como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.
como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.
bem, para isso todo o trafego que ocorre entre elas deverá passar por um firewall que irá bloquear as portas do samba que são 137,138 e 139
a regra seria + ou - assim, supondo que sua rede fosse 192.168.0.0/24
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137:139 -j DROP
isso bloquearia todo o trafego que passase pelo firewall vindo de e para a sua rede com destino as portas que o samab usa para comaprtilhamento, se eu estiver enganado, me corrijam. abraços ...
Brother ,,, isso naum vai resolver o problema do colega ,, tenho essa regra onde bloqueio o trafego na rede atravéz dessas portas 135,137,138,139 pois sao portas onde normalmente trafegam virus por serem portas de sistema de compartilhamento de arquivo como o samba , bem mas mesmo assim os clientes ainda se enxergavam ... a solução foi o isolamento com as masks,dica do Lacierdias , ex:
cliente 1 : 192.168.0.2/255.255.255.252 broadcast 192.168.0.3
cliente 2 : 192.168.0.6/255.255.255.252 broadcast 192.168.0.7
e assim vai ,,,de 4 em 4,,,,,,,,,,,,,,,, quanto as portas nao sei se minha tese esta correta ......
Postado originalmente por luiscarlos
pilantrox como faço esse isolamento no meu server? que getway ei vou usar em cada cliente ?
olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...
pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
nao seria soh bloquear qquer conexao entre as duas maquinas ??
se eu estiver errado eu edito :{Código :#iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP #iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP
Bom fera,,, vc pode fazer de duas maneiras simples,,, ex:
1ª - No seu servidor configura a Ethx que liga com a rede interna da seguinte maneira:
ip 192.168.0.1
mask 255.255.255.0
broadcast 192.168.0.255
no cliente vc configura assim (sempre multiplos de 4 como sua mask eh .252, se preferir usar mascara .248 ai vc usa multiplo de 8) ex .252:
cliente 1
ip 192.168.0.2
mask 255.255.255.252
gw 192.168.0.1
cliente 2
ip 192.168.0.6
mask 255.255.255.252
gw 192.168.0.1
cliente 3
ip 192.168.0.10
mask 255.255.255.252
gw 192.168.0.1
assim eles vao enxergar apenas a propria maquina e o gateway.
a segunda forma é vc criando interfaces virtuais no seu server por ex:
eth1 - 192.168.0.1/255.255.255.252 rede interna
eth1:0 - 192.168.1.1/255.255.255.252 rede interna1
eth1:1 - 192.168.2.1/255.255.255.252 rede interna2
pra vc criar as interfaces virtuais eh simples , basta editar um script onde siga o seguinte comando:
ifconfig eth1:0 inet "ip" netmask "mask" broadcast "broadcast" up
ifconfig eth1:1 inet "ip" netmask "mask" broadcast "broadcast" up
no exemplo acima ficaria:
ifconfig eth1:0 inet 192.168.1.1 netmask 255.255.255.252 broadcast 192.168.1.3 up
ifconfig eth1:1 inet 192.168.2.1 netmask 255.255.255.252 broadcast 192.168.2.3 up
assim o cliente vai usar o ip 192.168.1.2 , 192.168.2.2 e assim vai ,,, ele soh vai enxergar o gw, a broadcast e a propria maquina......
qualquer coisa posta ai ......
Postado originalmente por Daniel_Fe
Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.
Postado originalmente por fabricio_
teria como me explicar o pq disso ? :{ sendo que esta usando apenas a tabela filter ://Postado originalmente por pilantrox
desculpa qquer coisa , eh que to aprendendo ainda XD
Vc não me entendeu ,,,, eu escrevi correndo tudo , estava com um cliente,,,,, foi erro de interpretação minha da kbeça pro papel....bem oque
eu qria passar realmente era que o processamento , a leitura da tabela nat eh muito menor se trabalhando com redes subnetiadas , vc faz uma regra de POSTROUTING para uma classe de ip 192.168.0.1/255.255.255.0 a tabela de iptables tera q ler os 255 hosts q vc esta estipulando, se vc subnetiar no caso 192.168.0.1/255.255.255.252 ela jah vai ter uma economia de tempo de leitura muito grande.
foi isso que queria dizer ,mas a pressa ,,,,,,,,, falows e foi malz ai.
Postado originalmente por fabricio_
Se você quer limitar a conectividade entre as estações de um mesmo segmento de rede (compartilhamentos), esqueça o iptables. O que vc fizer será facilmente burlado. Vc seria obrigado a criar segmentos de rede e forçar roteamento entre as estações. Do contrário não tem como controlar isto por filtro de pacotes em um *gateway*. Se quiser, no máximo crie segmentos separados por departamento. Controlar todas as estações do mesmo segmento no iptables é ilusão (a estrutura física tb influencia). Basta modificar o IP/mascara e pronto. No iptables vc só controla o que for roteado. No seu lugar pensaria em outra coisa...
No caso de roteamento, o controle de portas para redes Windows funciona sim... o problema é que não basta informar aquele intervalo... nem tudo será apenas TCP e nem tudo será apenas UDP.
Basicamente, as portas são as seguintes:
135/TCP, 137 e 138/UDP, 139/TCP, 445/(TCP e UDP)
Ps.: A 445 é para comunicação sem NBT (Netbios).
Postado originalmente por Daniel_Fe
se estiver num hub, wireless sem VLAN, algo do genero, esqueca, porque nao vai depender do servidor para acessar a rede.
6)
essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......
Postado originalmente por GrayFox
Que "funciona"... funciona... Mas, ainda assim é uma medida que precisa ser estudada e depende do interesse de cada um e tb do que está em jogo (não existe uma regra). Segmentar uma rede local é interessante, mas dessa forma é um tiro no pé. Vc segmenta qdo quer que "um grupo" tenha restrições de acesso em relação a outro. Para definir políticas de acesso em relação aos diferentes departamentos da empresa, por exemplo. Do jeito como foi colocado o cara fatalmente terá queda de performance (grande) - sempre trabalhando muito abaixo da capacidade porque toda a rede local dependerá de roteamento para acesso interno (ninguém faz isso!!) e qdo aparecer um gaiato com máscara /24 toda a política de acesso vai por água abaixo. Esse tipo de coisa é muito relativo. Pro problema que foi colocado não me parece uma saída muito legal. É preferível usar as políticas de acesso local/grupo do próprio Windows (GPO).
Postado originalmente por pilantrox
Se voce quer isolar vc deve fazer isso aonde voce distribui o meio de transmisão ou seja no Switch... no AP...
Partindo do ponto que o meio fisico eo mesmo nao adianta fazer mascaras... até é possivel mas é realmente muito trabalhoso é o controle por MAC é necessario
Concerteza ,,,nem sempre se tem a mesma plataforma de trabalho , a mesma solução pode ser excelente para um mas naum muito produtiva para outro....mas a intenção sempre é a melhor ,,,, vivendo e aprendendo.
Postado originalmente por Anonymous