Desperdício na distribuição de IP's e isolação de estações

[osmano807]

Vejamos, teria que ter uma subnet pra cada cliente para ele não ver os outros, não ter acesso direto...

Se usar um /31, sobra 1 bit. Não dá, tem que ser um /30 então.

192.168.x.n - rede
192.168.x.n+1 - gateway
192.168.x.n+2 - cliente
192.168.x.n+3 - broadcast

Com x em [0, 255] e n em [0-252].

A pergunta é, não está sendo desperdiçado IP's? (para a rede e o broadcast). Qual outra maneira de isolar as estações?

[Roberto21]

Osmano, existe um negócio , coisa, seja lá o que for chamado firewall, ''conhece''? (rssss) Isso ai isola e impede a comunicação em várias camadas, é só usar, mas não sei como...rssss

Abração brother.

[osmano807]

Osmano, existe um negócio , coisa, seja lá o que for chamado firewall, ''conhece''? (rssss) Isso ai isola e impede a comunicação em várias camadas, é só usar, mas não sei como...rssss

Abração brother.

O problema é que se todo mundo tá na mesma faixa, não vão passar pelo gateway. E se não passarem pelo gateway, o firewall não adianta de nada, não tem como filtrar.

[Pirigoso]

mano ja te ajudo ai vo pra casa daqui a pouco, a rede ja tem asn? autenticação pppoe?

[osmano807]

mano ja te ajudo ai vo pra casa daqui a pouco, a rede ja tem asn? autenticação pppoe?

Preocupa não, foi só questão teórica. É que o JorgeAldo citou que pppoe é desnecessário nesse cenário.

[rubensk]

Vejamos, teria que ter uma subnet pra cada cliente para ele não ver os outros, não ter acesso direto...

Se usar um /31, sobra 1 bit. Não dá, tem que ser um /30 então.

192.168.x.n - rede
192.168.x.n+1 - gateway
192.168.x.n+2 - cliente
192.168.x.n+3 - broadcast

Com x em [0, 255] e n em [0-252].

A pergunta é, não está sendo desperdiçado IP's? (para a rede e o broadcast). Qual outra maneira de isolar as estações?

Uma outra maneira é configurá-las numa subnet maior (/26 ou /24), com isolamento entre as máquinas (Wi-Fi e Ethernet) e para que elas ainda possam conversar entre si, habilitar proxy-arp. Assim, se você tem o IP .2 e vai falar com o IP .3, o roteador responde com o MAC dele e o pacote vai para o gateway tal como pacotes que vão para a Internet.

É um dos poucos senão o único uso benigno de proxy-arp.

[Roberto21]

Osmano como te falei antes a solução correta para isso é IPv6, não gambiarras tipo PPPoE.

CASO realmente queira algo que resolva isso, ainda tem como prover, trata-se do uso de filtering bridges.

Traduzindo o que eu disse, isso ai que você sugeriu e filtro de camada ????

Um doce pra quem souber...

[Roberto21]

Dai vc faz uma imensa rede bridge, mas bloqueia broadcast e netbios usando o filtro.

Revelou parte de minhas configurações aqui!!

associando um bloqueio de interfaces, mais um bloqueio de bridge + broadcast + netbios, ninguém enxerga ninguém.

[andrelch]

usa /32 - máscara 255.255.255.255
Aqui tem funcionado bem

[alexandrecorrea]

usar /32 voce precisa de uma regra extra no roteamento, para adicionar o gateway ja que na rede vai existir apenas 1 host..

existe outra alternativa, utilizada ha muito tempo pelas operadoras em links seriais ppp etc, é usar a mascara /31 255.255.255.254 .. Gateway+host apenas..

resolve seu problema osmano !!


... chamar pppoe de gambiarra.. sei nao.. cada um tem sua opinião mesmo....

[alexandrecorrea]

entao o que seria o ideal para wireless ??

ip x mac ? hotspot ?


exatamente, foi criado quando se utilizava ATM, etc... mas nada impediu que fosse utilizado em cima de ETHERNET e funcionar sem problema algum.


realmente, eu acho que nao sei o que estou fazendo ...

[rubem]

Hotspot? Autenticação manual pelo navegador é pior que gambiarra, é ridículo mesmo.

É usado porque o provedor tem menos suporte a prestar na configuração, mas é totalmente anti-produtivo pro usuário.

[osmano807]

Hotspot? Autenticação manual pelo navegador é pior que gambiarra, é ridículo mesmo. É usado porque o provedor tem menos suporte a prestar na configuração, mas é totalmente anti-produtivo pro usuário.

Exato, isto que eu estava pensando. É ridículo autenticar via http.

Eu dei uma lida rápida nos RFC e na Wikipedia, e não está muito claro...
Lá diz que o broadcast não é obrigatório, e na wikipedia cita que o broadcast é o último endereço da subnet, enquanto que o RFC (que acho que está desatualizado) fala que sempre termina em 255. (Todos os octetos do host preenchidos com 1).

Ê... tá confuso...

Já com um /31, o RFC 3021 fala que é pra considerar o broadcast 255.255.255.255, até aí beleza. O problema é o gateway ter tantos IP's...
Apesar de que se botar uma rota no cliente, soluciona o problema, eu acho (to 192.168.0.1 dev eth0). Mas aí é mais trabalho...

[leandrovaranda]

Por que ?

Quanto ao PPPoE, já postei calculos sobre o overhead criado quando se usa PPPoE.

É um tunel, e como todo tunel aumenta o overhead da rede.

Sinceramente pra mim autenticação é hotspot. Não tem nada de gambiarra nisso.

Existem outros métodos de autenticação que eu recomendo, como por exemplo o authpf, mas que dependem de um programa rodando no computador do cliente, o que a maioria não gosta.

Como você faz para um cliente que tem 3 computadores a autenticação ficar na ap para ele não ter que ficar digitando usuário e senha?
Já usei hotspot e for a pior época do meu provedor, só dava dor de cabeça, hoje uso pppoe e não tenho mais problemas.

Pense num cliente empresarial com 48 maquinas que precisa de fazer a conexão chegar num servidor linux (sem ambiente gráfico) para redistribuir internamente depois de passar pelo filtragem do firewall para os funcionários acessarem somente o que for permitido. Nesse ambiente como funcionaria a autenticação por hotspot? Vai colocar um ambiente gráfico no linux só para autenticar?
Hotspot serve para bem para locais públicos, como hotéis e shoppings, em que não dá para ficar configurando o pc cliente por se tratar de uma conexão de curta duração.

[Roberto21]

E poem um cara desse que abriu esse post, com uma pegunta dessa... como "moderador cheche", nossa tá na hora de rever os valores x conhecimento... porem não posso falar muito minha reputação é de iniciante... Deus me deu 2 orelhas mas somente uma boca.

Pois é, é ridículo o seu comentário, parece que você tem uma boca mais não consegue controlar a mesma.

Colocar a capacidade técnica do Osmano em dúvida por que ele abriu um tópico para ''debates'' é no minimo ser iniciante mesmo e não conhecer nada do fórum underlinux e outros por ai.

Perdeu uma chance de não escrever nada.

[leandrovaranda]

Calma ai galera, cada técnica em sua utilidade, não existe uma panaceia, todas as técnicas tem prós e contras.
Citando osmano807 (grifo nosso):

Preocupa não, foi só questão teórica. É que o JorgeAldo citou que pppoe é desnecessário nesse cenário.

Ou seja, esse tópico é para discutir qual técnica atende melhor qual situação. Gambiarra é fazer vários desvios no pacote por não usar a técnica correta para a situação. Na MINHA opnião pppoe é a melhor solução para provedor pois cria um tunelamento que evita muitos problemas. Já o hotspot é mais indicado em ambientes fechados, como dentro de uma escola onde se usa a base de dados da escola para autenticar o aluno e você não quer ter que ir lá configurar o pc de cada um dos alunos. IpXMac funciona em redes pequenas, mas se torna um problema quando a rede começa a crescer.

[alexandrecorrea]

hotspot fica facil rodar um sniffer na rede e capturar os pacotes, mesmo que codificados por uma gambiarra em javascript igual o mikrotik faz (md5.js).


com hotspot da para pegar "carona" na sessao do usuario... por exemplo, alguem clona o mac e ip.. pronto.. ta feita a zona...


cliente com mais de 1 maquina, empresa por exemplo, como foi citado... imagine que o depto de TI que tem a senha do hotspot... ai o cara do TI atrasa... e o contador precisa emitir nota, ver emails... e nao sabe a senha... que beleza hem ?

overhead ? muito pouco... antigamente, em epoca de banda estreita, realmente, ate compactação do cabeçalho TCP dava um ganho 'fantastico', pra quem usou modem de 1400bps e 9600bps ... era uma maravilha essa 'compactação', bem dizia 'Van-Jacobson' (http://en.wikipedia.org/wiki/Van_Jac...er_Compression)


um hotel que fiquei hospedado, cobrava 20 reais para ter acesso wi-fi. usavam hotspot mikrotik... conectei meu notebook na rede, e deixei rodando um sniffer... peguei a senha de alguem la... clonei ip x mac do cara, fiquei esperando ele ficar 'off-line', depois usei a senha dele para fazer o que eu precisava...

mas eh preferencia... tem muita gente que gosta de hotspot.. eu nao gosto, eh uma opinião apenas.. como dizem por sai.. são meus 0.02 cents :P

[alexandrecorrea]

ta bom !

[rubensk]

Algo que precisa ser levado em conta é a percepção do cliente; a sensação de que a Internet está sempre ligada é um ponto importante, e que PPPoE a partir do computador ou Hotspot bloqueiam. DHCP é o único que dá isso; se na sua CPE vai estar configurado como DHCP, IP fixo, PPPoE, L2TP etc., tudo bem, pois a percepção do cliente ainda é a de "ligou funcionou".

[rubem]

PPPoE ao menos permite a autenticação no roteador de entrada, ligou o roteador e já está navegando.
Hostpost exige ou o DEFUNTO chamado NAVEGADOR, ou o DEFUNTO chamado computador.

Você quer chegar em casa ou na empresa, ligar o roteador e usar o telefone VOIP, ops, não pode, tem primeiro que ligar o computador e abrir o navegador.
Quer ligar a TV e ver se tem algum video novo nos canais favoritos do YouTube. Ops... primeiro faça como uma boa senhorinha que acha que a internet se resume ao navegador pra ver as fotos no facebook dos netinhos.
Se quer ligar o combo da TV e comprar alguma coisa via pay-per-view? Nops, primeiro vai lá ligar o pc e se logar pra liberar o acesso, seja um bom capiáu e assista no maximo a Globo, nada de PPV...
Quer usar cliente de email, não dá, primeiro tem que abrir navegador. Quer usar algum aviso no tablet ou smartphone? Primeiro tem que ver SE o navegador desses aparelhos abre as gambiarras em padrão não-W3C que uns provedores usam na página de login.

E não dá pra falar que isso é pra quem tem internet veloz, um cliente de email consome muito menos banda que o monstrengo chamado webmail. Assistir videos do Youtube na TV também consome menos banda porque não baixa as propagandas e videos similares (Eu na verdade configuro pra baixar sempre em 360p pra ir mais rápido, no navegador não tem como limitar isso por default então é comum começar a abrir em 480p), até mesmo clientes de redes socials (Blergh) pra Android e iOS consomem muito menos banda que abrir a página formal e careta pelo navegador. Aprendi a não usar o navegador justo por internet lenta (Discada, edge, grps, adsl de 128Kbps. Alias, até mesmo usar p2p bem configurado usa menos banda do que sair googlando por algum conteúdo pirateado.

Enfim... esperar que todo mundo seja noob ou idoso que só usa computador e navegador é o problema de quem usa hostpot. Ter OPÇÃO de usar hostpost pra algum tipo de bilhetagem (Pré-pago) é uma coisa, mas ter APENAS hostpost facilita o provedor e atrapalha o usuario. PPPoE pelo menos permite ser configurado no roteador, depois que passa pelo roteador de entrada é o cliente que decide se usará navegador ou não, a principio se contrata o serviço de internet e não o serviço de navegação http.


(E soluções pra rodar no pc tem o mesmo problema, além de ter que ir configurar em cada computador (E se minha tia chega aqui sabado a noite e quer navegar com o notebook dela? Se a autenticação estiver no roteador (E sempre deve estar) tá tranquilo, só vai ter que digitar a senha da rede sem fio, ou plugar um cabo de rede, simples). Ainda usamos configuração no PC do usuario, com PCI e USB, mas ultimamente pra cada usuario com desktop tem 3 com dispositivos portateis ou moveis. E... usuarios com dispositivos como netbooks, tablets, TV com plugin do Youtube, Telefone Voip, consomem MENOS banda que o tradicionais com desktop parado e ligado o tempo todo, ora com alguem no messenger, ora no facebook, ora no youtube, mas sempre com um p2p mal-configurado no fundo)