinte maneira:
ip 192.168.0.1
mask 255.255.255.0
broadcast 192.168.0.255
no cliente vc configura assim (sempre multiplos de 4 como sua mask eh .252, se preferir usar mascara .248 ai vc usa multiplo de 8) ex .252:
cliente 1
ip 192.168.0.2
mask 255.255.255.252
gw 192.168.0.1
cliente 2
ip 192.168.0.6
mask 255.255.255.252
gw 192.168.0.1
cliente 3
ip 192.168.0.10
mask 255.255.255.252
gw 192.168.0.1
assim eles vao enxergar apenas a propria maquina e o gateway.
a segunda forma é vc criando interfaces virtuais no seu server por ex:
eth1 - 192.168.0.1/255.255.255.252 rede interna
eth1:0 - 192.168.1.1/255.255.255.252 rede interna1
eth1:1 - 192.168.2.1/255.255.255.252 rede interna2
pra vc criar as interfaces virtuais eh simples , basta editar um script onde siga o seguinte comando:
ifconfig eth1:0 inet "ip" netmask "mask" broadcast "broadcast" up
ifconfig eth1:1 inet "ip" netmask "mask" broadcast "broadcast" up
no exemplo acima ficaria:
ifconfig eth1:0 inet 192.168.1.1 netmask 255.255.255.252 broadcast 192.168.1.3 up
ifconfig eth1:1 inet 192.168.2.1 netmask 255.255.255.252 broadcast 192.168.2.3 up
assim o cliente vai usar o ip 192.168.1.2 , 192.168.2.2 e assim vai ,,, ele soh vai enxergar o gw, a broadcast e a propria maquina......
qualquer coisa posta ai ......
Citação:
Postado originalmente por Daniel_Fe