Redes diferentes se enxergando!!!

**Michael** · 15-08-2004, 22:19

Ae pessoal to com um pequeno problema, que talvez seja a dúvida de muitos outros aki!!!
Tenho um Servidor Linux com cerca de 120 Clientes pendurados, ele ta dando conta do recado direitinho!!! funfa 100% :lol: :lol:
Mas estou com um pequeno problema de segurança relativamente simples, mas que ta me tirando o sono, nele tenho duas placas de rede eth0 e eth1 na eth0 estão pendurandos todos os meus clientes nas interfaces virtuais eth0:1, eth0:2, eth0:3 etc... Em todas as redes sempre utilizo mascara 252, e tranco ela ao brodcast ou seja fica assim eth0:1 192.168.0.1 Brodcast 192.168.0.3 no cliente
IP 192.168.0.2
Masc 255.255.255.252
Gat 192.168.0.1
Nenhum cliente consegue se enxeragar, já que tbm as portas de Netbios estão bloqueadas para isso uso essas regras abaixo

iptables -t filter -A INPUT -j DROP -p udp --sport 137
iptables -t filter -A INPUT -j DROP -p udp --dport 137
iptables -t filter -A INPUT -j DROP -p udp --sport 138
iptables -t filter -A INPUT -j DROP -p udp --dport 138
iptables -t filter -A INPUT -j DROP -p udp --sport 139
iptables -t filter -A INPUT -j DROP -p udp --dport 139
iptables -t filter -A OUTPUT -j DROP -p udp --sport 137
iptables -t filter -A OUTPUT -j DROP -p udp --dport 137
iptables -t filter -A OUTPUT -j DROP -p udp --sport 138
iptables -t filter -A OUTPUT -j DROP -p udp --dport 138
iptables -t filter -A OUTPUT -j DROP -p udp --sport 139
iptables -t filter -A OUTPUT -j DROP -p udp --dport 139

Até ai blza!!! Agora vamos ao meu problema...

Mesmo estando em uma rede diferente pr ex 192.168.200.2 eu consigo pingar para a rede 192.169.150.2 e até mesmo abrir seu compartilhamento de arquivos caso o mesmo esteja ativado numa boa,
isso acontece com todas as redes que tenho nesse servidor, ja tentei várias regras de iptables, mas não obtive sucesso em nenhuma delas...
O que estou precisando é que nenhum cliente tenha a minima possibilizade de realizar qualquer troca de pacotes principalmente troca de arquivos com pastas compartilhadas, ou seja ele pode sair pra Net sem qualquer impedimento, mas não pode enxergar o host de outro cliente..!!!

Aguardo uma dica dos amigos!!!

Valeu!!!

**ondasbr** · 16-08-2004, 00:02

Ola Michael:

Parece ser problema de regras IPTABLE e Roteamento.

Verifique minunciosamente.
Se nao conseguir resolver, monte ontro servidor
linux, com as mesmas regras e vá excluindo as possibilidades.

Veja se no AP existe alguma regra de roteamento, NAt ou gateway

Desculpe nao poder ajudar mais

Abraços

Att. Alexandre

**gustavo_marcon** · 16-08-2004, 00:05

bom vou dar uma dica dai se não der certo vc entra ai e avisa pq ñ tenho certeza se isso resolve.
Seguinte: pelo que sei vc deve bloquear as portas tcp e udp 137 138 e 139 mas como vi vc só bloqueou as udp , talvez esse seja o motivo de que os compatilhamentos de arquivos se enxerguem.

Outra coisa como vc está fazendo nat as redes irão se enxergar mesmo estando em redes distintas, para impedir isso vc deve criar uma regra do iptables bloqueando o acesso de uma faixa de ip interna para outra... isso foi o uma sugestão minha, quem tiver uma dica melhor por favor poste aqui.

**Michael** · 16-08-2004, 08:23

Postado originalmente por ondasbr

Ola Michael:

Parece ser problema de regras IPTABLE e Roteamento.

Verifique minunciosamente.
Se nao conseguir resolver, monte ontro servidor
linux, com as mesmas regras e vá excluindo as possibilidades.

Veja se no AP existe alguma regra de roteamento, NAt ou gateway

Desculpe nao poder ajudar mais

Abraços

Att. Alexandre

Realmente camarada é um problema de regras de iptables, mas resta agora saber onde bloquear o acesso de uma rede à outra...

Esse é o X da questão!!! Quanto a montagem de outro server só resolver pra isso é desperdicio... :lol: :lol: :lol: Mas blza!! valeu a intenção de ajudar!!!!

**Michael** · 16-08-2004, 08:31

Postado originalmente por gustavo_marcon

bom vou dar uma dica dai se não der certo vc entra ai e avisa pq ñ tenho certeza se isso resolve.
Seguinte: pelo que sei vc deve bloquear as portas tcp e udp 137 138 e 139 mas como vi vc só bloqueou as udp , talvez esse seja o motivo de que os compatilhamentos de arquivos se enxerguem.

Outra coisa como vc está fazendo nat as redes irão se enxergar mesmo estando em redes distintas, para impedir isso vc deve criar uma regra do iptables bloqueando o acesso de uma faixa de ip interna para outra... isso foi o uma sugestão minha, quem tiver uma dica melhor por favor poste aqui.

Ja fechei tbm as portas tcp, mas continuam se enxergando!!!

**1c3m4n** · 16-08-2004, 08:54

feche o FORWARD dessas portas...

pensador-ce · 16-08-2004, 09:06

fera tira estas regras dai e coloca essa q eu tb tenho um sistema igual ao seu. agora este sistema tem uma falha.
por exemplo:
cliente 1 = 192.168.1.2
cliente 2 = 172.16.1.2
eles nao se enxergam, mais se o cliente 1 mudar o ip dele para 172.16.1.3 ele poderá entrar na rede do outro e invadir, portanto, muito cuidado com sua lista de ips.
regra
iptables -A FORWARD -i ! eth1 -j DROP
ele irá bloquear tudo, exceto a placa q da acesso a net.

**Michael** · 16-08-2004, 09:06

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra, pois ja tentei de tudo e nenhuma deu certo!!
Talvez estaja cometendo algum erro na criação, que ta me causando tanto transtorno!!

pensador-ce · 16-08-2004, 09:07

tenta esta q coloque acima

**Michael** · 16-08-2004, 09:09

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra de FORWARD, pois ja tentei de tudo e nenhuma deu certo!!
Talvez esteja cometendo algum erro na criação, que ta me causando tanto transtorno!!

**Michael** · 16-08-2004, 09:16

Postado originalmente por pensador-ce

fera tira estas regras dai e coloca essa q eu tb tenho um sistema igual ao seu. agora este sistema tem uma falha.
por exemplo:
cliente 1 = 192.168.1.2
cliente 2 = 172.16.1.2
eles nao se enxergam, mais se o cliente 1 mudar o ip dele para 172.16.1.3 ele poderá entrar na rede do outro e invadir, portanto, muito cuidado com sua lista de ips.
regra
iptables -A FORWARD -i ! eth1 -j DROP
ele irá bloquear tudo, exceto a placa q da acesso a net.

Amigão, infelizmente a mesma coisa, tbm troquei a eth1 pela eth0 e nda!!!
consigo acessar qualquer rede na boa!! tanto pingando quanto dando um //ip_do_cara consigo abrir tudo!!!

**1c3m4n** · 16-08-2004, 09:24

Postado originalmente por Michael

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra, pois ja tentei de tudo e nenhuma deu certo!!
Talvez estaja cometendo algum erro na criação, que ta me causando tanto transtorno!!

ueh eh soh vc usar as mesmas regras q vc postou no primeiro post seu e trocar o INPUT por FORWARD

marleciooliveira · 16-08-2004, 09:41

na ordem em que está a sua rede, você não criou subredes, pois sua mascara não esta definidade para criar subredes:
exemplo:
192.168.1.1 mascara 255.255.160.1 rede 1
192.169.1.1 mascara 255.255.255.0 rede 2

mais ou menos nessa ordem,
quem irá definir as subredes será a mascara.

**Michael** · 16-08-2004, 09:43

Postado originalmente por 1c3_m4n

Postado originalmente por Michael

Postado originalmente por 1c3_m4n

feche o FORWARD dessas portas...

Camarada, sem querer ser ignorante, vc poderia exemplificar pra mim essa regra, pois ja tentei de tudo e nenhuma deu certo!!
Talvez estaja cometendo algum erro na criação, que ta me causando tanto transtorno!!

ueh eh soh vc usar as mesmas regras q vc postou no primeiro post seu e trocar o INPUT por FORWARD

Amigo nada!!
o acesso continua!!!

**Michael** · 16-08-2004, 09:46

Postado originalmente por marleciooliveira

na ordem em que está a sua rede, você não criou subredes, pois sua mascara não esta definidade para criar subredes:
exemplo:
192.168.1.1 mascara 255.255.160.1 rede 1
192.169.1.1 mascara 255.255.255.0 rede 2

mais ou menos nessa ordem,
quem irá definir as subredes será a mascara.

Todas a minha subredes estão definidas com mascara 252 Exp:
IP 192.168.0.1 Mac 255.255.255.252 BroadCast 192.168.0.3

No cliente fica o ip 192.168.0.2 e gateway 192.168.0.1
e assim por diante!!!

**1c3m4n** · 16-08-2004, 10:13

tenta bloquear o broadcast tb

bouncer · 16-08-2004, 10:22

esse é foda em...cara tive esse problema...faz isso..aqui

IPTABLES -A FORWARD -d 192.168.0.0/24 -s 10.30.0.0/24 -j DROP
IPTABLES -A FORWARD -d 192.168.0.0/24 -s 192.168.0.0/24 -j DROP

**Michael** · 16-08-2004, 15:03

Amigos ouncer e 1c3_m4n nenhuma das alternativas deu certo!!!
putzz!!!
Será que isso naum tem jeito???

**1c3m4n** · 16-08-2004, 15:16

cara tem um detalhe, tipo se sua rede já "enxergou" a outra, qdo vc bloquear os pacotes ela num vai simplesmente desaparecer da lista, no win leva um tempinho pra ele atualizar esses dados

bouncer · 16-08-2004, 15:23

tem que da certo..assim amigo...tenho aqui ap...

IPTABLES -A FORWARD -d rede1 -s rede2 -j DROP
IPTABLES -A FORWARD -d rede2 -s rede1 -j DROP

Redes diferentes se enxergando!!!

Ferramentas de Tópicos