+ Responder ao Tópico



  1. #1
    Daniel_Fe
    Visitante

    Padrão iptables - isolar máquinas

    como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.

  2. #2

    Padrão iptables - isolar máquinas

    bem, para isso todo o trafego que ocorre entre elas deverá passar por um firewall que irá bloquear as portas do samba que são 137,138 e 139

    a regra seria + ou - assim, supondo que sua rede fosse 192.168.0.0/24

    iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137:139 -j DROP

    isso bloquearia todo o trafego que passase pelo firewall vindo de e para a sua rede com destino as portas que o samab usa para comaprtilhamento, se eu estiver enganado, me corrijam. abraços ...

  3. #3
    pilantrox
    Visitante

    Padrão iptables - isolar máquinas

    Brother ,,, isso naum vai resolver o problema do colega ,, tenho essa regra onde bloqueio o trafego na rede atravéz dessas portas 135,137,138,139 pois sao portas onde normalmente trafegam virus por serem portas de sistema de compartilhamento de arquivo como o samba , bem mas mesmo assim os clientes ainda se enxergavam ... a solução foi o isolamento com as masks,dica do Lacierdias , ex:
    cliente 1 : 192.168.0.2/255.255.255.252 broadcast 192.168.0.3
    cliente 2 : 192.168.0.6/255.255.255.252 broadcast 192.168.0.7
    e assim vai ,,,de 4 em 4,,,,,,,,,,,,,,,, quanto as portas nao sei se minha tese esta correta ......

    Citação Postado originalmente por luiscarlos
    bem, para isso todo o trafego que ocorre entre elas deverá passar por um firewall que irá bloquear as portas do samba que são 137,138 e 139

    a regra seria + ou - assim, supondo que sua rede fosse 192.168.0.0/24

    iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 --dport 137:139 -j DROP

    isso bloquearia todo o trafego que passase pelo firewall vindo de e para a sua rede com destino as portas que o samab usa para comaprtilhamento, se eu estiver enganado, me corrijam. abraços ...

  4. #4
    Daniel_Fe
    Visitante

    Padrão iptables - isolar máquinas

    pilantrox como faço esse isolamento no meu server? que getway ei vou usar em cada cliente ?

  5. #5
    fabricio_
    Visitante

    Padrão iptables - isolar máquinas

    olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

    pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
    nao seria soh bloquear qquer conexao entre as duas maquinas ??

    Código :
     #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
    #iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP
    se eu estiver errado eu edito :{

  6. #6
    pilantrox
    Visitante

    Padrão iptables - isolar máquinas

    Bom fera,,, vc pode fazer de duas maneiras simples,,, ex:

    1ª - No seu servidor configura a Ethx que liga com a rede interna da seguinte maneira:
    ip 192.168.0.1
    mask 255.255.255.0
    broadcast 192.168.0.255
    no cliente vc configura assim (sempre multiplos de 4 como sua mask eh .252, se preferir usar mascara .248 ai vc usa multiplo de 8) ex .252:

    cliente 1
    ip 192.168.0.2
    mask 255.255.255.252
    gw 192.168.0.1

    cliente 2
    ip 192.168.0.6
    mask 255.255.255.252
    gw 192.168.0.1

    cliente 3
    ip 192.168.0.10
    mask 255.255.255.252
    gw 192.168.0.1

    assim eles vao enxergar apenas a propria maquina e o gateway.

    a segunda forma é vc criando interfaces virtuais no seu server por ex:

    eth1 - 192.168.0.1/255.255.255.252 rede interna
    eth1:0 - 192.168.1.1/255.255.255.252 rede interna1
    eth1:1 - 192.168.2.1/255.255.255.252 rede interna2

    pra vc criar as interfaces virtuais eh simples , basta editar um script onde siga o seguinte comando:

    ifconfig eth1:0 inet "ip" netmask "mask" broadcast "broadcast" up
    ifconfig eth1:1 inet "ip" netmask "mask" broadcast "broadcast" up

    no exemplo acima ficaria:

    ifconfig eth1:0 inet 192.168.1.1 netmask 255.255.255.252 broadcast 192.168.1.3 up
    ifconfig eth1:1 inet 192.168.2.1 netmask 255.255.255.252 broadcast 192.168.2.3 up

    assim o cliente vai usar o ip 192.168.1.2 , 192.168.2.2 e assim vai ,,, ele soh vai enxergar o gw, a broadcast e a propria maquina......

    qualquer coisa posta ai ......


    Citação Postado originalmente por Daniel_Fe
    pilantrox como faço esse isolamento no meu server? que getway ei vou usar em cada cliente ?

  7. #7
    pilantrox
    Visitante

    Padrão iptables - isolar máquinas

    Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.

    Citação Postado originalmente por fabricio_
    olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

    pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
    nao seria soh bloquear qquer conexao entre as duas maquinas ??

    Código :
     #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
    #iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP
    se eu estiver errado eu edito :{

  8. #8
    fabricio_
    Visitante

    Padrão iptables - isolar máquinas

    Citação Postado originalmente por pilantrox
    Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.

    Citação Postado originalmente por fabricio_
    olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

    pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
    nao seria soh bloquear qquer conexao entre as duas maquinas ??

    Código :
     #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
    #iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP
    se eu estiver errado eu edito :{
    teria como me explicar o pq disso ? :{ sendo que esta usando apenas a tabela filter ://
    desculpa qquer coisa , eh que to aprendendo ainda XD

  9. #9
    pilantrox
    Visitante

    Padrão iptables - isolar máquinas

    Vc não me entendeu ,,,, eu escrevi correndo tudo , estava com um cliente,,,,, foi erro de interpretação minha da kbeça pro papel....bem oque
    eu qria passar realmente era que o processamento , a leitura da tabela nat eh muito menor se trabalhando com redes subnetiadas , vc faz uma regra de POSTROUTING para uma classe de ip 192.168.0.1/255.255.255.0 a tabela de iptables tera q ler os 255 hosts q vc esta estipulando, se vc subnetiar no caso 192.168.0.1/255.255.255.252 ela jah vai ter uma economia de tempo de leitura muito grande.
    foi isso que queria dizer ,mas a pressa ,,,,,,,,, falows e foi malz ai.

    Citação Postado originalmente por fabricio_
    Citação Postado originalmente por pilantrox
    Fabricio,,, a sua tese esta correta , mas eh preferivel que vc trabalhe com redes subnetiadas onde até a performance da leitura da tabela Nat vai ficar mais rapido , assim da maneira que vc falou funciona mas vai aumentar o processamento da tabela Nat sem precisão.

    Citação Postado originalmente por fabricio_
    olha eu mexo a mto pouco tempo com o iptables ... me corrijam se eu estiver errado ...

    pelo que eu etendi vc apenas nao quer q elas se acessem entre si neh ? o resto continua normal neh ?
    nao seria soh bloquear qquer conexao entre as duas maquinas ??

    Código :
     #iptables -A FORWARD -s ip_da_maquina_1 -d ip_da_maquina_2 -j DROP
    #iptables -A FORWARD -s ip_da_maquina_2 -d ip_da_maquina_1 -j DROP
    se eu estiver errado eu edito :{
    teria como me explicar o pq disso ? :{ sendo que esta usando apenas a tabela filter ://
    desculpa qquer coisa , eh que to aprendendo ainda XD

  10. #10
    CRASH2k
    Visitante

    Padrão Re: iptables - isolar máquinas

    Se você quer limitar a conectividade entre as estações de um mesmo segmento de rede (compartilhamentos), esqueça o iptables. O que vc fizer será facilmente burlado. Vc seria obrigado a criar segmentos de rede e forçar roteamento entre as estações. Do contrário não tem como controlar isto por filtro de pacotes em um *gateway*. Se quiser, no máximo crie segmentos separados por departamento. Controlar todas as estações do mesmo segmento no iptables é ilusão (a estrutura física tb influencia). Basta modificar o IP/mascara e pronto. No iptables vc só controla o que for roteado. No seu lugar pensaria em outra coisa...

    No caso de roteamento, o controle de portas para redes Windows funciona sim... o problema é que não basta informar aquele intervalo... nem tudo será apenas TCP e nem tudo será apenas UDP.

    Basicamente, as portas são as seguintes:
    135/TCP, 137 e 138/UDP, 139/TCP, 445/(TCP e UDP)

    Ps.: A 445 é para comunicação sem NBT (Netbios).

    Citação Postado originalmente por Daniel_Fe
    como faço no iptables para isolar as máquinas um uma mesma rede? não quero que elas possam acessar os compartilhamentos entre si.

  11. #11

    Padrão iptables - isolar máquinas

    se estiver num hub, wireless sem VLAN, algo do genero, esqueca, porque nao vai depender do servidor para acessar a rede.
    6)

  12. #12
    pilantrox
    Visitante

    Padrão iptables - isolar máquinas

    essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......

    Citação Postado originalmente por GrayFox
    se estiver num hub, wireless sem VLAN, algo do genero, esqueca, porque nao vai depender do servidor para acessar a rede.
    6)

  13. #13
    Visitante

    Padrão iptables - isolar máquinas

    Que "funciona"... funciona... Mas, ainda assim é uma medida que precisa ser estudada e depende do interesse de cada um e tb do que está em jogo (não existe uma regra). Segmentar uma rede local é interessante, mas dessa forma é um tiro no pé. Vc segmenta qdo quer que "um grupo" tenha restrições de acesso em relação a outro. Para definir políticas de acesso em relação aos diferentes departamentos da empresa, por exemplo. Do jeito como foi colocado o cara fatalmente terá queda de performance (grande) - sempre trabalhando muito abaixo da capacidade porque toda a rede local dependerá de roteamento para acesso interno (ninguém faz isso!!) e qdo aparecer um gaiato com máscara /24 toda a política de acesso vai por água abaixo. Esse tipo de coisa é muito relativo. Pro problema que foi colocado não me parece uma saída muito legal. É preferível usar as políticas de acesso local/grupo do próprio Windows (GPO).

    Citação Postado originalmente por pilantrox
    essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......

  14. #14
    felco
    Visitante

    Padrão iptables - isolar máquinas

    Se voce quer isolar vc deve fazer isso aonde voce distribui o meio de transmisão ou seja no Switch... no AP...
    Partindo do ponto que o meio fisico eo mesmo nao adianta fazer mascaras... até é possivel mas é realmente muito trabalhoso é o controle por MAC é necessario

  15. #15
    pilantrox
    Visitante

    Padrão iptables - isolar máquinas

    Concerteza ,,,nem sempre se tem a mesma plataforma de trabalho , a mesma solução pode ser excelente para um mas naum muito produtiva para outro....mas a intenção sempre é a melhor ,,,, vivendo e aprendendo.

    Citação Postado originalmente por Anonymous
    Que "funciona"... funciona... Mas, ainda assim é uma medida que precisa ser estudada e depende do interesse de cada um e tb do que está em jogo (não existe uma regra). Segmentar uma rede local é interessante, mas dessa forma é um tiro no pé. Vc segmenta qdo quer que "um grupo" tenha restrições de acesso em relação a outro. Para definir políticas de acesso em relação aos diferentes departamentos da empresa, por exemplo. Do jeito como foi colocado o cara fatalmente terá queda de performance (grande) - sempre trabalhando muito abaixo da capacidade porque toda a rede local dependerá de roteamento para acesso interno (ninguém faz isso!!) e qdo aparecer um gaiato com máscara /24 toda a política de acesso vai por água abaixo. Esse tipo de coisa é muito relativo. Pro problema que foi colocado não me parece uma saída muito legal. É preferível usar as políticas de acesso local/grupo do próprio Windows (GPO).

    Citação Postado originalmente por pilantrox
    essa eh a teoria fisica..... no meu caso ,,,,,, tenho 36 interfaces virtuais , todas gateways de clientes wireless , controlo todo mundo com as mascaras da maneira que falei nos topicos acima ,,,,,, ninguem se enxerga pois a mascara nao deixa.......... pra min funciona perfeitamente. possuo redes e subredes ligadas dessa forma e ninguem se enxerga , respeitando grupos de trabalho , ips e mascaras,,,,,,,tem tbm o privilégio de q ninguem esta tentando bancar o espertinho e mexendo nas configuracoes ou usando programas de scaners na rede......