Página 4 de 4 PrimeiroPrimeiro 1234
+ Responder ao Tópico



  1. #61

    Padrão Bloquear compartilhamento de conexão

    Citação Postado originalmente por SDM
    eu arriscaria o palpite de isso ser graca a alguma forca divina que permite q eles saibam q o pacote esta sofrendo dnat ou snat
    husauhsahusahusauhsasuha essa foi boa


    Voltando ao assunto do tópico.

    Posso ta falando besteira, me corrijam se estiver errado.

    Fazendo um compartilhamento em linux com mascaramento nao resolve ?

  2. #62

    Padrão Bloquear compartilhamento de conexão

    Citação Postado originalmente por Skorpyon
    Citação Postado originalmente por SDM
    eu arriscaria o palpite de isso ser graca a alguma forca divina que permite q eles saibam q o pacote esta sofrendo dnat ou snat
    husauhsahusahusauhsasuha essa foi boa


    Voltando ao assunto do tópico.

    Posso ta falando besteira, me corrijam se estiver errado.

    Fazendo um compartilhamento em linux com mascaramento nao resolve ?
    Mesmo com compartilhamento em linux mascarando o pacote ele ainda vai sair com o tempo de vida decrescido de 1, ou seja 63 no caso de linux.

    Flw.

  3. #63

    Padrão Bloquear compartilhamento de conexão

    :clap:

    Graaande tópico este. Realmente interessante.

    Tenho uma situação um pouco diferente:

    Tenho servidores linux (ou rádios tipo Kodama ou Ovislink) que pegam o sinal da ap e compartilham com os clientes com windows.

    Eu poderia implementar esse bloqueio de conexão nesses servidores clientes, mas nos rádios não.

    Então eu poderia fazer direto no meu gateway de internet, mas aí teria que decrementar mais 1 nos ttls, é isso?

    Porque acho que a maioria dos provedores wireless não fornece link diretamente pros micros dos usuários, e sim em rádios ou servidores para compartilhar com uma maior quantidade de usuários.

    []

  4. #64

    Padrão Bloquear compartilhamento de conexão

    Na minha opnião não tem como bloquear o compartilhamento isso é praticamente impossível.

  5. #65

    Padrão Bloquear compartilhamento de conexão

    Citação Postado originalmente por vioflas
    Na minha opnião não tem como bloquear o compartilhamento isso é praticamente impossível.
    uma coisa eu garanto 99.99% dos compartilhamentos seram cortados pq 0.01% dos usuarios sabem o q eh TTL e muito menos sabem q o bloqueio eh feito em cima disso e mais ainda sabem q tem como modificar isso... entao eh tiro e queda...

  6. #66

    Padrão Bloquear compartilhamento de conexão

    tenho duas perguntas (não li todo o tópico, já são 5 páginas)...
    1. Você quer implementar o processo de impedir o compartilhamento ou quer burlar o sistema ??? Se for para burlar o sistema, lembre-se que isso não deve ser algo dentro da lei... veja seu contrato de prestação de serviços...
    2. você colocou um proxy no servidor que está conectado à internet e mesmo assim o compartilhamento continua sendo impedido ???

  7. #67
    Visitante

    Padrão Bloquear compartilhamento de conexão

    Citação Postado originalmente por Thon
    Citação Postado originalmente por PatrickBrandao
    1 - os valores de ttl originais usados pelos sistemas operacionais são:
    windows - a maioria usa 128
    linux - por padrao, 64 mas pode ser alterado em /proc/sys/net/ipv4/ip_default_ttl
    Não estou conseguindo alterar o valor padrão no linux coloquei no rc.local o seguinte comando:
    echo "128" > /proc/sys/net/ipv4/ip_default_ttl
    e apesar de ter sido alterado o tcpdump demonstra ainda a ttl 64

    O que pode ser?

    Citação Postado originalmente por PatrickBrandao

    # bloquear todas os pacotes com ttl menor que 127
    iptables -I FORWARD -m ttl --ttl-lt 127 -j DROP

    #ou, permitir apenas a 127
    iptables -I FORWARD -m ttl --ttl-eq 127 -j ACCEPT
    iptables -P FORWARD DROP
    Que regras devemos usar para libera nos seguintes casos.

    1)- Rede atrás de um servidor linux
    2)- Um determinado ip para que possa fazer compartilhamento e os demais não.

    ** Quem se habilita para fazer um script ????


    Grato,

    Thon

  8. #68

    Padrão Bloquear compartilhamento de conexão

    Pessoal
    Estou tentando logar e bloquear compartilhamento de internet em minha rede. Uso iptables e squid transparente as regras que estou usando são as seguinte :

    Código :
    # Logando tentativas com ttl menor 127
    iptables -I FORWARD -i eth1 -s 10.0.0.0/8  -m ttl --ttl-lt 127 -j LOG --log-level 1 --log-prefix "FIREWALL: ttl menor 127"
    #bloqueando
    iptables -I FORWARD -i eth1 -s 10.0.0.0/8  -m ttl --ttl-lt 127 -j REJECT
    Eth1 - Interface da minha rede interna
    10.0.0.0/8 - Faixa de ip dentro da minha rede que quero atuação da regra

    O problema é que não estar sendo criado o log apesar de ser bloqueado porem as maquinas continuam navegando via proxy transparente exceto os outros serviço que não passam pelo squid tipo msn, email e outros.

    Como faço para resolver este problema

    Grato,

    thon

  9. #69

    Padrão Bloquear compartilhamento de conexão

    Pessoal to tentando bloquear o compartilhamento aqui só que quando pingo do micro cliente para o servidor a ttl que aparece é 64, coloquei então este micro compartilhando e quando pingo aparece ttl 128.

    MICRO LOCAL WINXP>>>PING TTL 128>>>MICRO CLIENTE WIRELESS WINXP>>>PING TTL 64>>>SERVIDOR LINUX WIRELESS

    Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?

  10. #70

    Padrão meu rei

    meu rei num e da minha conta nao mas... um colega meu do underlinux q mora aki perto de minha cidade fez o mesmo bloqueio
    se nao me engano esse bloqueio e feito pela ttl tipo todo windows a ttl e de 128 dai ele fez uma regra dizendo q se a ttl for = ou abaicho de 127 nao navega hehehe tipo todo windows quando compartilha conexao a ttl diminui so que para tristeza tem uma versao do windows xp ea Windows XP SP2 E3 "E ap cubo" trabalha com ttl de 64 e nao da menos nao q eu visse

  11. #71

    Padrão bloqueio

    O pessoal que for postar por favor leia todas as página.

    O ping funciona mesmo em casos de ttl pois o NAT nos pacotes icmp são replicados em forma de proxy pela maquina que faz o NAT, ou seja, vc dá um ping na net, a maquina que faz nat segura seu ping e faz um ping para fora (novo pacote), quando o pacote novo chega de volta e maquina devolve seu ping original. Logo o proqueio ttl so funciona para UDP e TCP, onde o NAT nao altera o campo ttl nem cria um novo pacote.

  12. #72

    Padrão Re: bloqueio

    [quote="PatrickBrandao"]O pessoal que for postar por favor leia todas as página.

    O ping funciona mesmo em casos de ttl pois o NAT nos pacotes icmp são replicados em forma de proxy pela maquina que faz o NAT, ou seja, vc dá um ping na net, a maquina que faz nat segura seu ping e faz um ping para fora (novo pacote), quando o pacote novo chega de volta e maquina devolve seu ping original. Logo o proqueio ttl so funciona para UDP e TCP, onde o NAT nao altera o campo ttl nem cria um novo pacote.

    A pergunta é:

    Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?

    como seria o comando?

  13. #73
    robsonzornitta
    Visitante

    Padrão Sei lah eim????

    Krs eu axu issu ai um tanto quantu LOUCU eim???

    eu axu que eh realmente feitu com algum tipo defiltro por pacote como o nosso amigo ai em cima citou!!!!


    Soh pode ser issu!!!


  14. #74

    Padrão Re: Sei lah eim????

    Citação Postado originalmente por robsonzornitta
    Krs eu axu issu ai um tanto quantu LOUCU eim???

    eu axu que eh realmente feitu com algum tipo defiltro por pacote como o nosso amigo ai em cima citou!!!!


    Soh pode ser issu!!!


    Nada cara, pode confiar, os posts do Patrick estão cheios de razão, é só estudar um pouco, o próprio material da CCNA no módulo 1 e 2, que já tem uma boa explicação sobre ttl e como ele é alterado a cada nó.

  15. #75

    Padrão Re: Bloquear compartilhamento de conexão

    boa tarde, estou acompanhando o topico, e tentei utilizar as regras descritas pelo Patrick Brandão, dessa forma criei ao seguinte script em um micro pra teste:

    firewall-teste.sh

    #!/bin/bash

    ## Ativa o roteamento
    echo "1" > /proc/sys/net/ipv4/ip_forward

    ## Define as variaveis
    IPT=/sbin/iptables
    REDE=192.168.100.0/24
    IPCLIENTE=192.168.100.5

    ## Limpa as regras do iptables
    $IPT -F
    $IPT -X
    $IPT -t nat -F
    $IPT -t nat -X

    ## bloquear compartilhamento da internet
    iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
    iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP

    ## libera compartilhamento
    iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT

    ## compartilha a conexão
    $IPT -t nat -P POSTROUTING DROP
    $IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE


    Funcionou muito bem pra bloquear que o compartilhamento de conexão porem quando tentei efetuar o bloqueio de todos os ips e libera apenas alguns endereços pra compartilhar a conexão com outros micros nao consegui.

    Falow

    Clecio

  16. #76

    Padrão Re: Bloquear compartilhamento de conexão

    Citação Postado originalmente por valeonline
    Pessoal to tentando bloquear o compartilhamento aqui só que quando pingo do micro cliente para o servidor a ttl que aparece é 64, coloquei então este micro compartilhando e quando pingo aparece ttl 128.

    MICRO LOCAL WINXP>>>PING TTL 128>>>MICRO CLIENTE WIRELESS WINXP>>>PING TTL 64>>>SERVIDOR LINUX WIRELESS

    Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?
    Niguem se haibilita a dizer como deve ser as regras?

  17. #77

    Padrão Re: Bloquear compartilhamento de conexão

    Citação Postado originalmente por cleciorodrigo
    boa tarde, estou acompanhando o topico, e tentei utilizar as regras descritas pelo Patrick Brandão, dessa forma criei ao seguinte script em um micro pra teste:

    firewall-teste.sh

    #!/bin/bash

    ## Ativa o roteamento
    echo "1" > /proc/sys/net/ipv4/ip_forward

    ## Define as variaveis
    IPT=/sbin/iptables
    REDE=192.168.100.0/24
    IPCLIENTE=192.168.100.5

    ## Limpa as regras do iptables
    $IPT -F
    $IPT -X
    $IPT -t nat -F
    $IPT -t nat -X

    ## bloquear compartilhamento da internet
    iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
    iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP

    ## libera compartilhamento
    iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT

    ## compartilha a conexão
    $IPT -t nat -P POSTROUTING DROP
    $IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE


    Funcionou muito bem pra bloquear que o compartilhamento de conexão porem quando tentei efetuar o bloqueio de todos os ips e libera apenas alguns endereços pra compartilhar a conexão com outros micros nao consegui.

    Falow

    Clecio
    Você tem liberar primeiro os endereços para compartilhar a conexão e depois bloquear o resto, inverta as regras, deixe como abaixo:
    Código :
    ## libera compartilhamento para o cliente XXX
    iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT
     
    ## bloquear compartilhamento da internet
    iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
    iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP