+ Responder ao Tópico



  1. #1

    Smile Dúvidas de iniciante sobre IPTABLES

    Olá galera, meu nome é Wellington, esse é meu primeiro tópico aqui no Under-Linux.

    Estou com uma dúvida aqui que acho que vcs podem me ajudar... é o seguinte:

    Sou o adminstrador da rede de um prédio que tem mais ou menos 20 computadores, nessa rede temos um roteador que está ligado ao link de internet para fazer a distribuição para os apartamentos, temos uma política nesse prédio que o usuário tem que pagar uma taxa para poder utilizar a internet e a rede, caso ele não pague tenho que bloquear o acesso dele a internet, até ai tudo bem, consigo fazer isso através do roteador, só que ai acontece o seguinte, consigo bloquear ele de acessar a internet, mas não de acessar a rede do prédio, e além disso mesmo bloqueando o acesso deles a internet, os usuários continuam compartilhando arquivos e tudo mais. Oque eu queria saber é se tem algum jeito de bloquear esse cara que não pagou a taxa de entrar na rede usando IPTABBLES ou MIKROTIK, sem ter que apelar para fazer configurações no computador da pessoa como desinstalar protocolos e tal.

    Desde já agradeço ai pessoal
    No aguardo.

  2. #2

    Padrão

    O usuários acessam a rede local e a internet via Wireless ou cabo?

    *Se for cabo, é só desconectar o cabo que vai para o usuário do switch / patch panel e ele não acessará.

    abracos



  3. #3

    Padrão

    Então, eles acessam através de cabo mesmo...
    Boa dica essa de desligar o cabo....
    mais aproveitando a resposta... tem um outro jeito ?
    tipo assim, coloco cada computador em uma vlan diferente, e configuro o IPTABLES,
    pq imagino que somente a configuração no IPTABLES não funcionaria para bloquear o acesso de um computador na rede (os pacotes chegariam até o switch e não passariam pelo servidor com IPTABLES)...

    Bom caso tenho um outro jeito... por favor postem aqui...

  4. #4

    Padrão

    A vlan seria algo interessante também, mas pode ser arriscado dependendo das configurações do seu servidor gateway.

    Outra coisa interessante seria um servidor de dados desmembrado do servidor de internet, algo como uma DMZ, ai seria um pouco mais complicado ele passar para o servidor de dados sem passar pelo Gateway ou Roteador.

    Se for possível, mostre-nos o esquema dos servidores, desde o link de internet até os usuários.

    abracos



  5. #5

    Padrão

    Vou providenciar um desenho técnico aqui, ai eu posto pra vcs analisarem se tem como bloquear os computadores que não pagam de acessar a rede... na verdade gostaria que fosse como se usuário tivesse sem o cabo de rede plugado... e que eu pudesse fazer isso direto em meu servidor... ai assim que ele acertar a taxa.. desbloqueio facilmente...

    mas blz,,, agradeço por equanto...

  6. #6

    Padrão

    Bom cara... Pelo iptables, como você mesmo disse, não é muito simples porque eles não passam pelo iptables pois estão todos na mesma rede. Uma solução serial colocar cada um em redes diferentes usando sub-redes, ai sim o iptables funciona. Agora isso é meio chato de se fazer.

    Agora outras ideias que você pode usar:
    1. Desativar a porta do switch.
    2. Utilizar uma VLAN. Acho que essa é uma das mais simples e plausíveis porque você pode criar uma VLAN nomeada. Você poe o nome dela de naopagosX, e põe uma única porta nessa VLAN e vai incrementando o numero X no final do nome da VLAN sempre que precisar bloquear outra pessoa. Dessa forma você isola os bloqueados sem que eles acessem outros bloqueados e sem que acesse a rede dos liberados.
    3. Utilizar port-security (se seu switch suportar). Com o port security você pode limitar o numero de MAC's nas portas e inclusive dizer quais são esses MACs. Se alguém não pagar você cadastra um MAC inválido na porta dele com a permissão de apenas um MAC por porta. Dessa forma o switch não vai aceitar os pacotes, a não ser que seja do MAC cadastrado.


    Bem, é isso ai. Desativar a porta é a mais simples de todas mas como te disse acho a ideia da VLAN a mais legalzinha. A melhor e mais segura é com port-security, mas não são todos switches que suportam e também você vai ter que manter uma documentação das portas bloqueadas e dos MACs corretos. Pra isso é interessante utilizar a descrição da interface. O único impecílio do port-security é que se alguém trocar de PC ou trocar a placa de rede vc tem que re-cadastrar...

    Qualquer dúvida posta ai...
    Última edição por Magnun; 26-11-2008 às 08:05.



  7. #7

    Padrão

    Desligue o cabo, mais fácil, 100% seguro e não perde tempo.

  8. #8

    Padrão

    Obrigado a atenção de todos até agora.

    Citação Postado originalmente por Magnun Ver Post
    Bom cara... Pelo iptables, como você mesmo disse, não é muito simples porque eles não passam pelo iptables pois estão todos na mesma rede. Uma solução serial colocar cada um em redes diferentes usando sub-redes, ai sim o iptables funciona. Agora isso é meio chato de se fazer.

    Agora outras ideias que você pode usar:
    1. Desativar a porta do switch.
    2. Utilizar uma VLAN. Acho que essa é uma das mais simples e plausíveis porque você pode criar uma VLAN nomeada. Você poe o nome dela de naopagosX, e põe uma única porta nessa VLAN e vai incrementando o numero X no final do nome da VLAN sempre que precisar bloquear outra pessoa. Dessa forma você isola os bloqueados sem que eles acessem outros bloqueados e sem que acesse a rede dos liberados.
    3. Utilizar port-security (se seu switch suportar). Com o port security você pode limitar o numero de MAC's nas portas e inclusive dizer quais são esses MACs. Se alguém não pagar você cadastra um MAC inválido na porta dele com a permissão de apenas um MAC por porta. Dessa forma o switch não vai aceitar os pacotes, a não ser que seja do MAC cadastrado.


    Bem, é isso ai. Desativar a porta é a mais simples de todas mas como te disse acho a ideia da VLAN a mais legalzinha. A melhor e mais segura é com port-security, mas não são todos switches que suportam e também você vai ter que manter uma documentação das portas bloqueadas e dos MACs corretos. Pra isso é interessante utilizar a descrição da interface. O único impecílio do port-security é que se alguém trocar de PC ou trocar a placa de rede vc tem que re-cadastrar...

    Qualquer dúvida posta ai...
    Então magnun, sobre a segunda opção que vc me deu, a de utilizar uma vlan, acho que vou ter que optar por ela msm, por que meu switch não suporta port security... bom mais vou precisar de uma ajudinha... tem como você me explicar melhor como fazer essa configuração, claro que não detalhadamente, mais como vou fazer a separação das vlans, tem que ser uma para os bloqueados, outra para os liberados, algum tutorial.... bom vai me ajudar bastante.... vallew cara.



  9. #9

    Padrão

    Cara, tutorial eu não tenho, até mesmo porque isso varia dependendo do fabricante do switch...

    Mas a ideia é assim: vc tem uma VLAN de permitidos. Nela vai estar todos os pagantes e o seu gateway de internet (linux). quando alguem deixar de pagar, digamos o cara do ap 301. Criamos uma vlan bloquado301 e colocamos nela só a porta do ap 301. Se o cara do 210 não pagar, criamos a vlan bloqueado210 e colocamos a porta do ap 210. Como vc disse q n quer que tenha arquivos compartilhados nem mesmo entre os bloqueados, não podemos colocar todos bloqueados numa vlan.

    Pra te ajudar temos que descobrir se seu switch suporta vlans e como configurar vlan nele.

    Ah, e eu não recomendo ficar tirando o cabo. Com o tempo isso danifica a porta so switch. Ainda mais dependendo de onde esse switch fique...
    Última edição por Magnun; 26-11-2008 às 19:07.

  10. #10

    Padrão

    Ah sim agora eu entendi como fazer essa separação, então de cabeça eu não lembro o modelo de meu switch, mais vou dar uma olhada e assim que eu tiver a resposta eu posto aqui...

    Vallew mesmo cara, tá me ajudando muito...
    Abraços



  11. #11

    Padrão

    Cara, descobri que meus switchs não suportam gerenciamento de vlan's, vou ter que comprar outros modelos, ou fazer a aquele processo de desligar os cabos do switch de quem não pagar a taxa...
    mais blz...

    Mudando de assunto: Magnun, lendo suas respostas observei que você é certificado em CCNA, cara se pode me dar algumas dicas tipo quanto você pagou para fazer o exame, onde realizou, quantos exames são, porque acabei de verificar em uma escola e ela me disse que tem que fazer o pgto em cartão de crédito internacional... ai fica meio difícil pra mim fazer... vallew...
    Abraços

  12. #12

    Padrão

    Cara, verifica se seu switch suporta pelo menos o desativamento de portas através de linha de comando. Ficar tirando e colocando cabo no switch pode danificar as portas.

    Quanto ao CCNA, fiz uma prova. Atualmente, você tem a opção de fazer duas provas. Acho que eles começaram a achar que o conteudo era pesado d+ pra uma única prova ou querem ganhar mais dinheiro...
    A prova quando eu fiz foi 150,00 dólares. E realmente, tem que ser feito o pagamento através de cartão de crédito internacional. Isso a 3 anos atrás, talvés já tenha mudado o esquema.

    Aqui no forum tem uma área de dúvidas sobre certificação CISCO e eu começei também um grupo social sobre certificação CCNA, pra tratar de assuntos mais off-topic... Precisando de ajuda pode utilizar qualquer um dos meios. Se isso ficar sendo tratado aqui algum moderador pode considerar que está fugindo do tópico. Sabe como é ne?! Normas... hehehe

    Até mais...



  13. #13

    Padrão

    Vallew mesmo pelas informações ai, me ajudaram muito concerteza...abraços

  14. #14

    Padrão cabo...

    sem tirar cabo so com switch gerenciavel...