Bloquear compartilhamento de conexão

[Skorpyon]

eu arriscaria o palpite de isso ser graca a alguma forca divina que permite q eles saibam q o pacote esta sofrendo dnat ou snat

husauhsahusahusauhsasuha essa foi boa


Voltando ao assunto do tópico.

Posso ta falando besteira, me corrijam se estiver errado.

Fazendo um compartilhamento em linux com mascaramento nao resolve ?

[TheHawk]

eu arriscaria o palpite de isso ser graca a alguma forca divina que permite q eles saibam q o pacote esta sofrendo dnat ou snat

husauhsahusahusauhsasuha essa foi boa


Voltando ao assunto do tópico.

Posso ta falando besteira, me corrijam se estiver errado.

Fazendo um compartilhamento em linux com mascaramento nao resolve ?

Mesmo com compartilhamento em linux mascarando o pacote ele ainda vai sair com o tempo de vida decrescido de 1, ou seja 63 no caso de linux.

Flw.

[cerealkiller]

:clap:

Graaande tópico este. Realmente interessante.

Tenho uma situação um pouco diferente:

Tenho servidores linux (ou rádios tipo Kodama ou Ovislink) que pegam o sinal da ap e compartilham com os clientes com windows.

Eu poderia implementar esse bloqueio de conexão nesses servidores clientes, mas nos rádios não.

Então eu poderia fazer direto no meu gateway de internet, mas aí teria que decrementar mais 1 nos ttls, é isso?

Porque acho que a maioria dos provedores wireless não fornece link diretamente pros micros dos usuários, e sim em rádios ou servidores para compartilhar com uma maior quantidade de usuários.

[]

[vioflas]

Na minha opnião não tem como bloquear o compartilhamento isso é praticamente impossível.

[tarcisiojr]

Na minha opnião não tem como bloquear o compartilhamento isso é praticamente impossível.

uma coisa eu garanto 99.99% dos compartilhamentos seram cortados pq 0.01% dos usuarios sabem o q eh TTL e muito menos sabem q o bloqueio eh feito em cima disso e mais ainda sabem q tem como modificar isso... entao eh tiro e queda...

[Marcio68Almeida]

tenho duas perguntas (não li todo o tópico, já são 5 páginas)...
1. Você quer implementar o processo de impedir o compartilhamento ou quer burlar o sistema ??? Se for para burlar o sistema, lembre-se que isso não deve ser algo dentro da lei... veja seu contrato de prestação de serviços...
2. você colocou um proxy no servidor que está conectado à internet e mesmo assim o compartilhamento continua sendo impedido ???

1 - os valores de ttl originais usados pelos sistemas operacionais são:
windows - a maioria usa 128
linux - por padrao, 64 mas pode ser alterado em /proc/sys/net/ipv4/ip_default_ttl

Não estou conseguindo alterar o valor padrão no linux coloquei no rc.local o seguinte comando:
echo "128" > /proc/sys/net/ipv4/ip_default_ttl
e apesar de ter sido alterado o tcpdump demonstra ainda a ttl 64

O que pode ser?

# bloquear todas os pacotes com ttl menor que 127
iptables -I FORWARD -m ttl --ttl-lt 127 -j DROP

#ou, permitir apenas a 127
iptables -I FORWARD -m ttl --ttl-eq 127 -j ACCEPT
iptables -P FORWARD DROP

Que regras devemos usar para libera nos seguintes casos.

1)- Rede atrás de um servidor linux
2)- Um determinado ip para que possa fazer compartilhamento e os demais não.

** Quem se habilita para fazer um script ????


Grato,

Thon

[Thon]

Pessoal
Estou tentando logar e bloquear compartilhamento de internet em minha rede. Uso iptables e squid transparente as regras que estou usando são as seguinte :

Código :

# Logando tentativas com ttl menor 127
iptables -I FORWARD -i eth1 -s 10.0.0.0/8  -m ttl --ttl-lt 127 -j LOG --log-level 1 --log-prefix "FIREWALL: ttl menor 127"
#bloqueando
iptables -I FORWARD -i eth1 -s 10.0.0.0/8  -m ttl --ttl-lt 127 -j REJECT

Eth1 - Interface da minha rede interna
10.0.0.0/8 - Faixa de ip dentro da minha rede que quero atuação da regra

O problema é que não estar sendo criado o log apesar de ser bloqueado porem as maquinas continuam navegando via proxy transparente exceto os outros serviço que não passam pelo squid tipo msn, email e outros.

Como faço para resolver este problema

Grato,

thon

[valeonline]

Pessoal to tentando bloquear o compartilhamento aqui só que quando pingo do micro cliente para o servidor a ttl que aparece é 64, coloquei então este micro compartilhando e quando pingo aparece ttl 128.

MICRO LOCAL WINXP>>>PING TTL 128>>>MICRO CLIENTE WIRELESS WINXP>>>PING TTL 64>>>SERVIDOR LINUX WIRELESS

Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?

[tianguapontocom]

meu rei num e da minha conta nao mas... um colega meu do underlinux q mora aki perto de minha cidade fez o mesmo bloqueio
se nao me engano esse bloqueio e feito pela ttl tipo todo windows a ttl e de 128 dai ele fez uma regra dizendo q se a ttl for = ou abaicho de 127 nao navega hehehe tipo todo windows quando compartilha conexao a ttl diminui so que para tristeza tem uma versao do windows xp ea Windows XP SP2 E3 "E ap cubo" trabalha com ttl de 64 e nao da menos nao q eu visse

[PatrickBrandao]

O pessoal que for postar por favor leia todas as página.

O ping funciona mesmo em casos de ttl pois o NAT nos pacotes icmp são replicados em forma de proxy pela maquina que faz o NAT, ou seja, vc dá um ping na net, a maquina que faz nat segura seu ping e faz um ping para fora (novo pacote), quando o pacote novo chega de volta e maquina devolve seu ping original. Logo o proqueio ttl so funciona para UDP e TCP, onde o NAT nao altera o campo ttl nem cria um novo pacote.

[valeonline]

[quote="PatrickBrandao"]O pessoal que for postar por favor leia todas as página.

O ping funciona mesmo em casos de ttl pois o NAT nos pacotes icmp são replicados em forma de proxy pela maquina que faz o NAT, ou seja, vc dá um ping na net, a maquina que faz nat segura seu ping e faz um ping para fora (novo pacote), quando o pacote novo chega de volta e maquina devolve seu ping original. Logo o proqueio ttl so funciona para UDP e TCP, onde o NAT nao altera o campo ttl nem cria um novo pacote.

A pergunta é:

Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?

como seria o comando?

[robsonzornitta]

Krs eu axu issu ai um tanto quantu LOUCU eim???

eu axu que eh realmente feitu com algum tipo defiltro por pacote como o nosso amigo ai em cima citou!!!!


Soh pode ser issu!!!

[aledr]

Krs eu axu issu ai um tanto quantu LOUCU eim???

eu axu que eh realmente feitu com algum tipo defiltro por pacote como o nosso amigo ai em cima citou!!!!


Soh pode ser issu!!!

Nada cara, pode confiar, os posts do Patrick estão cheios de razão, é só estudar um pouco, o próprio material da CCNA no módulo 1 e 2, que já tem uma boa explicação sobre ttl e como ele é alterado a cada nó.

[cleciorodrigo]

boa tarde, estou acompanhando o topico, e tentei utilizar as regras descritas pelo Patrick Brandão, dessa forma criei ao seguinte script em um micro pra teste:

firewall-teste.sh

#!/bin/bash

## Ativa o roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward

## Define as variaveis
IPT=/sbin/iptables
REDE=192.168.100.0/24
IPCLIENTE=192.168.100.5

## Limpa as regras do iptables
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X

## bloquear compartilhamento da internet
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP

## libera compartilhamento
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT

## compartilha a conexão
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE


Funcionou muito bem pra bloquear que o compartilhamento de conexão porem quando tentei efetuar o bloqueio de todos os ips e libera apenas alguns endereços pra compartilhar a conexão com outros micros nao consegui.

Falow

Clecio

[valeonline]

Pessoal to tentando bloquear o compartilhamento aqui só que quando pingo do micro cliente para o servidor a ttl que aparece é 64, coloquei então este micro compartilhando e quando pingo aparece ttl 128.

MICRO LOCAL WINXP>>>PING TTL 128>>>MICRO CLIENTE WIRELESS WINXP>>>PING TTL 64>>>SERVIDOR LINUX WIRELESS

Como devo fazer para bloquear o acesso para o MICRO LOCAL WINXP?

Niguem se haibilita a dizer como deve ser as regras?

[nod3vic3]

boa tarde, estou acompanhando o topico, e tentei utilizar as regras descritas pelo Patrick Brandão, dessa forma criei ao seguinte script em um micro pra teste:

firewall-teste.sh

#!/bin/bash

## Ativa o roteamento
echo "1" > /proc/sys/net/ipv4/ip_forward

## Define as variaveis
IPT=/sbin/iptables
REDE=192.168.100.0/24
IPCLIENTE=192.168.100.5

## Limpa as regras do iptables
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X

## bloquear compartilhamento da internet
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP

## libera compartilhamento
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT

## compartilha a conexão
$IPT -t nat -P POSTROUTING DROP
$IPT -t nat -A POSTROUTING -s $REDE -j MASQUERADE


Funcionou muito bem pra bloquear que o compartilhamento de conexão porem quando tentei efetuar o bloqueio de todos os ips e libera apenas alguns endereços pra compartilhar a conexão com outros micros nao consegui.

Falow

Clecio

Você tem liberar primeiro os endereços para compartilhar a conexão e depois bloquear o resto, inverta as regras, deixe como abaixo:

Código :

## libera compartilhamento para o cliente XXX
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j ACCEPT
 
## bloquear compartilhamento da internet
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
iptables -A FORWARD -s $REDE -m ttl --ttl-eq 126 -j DROP