se nada tá funcionando quer dizer q teu fw tá errado...
digita "iptables -L -n" e cola aqui...
dica, se vc nao quer q nada passe nas portas netbios, tranque-as dessa forma:
iptables -A FORWARD -m tcp -m multiport -p tcp --dports 135,137,138,139,445 -j REJECT
iptables -A FORWARD -m udp -m multiport -p udp --dports 135,137,138,139,445 -j REJECT
iptables -t nat -A POSOTROUTING -m tcp -m multiport -p tcp --dports 135,137,138,139,445 -j REJECT
iptables -t nat -A POSOTROUTING -m udp -m multiport -p udp --dports 135,137,138,139,445 -j REJECT
isso bloqueará as portas MS-RPC (135), NetBIOS (137,138,139) e Microsoft DS (445)...
tudo o q for relativo a essas portas em qq interface será rejeitado pelo roteador....
outra dica é travar cada cliente por ip/netmask/mac/portas...
iptables -A FORWARD -s 192.168.1.2/255.255.255.252 -m mac XX:XX:XX:XX:XX:XX -d 0/0 -m tcp -m multiport -p tcp --dports ! 135,137,138,139,445 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2/255.255.255.252 -m mac XX:XX:XX:XX:XX:XX -d 0/0 -m udp -m multiport -p udp --dports ! 135,137,138,139,445 -j ACCEPT
isso garantirá que caso alguem troque o netmask pra tentar trocar arquivos sem passar pelo seu roteador seja bloqueado... (provavelmente ele vai te ligá pra perguntar pq n tá funcionando e vc vai saber quem tá fazendo coisa errada...)
outra dica é implementar solucoes como PPPoE, fazendo com que o usuario "disque pra internet" pra poder se conectar... aqui na UL tem um tutorial de como fazer isso...
Caso use um switch gerenciável, tb tem como fazer isso pelo switch (coisa q eu acho meio dificil... mto pouca gente tem $$ pra ter um desses)
-
16-08-2004, 15:26 #21brunomarceloVisitante
Redes diferentes se enxergando!!!
-
16-08-2004, 15:56 #22
- Ingresso
- Feb 2004
- Posts
- 451
Redes diferentes se enxergando!!!
Mas tipo eu naum to nem olhando pelo Win... estou disparando um ping contra o ip de outra rede com classe diferente e dando um //IP_do_cara e ta abrindo sem problemas, como se ele fizesse parte da minha classe de Ip e vice versa!!
Postado originalmente por 1c3_m4n
-
16-08-2004, 16:04 #23
- Ingresso
- Feb 2004
- Posts
- 451
Redes diferentes se enxergando!!!
PESSOAL AI ESTÁ MEU FIREWALL, NAT, SASACCT E TUDO MAIS!!!
REGRAS DE BLOQUEIO ETC... JA TENTEI DE TUDO E NADA TA DANDO CERTO, SERÁ QUE EXISTE ALGO DE ERRADO COM ESSE SCRIPT???
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
iptables -A FORWARD -m unclean -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -N TRINOO
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i eth1 --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i eth1 --dport 35555 -j TRINOO
iptables -N TROJAN
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i eth1 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i eth1 --dport 16660 -j TROJAN
iptables -A FORWARD -p tcp --dport 135 -i eth0 -j REJECT
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -N SCANNER
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j SCANNER
iptables -A FORWARD -p udp --dport 137:139 -j DROP
iptables -A FORWARD -p tcp --dport 137:139 -j DROP
iptables -t filter -A INPUT -j DROP -p udp --sport 137
iptables -t filter -A INPUT -j DROP -p udp --dport 137
iptables -t filter -A INPUT -j DROP -p udp --sport 138
iptables -t filter -A INPUT -j DROP -p udp --dport 138
iptables -t filter -A INPUT -j DROP -p udp --sport 139
iptables -t filter -A INPUT -j DROP -p udp --dport 139
iptables -t filter -A OUTPUT -j DROP -p udp --sport 137
iptables -t filter -A OUTPUT -j DROP -p udp --dport 137
iptables -t filter -A OUTPUT -j DROP -p udp --sport 138
iptables -t filter -A OUTPUT -j DROP -p udp --dport 138
iptables -t filter -A OUTPUT -j DROP -p udp --sport 139
iptables -t filter -A OUTPUT -j DROP -p udp --dport 139
iptables -t filter -A INPUT -j DROP -p tcp --sport 137
iptables -t filter -A INPUT -j DROP -p tcp --dport 137
iptables -t filter -A INPUT -j DROP -p tcp --sport 138
iptables -t filter -A INPUT -j DROP -p tcp --dport 138
iptables -t filter -A INPUT -j DROP -p tcp --sport 139
iptables -t filter -A INPUT -j DROP -p tcp --dport 139
iptables -t filter -A OUTPUT -j DROP -p tcp --sport 137
iptables -t filter -A OUTPUT -j DROP -p tcp --dport 137
iptables -t filter -A OUTPUT -j DROP -p tcp --sport 138
iptables -t filter -A OUTPUT -j DROP -p tcp --dport 138
iptables -t filter -A OUTPUT -j DROP -p tcp --sport 139
iptables -t filter -A OUTPUT -j DROP -p tcp --dport 139
iptables -t filter -A FORWARD -j DROP -p udp --sport 137
iptables -t filter -A FORWARD -j DROP -p udp --dport 137
iptables -t filter -A FORWARD -j DROP -p udp --sport 138
iptables -t filter -A FORWARD -j DROP -p udp --dport 138
iptables -t filter -A FORWARD -j DROP -p udp --sport 139
iptables -t filter -A FORWARD -j DROP -p udp --dport 139
iptables -t filter -A FORWARD -j DROP -p udp --sport 137
iptables -t filter -A FORWARD -j DROP -p udp --dport 137
iptables -t filter -A FORWARD -j DROP -p udp --sport 138
iptables -t filter -A FORWARD -j DROP -p udp --dport 138
iptables -t filter -A FORWARD -j DROP -p udp --sport 139
iptables -t filter -A FORWARD -j DROP -p udp --dport 139
iptables -t filter -A FORWARD -j DROP -p tcp --sport 137
iptables -t filter -A FORWARD -j DROP -p tcp --dport 137
iptables -t filter -A FORWARD -j DROP -p tcp --sport 138
iptables -t filter -A FORWARD -j DROP -p tcp --dport 138
iptables -t filter -A FORWARD -j DROP -p tcp --sport 139
iptables -t filter -A FORWARD -j DROP -p tcp --dport 139
iptables -t filter -A FORWARD -j DROP -p tcp --sport 137
iptables -t filter -A FORWARD -j DROP -p tcp --dport 137
iptables -t filter -A FORWARD -j DROP -p tcp --sport 138
iptables -t filter -A FORWARD -j DROP -p tcp --dport 138
iptables -t filter -A FORWARD -j DROP -p tcp --sport 139
iptables -t filter -A FORWARD -j DROP -p tcp --dport 139
iptables -N SASACCT
iptables -I INPUT -j SASACCT
iptables -I OUTPUT -j SASACCT
iptables -I FORWARD -j SASACCT
#
# AQUI CADA CLIENTE TEM UMA ENTRADA DESSA COM DUAS LINHAS PRA GERAÇÃO DE GRAFICOS COM O SASACCT
#
iptables -I SASACCT -s 192.164.213.2 -d 0/0 -j ACCEPT
iptables -I SASACCT -s 0/0 -d 192.164.213.2 -j ACCEPT
iptables -I SASACCT -s 192.164.0.4 -d 0/0 -j ACCEPT
iptables -I SASACCT -s 0/0 -d 192.164.0.4 -j ACCEPT
#
# SQUID TRANSPARENTE
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80 -j REDIRECT --to-port 3128
#
# AQUI ABAIXO O MEU NAT!!!
# TENHO NELE CERCA DE 120 CLIENTES
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.145.2 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.3 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.4 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.5 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.145.6 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.165.65.2 -o eth1 -j MASQUERADE
-
17-08-2004, 11:53 #24marleciooliveiraVisitante volto a dizer
vouto a dizer que voce não tem duas subredes aí com essa mascara,
faça o seguinte:
use o penultimo octeto para dividir sua subrede:
192.168.0.1 mascara 255.255.160.0 na rede 1
e
192.168.0.1 mascara 255.255.255.0 na rede 2
ou
crie duas classes de ip
172.16.0.* e 192.168.1.* fazendo ip forward no gateway
depois vç cria o netfilter no gateway
-
17-08-2004, 15:37 #25moon_knightVisitante Redes diferentes se enxergando!!!
Meu estava andando pelo fórum e vi seu caso.
Aqui onde trabalho um rapaz que passou pela empresa desenvolveu a mesma técnica e eu levei uma surra pra aprender isso.
Bom vou esplicar de forma simples como era aqui, e como eu consertei a casa. Olha, deve ser o seu problema.
Antes:
GW - 192.168.0.1
clientes - A - 192.168.3.2/255.255.255.0
B - 192.168.4.2/255.255.255.0
C - 192.168.5.2/255.255.255.0
GW clientes - A - 192.168.3.1
dhcp server - 192.168.0.1 ( máquina linux ) / 255.255.0.0
Bom até aí tudo bem, mas os clientes se enxergavam na rede algumas vezes. Como resolvi ?
DEPOIS:
Eu passei tudo para a Classe A. Com isso ganhei mas ip´s e nunca mais ninguém se enxergo.
clientes - A - 10.0.2.1/255.255.255.0 eth1:1
B - 10.0.4.2/255.255.255.0 eth1:2
C - 10.0.5.2/255.255.255.0 eth1:3
D - 10.4.1.2/255.255.255.0 eth1:4
.......
E - 10.255.255.254/255.255.255.0 meu último ip eth1: ...
GW clientes - A - 10.0.3.1
dhcp server - 10.0.0.1 ( máquina linux ) / 255.0.0.0
Repare os clientes estão em sub redes diferentes. E o Gateway numa classe A lá em cima ele ve todo mundo. Mais ninguém ve ele e ninguém se vé.
Agora eu sei que funciounou, só não me pergunte porquê. haHahaha.
Clone sua máquina com o northon ghost do lado ou use o comando dd.
Configure o novo gateway, teste, assim q tiver beleza, bote todo mundo nele !!! troque também firewall, cbq, squid. Tudo que depender disso.
-
17-08-2004, 16:02 #26sinistrowVisitante Redes diferentes se enxergando!!!
Michael.
Vou tentar te ajudar.
Primeiro: Voce esta comecando tudo errado. Voce esta liberando TODO o trafego e tentando bloquear o que nao for desejado. Faca o seguinte, bloqueie tudo e libere o que voce desejar (http, https, mail, etc). Com certeza voce acabara com esses problemas.
Segundo: Voce esta querendo que usuarios dentro do mesmo hub/switch estejam em redes diferentes. Nao eh porque voce fez uma rede /30 que os broadcasts nao vao ser enviados entre eles...Isso nao aumenta a seguranca em nada. Divida a rede corretamente, disabilite o broadcast na interface de rede ou entao use VLANs.
Terceiro: Se o firewall do Linux esta complicado para voce, use o OpenBSD) Realmente a sintaxe do Iptables eh meio dificil para iniciantes...
[]'s
Daniel B. Cid
Citação