iptables - isolar máquinas

[Daniel_Fe]

como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.

[luiscarlos]

bem, para isso todo o trafego que ocorre entre elas deverá passar por um firewall que irá bloquear as portas do samba que são 137,138 e 139

a regra seria + ou - assim, supondo que sua rede fosse 192.168.0.0/24

iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137:139 -j DROP

isso bloquearia todo o trafego que passase pelo firewall vindo de e para a sua rede com destino as portas que o samab usa para comaprtilhamento, se eu estiver enganado, me corrijam. abraços ...

[pilantrox]

Brother ,,, isso naum vai resolver o problema do colega ,, tenho essa regra onde bloqueio o trafego na rede atravéz dessas portas 135,137,138,139 pois sao portas onde normalmente trafegam virus por serem portas de sistema de compartilhamento de arquivo como o samba , bem mas mesmo assim os clientes ainda se enxergavam ... a solução foi o isolamento com as masks,dica do Lacierdias , ex:
cliente 1 : 192.168.0.2/255.255.255.252 broadcast 192.168.0.3
cliente 2 : 192.168.0.6/255.255.255.252 broadcast 192.168.0.7
e assim vai ,,,de 4 em 4,,,,,,,,,,,,,,,, quanto as portas nao sei se minha tese esta correta ......

bem, para isso todo o trafego que ocorre entre elas deverá passar por um firewall que irá bloquear as portas do samba que são 137,138 e 139

a regra seria + ou - assim, supondo que sua rede fosse 192.168.0.0/24

iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137:139 -j DROP

isso bloquearia todo o trafego que passase pelo firewall vindo de e para a sua rede com destino as portas que o samab usa para comaprtilhamento, se eu estiver enganado, me corrijam. abraços ...

[Daniel_Fe]

pilantrox como faço esse isolamento no meu server? que getway ei vou usar em cada cliente ?

[fabricio_]

olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
nao seria soh bloquear qquer conexao entre as duas maquinas ??

Código :

 #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
#iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP

se eu estiver errado eu edito :{

[pilantrox]

Bom fera,,, vc pode fazer de duas maneiras simples,,, ex:

1ª - No seu servidor configura a Ethx que liga com a rede interna da seguinte maneira:
ip 192.168.0.1
mask 255.255.255.0
broadcast 192.168.0.255
no cliente vc configura assim (sempre multiplos de 4 como sua mask eh .252, se preferir usar mascara .248 ai vc usa multiplo de 8) ex .252:

cliente 1
ip 192.168.0.2
mask 255.255.255.252
gw 192.168.0.1

cliente 2
ip 192.168.0.6
mask 255.255.255.252
gw 192.168.0.1

cliente 3
ip 192.168.0.10
mask 255.255.255.252
gw 192.168.0.1

assim eles vao enxergar apenas a propria maquina e o gateway.

a segunda forma é vc criando interfaces virtuais no seu server por ex:

eth1 - 192.168.0.1/255.255.255.252 rede interna
eth1:0 - 192.168.1.1/255.255.255.252 rede interna1
eth1:1 - 192.168.2.1/255.255.255.252 rede interna2

pra vc criar as interfaces virtuais eh simples , basta editar um script onde siga o seguinte comando:

ifconfig eth1:0 inet "ip" netmask "mask" broadcast "broadcast" up
ifconfig eth1:1 inet "ip" netmask "mask" broadcast "broadcast" up

no exemplo acima ficaria:

ifconfig eth1:0 inet 192.168.1.1 netmask 255.255.255.252 broadcast 192.168.1.3 up
ifconfig eth1:1 inet 192.168.2.1 netmask 255.255.255.252 broadcast 192.168.2.3 up

assim o cliente vai usar o ip 192.168.1.2 , 192.168.2.2 e assim vai ,,, ele soh vai enxergar o gw, a broadcast e a propria maquina......

qualquer coisa posta ai ......

pilantrox como faço esse isolamento no meu server? que getway ei vou usar em cada cliente ?

[pilantrox]

Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.

olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
nao seria soh bloquear qquer conexao entre as duas maquinas ??

Código :

 #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
#iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP

se eu estiver errado eu edito :{

[fabricio_]

Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.

olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
nao seria soh bloquear qquer conexao entre as duas maquinas ??

Código :

 #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
#iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP

se eu estiver errado eu edito :{

teria como me explicar o pq disso ? :{ sendo que esta usando apenas a tabela filter ://
desculpa qquer coisa , eh que to aprendendo ainda XD

[pilantrox]

Vc não me entendeu ,,,, eu escrevi correndo tudo , estava com um cliente,,,,, foi erro de interpretação minha da kbeça pro papel....bem oque
eu qria passar realmente era que o processamento , a leitura da tabela nat eh muito menor se trabalhando com redes subnetiadas , vc faz uma regra de POSTROUTING para uma classe de ip 192.168.0.1/255.255.255.0 a tabela de iptables tera q ler os 255 hosts q vc esta estipulando, se vc subnetiar no caso 192.168.0.1/255.255.255.252 ela jah vai ter uma economia de tempo de leitura muito grande.
foi isso que queria dizer ,mas a pressa ,,,,,,,,, falows e foi malz ai.

Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.

olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
nao seria soh bloquear qquer conexao entre as duas maquinas ??

Código :

 #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
#iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP

se eu estiver errado eu edito :{

teria como me explicar o pq disso ? :{ sendo que esta usando apenas a tabela filter ://
desculpa qquer coisa , eh que to aprendendo ainda XD

[CRASH2k]

Se você quer limitar a conectividade entre as estações de um mesmo segmento de rede (compartilhamentos), esqueça o iptables. O que vc fizer será facilmente burlado. Vc seria obrigado a criar segmentos de rede e forçar roteamento entre as estações. Do contrário não tem como controlar isto por filtro de pacotes em um *gateway*. Se quiser, no máximo crie segmentos separados por departamento. Controlar todas as estações do mesmo segmento no iptables é ilusão (a estrutura física tb influencia). Basta modificar o IP/mascara e pronto. No iptables vc só controla o que for roteado. No seu lugar pensaria em outra coisa...

No caso de roteamento, o controle de portas para redes Windows funciona sim... o problema é que não basta informar aquele intervalo... nem tudo será apenas TCP e nem tudo será apenas UDP.

Basicamente, as portas são as seguintes:
135/TCP, 137 e 138/UDP, 139/TCP, 445/(TCP e UDP)

Ps.: A 445 é para comunicação sem NBT (Netbios).

como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.

[GrayFox]

se estiver num hub, wireless sem VLAN, algo do genero, esqueca, porque nao vai depender do servidor para acessar a rede.
6)

[pilantrox]

essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......

se estiver num hub, wireless sem VLAN, algo do genero, esqueca, porque nao vai depender do servidor para acessar a rede.
6)

Que "funciona"... funciona... Mas, ainda assim é uma medida que precisa ser estudada e depende do interesse de cada um e tb do que está em jogo (não existe uma regra). Segmentar uma rede local é interessante, mas dessa forma é um tiro no pé. Vc segmenta qdo quer que "um grupo" tenha restrições de acesso em relação a outro. Para definir políticas de acesso em relação aos diferentes departamentos da empresa, por exemplo. Do jeito como foi colocado o cara fatalmente terá queda de performance (grande) - sempre trabalhando muito abaixo da capacidade porque toda a rede local dependerá de roteamento para acesso interno (ninguém faz isso!!) e qdo aparecer um gaiato com máscara /24 toda a política de acesso vai por água abaixo. Esse tipo de coisa é muito relativo. Pro problema que foi colocado não me parece uma saída muito legal. É preferível usar as políticas de acesso local/grupo do próprio Windows (GPO).

essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......

[felco]

Se voce quer isolar vc deve fazer isso aonde voce distribui o meio de transmisão ou seja no Switch... no AP...
Partindo do ponto que o meio fisico eo mesmo nao adianta fazer mascaras... até é possivel mas é realmente muito trabalhoso é o controle por MAC é necessario

[pilantrox]

Concerteza ,,,nem sempre se tem a mesma plataforma de trabalho , a mesma solução pode ser excelente para um mas naum muito produtiva para outro....mas a intenção sempre é a melhor ,,,, vivendo e aprendendo.

Que "funciona"... funciona... Mas, ainda assim é uma medida que precisa ser estudada e depende do interesse de cada um e tb do que está em jogo (não existe uma regra). Segmentar uma rede local é interessante, mas dessa forma é um tiro no pé. Vc segmenta qdo quer que "um grupo" tenha restrições de acesso em relação a outro. Para definir políticas de acesso em relação aos diferentes departamentos da empresa, por exemplo. Do jeito como foi colocado o cara fatalmente terá queda de performance (grande) - sempre trabalhando muito abaixo da capacidade porque toda a rede local dependerá de roteamento para acesso interno (ninguém faz isso!!) e qdo aparecer um gaiato com máscara /24 toda a política de acesso vai por água abaixo. Esse tipo de coisa é muito relativo. Pro problema que foi colocado não me parece uma saída muito legal. É preferível usar as políticas de acesso local/grupo do próprio Windows (GPO).

essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......