Impedir que "usuários" façam NAT para "sua" rede internet

[maciels]

Existe alguma possibilidade de impedir que "usuários" façam NAT para "sua" rede internet? Hoje o servidor amarra IPxMAC para um computador de um "usuário" acessar a internet. Gostaria de impedir que ele (o usuario) fizesse NAT para outras máquinas de sua rede internet e/ou limitar o numero de maquinas para NAT da rede internet dele.

[xstefanox]

Eu achava que não tinha jeito, mas outro dia olhando aqui no fórum eu achei um post que falava sobre isso. O negócio é utilizar o TTL (Time To Live) do pacote para bloquear.

[maciels]

Agradeço demais a atenção, mas já procurei incansavelmente algo sobre o assunto e infelizmente não encontrei. Talvez seja a palavra chave na busta, por fim estou pesquisando agora no www.netfilter.org. Mas se alguém já fez isso e quiser me mostrar o link para que possa me virá ou até mesmo já passa o bisu.
Desde já to agradecendo.
Pelo menos uma luz. Utilizar o TTL (Time To Live). Já usei o man iptables mas não conseguir montar um sintaxe compreensivel para esse fim.

[xstefanox]

Na verdade a solução do problema é mais conceitual do que difícil.

A definição de TTL é o tempo de vida do pacote até que ele alcance o seu destino. O TTL de um pacote pode depender do sistema operacional da máquina destino e da região em que o host se encontra. Para cada nó da rota, é subtraído 1 número do TTL do pacote.

Seguindo esse conceito, você há de concordar comigo que um roteador sob o seu domínio vai passar por 2, 3 nós até chegar ao seu servidor, que estará rodando IPTables. Então você pode montar algo mais ou menos assim (Não posso afirmar com certeza porque eu estou na faculdade e aqui só tem Microsoft Windows):

Existe um módulo do IPTables que permite setar e identificar o TTL de um pacote que esteja passando por ele:

Código :

# iptables -t nat -A PREROUTING -s $cliente -j TTL --set-ttl 2
# iptables -t nat -A FORWARD -m ttl --ttl-gt 62 -j DROP

Estes são apenas exemplos para você ter uma idéia do quadro inteiro, mas eu recomendo que você dê uma lida no Wikipedia sobre o conceito e depois dê uma caçada no Google sobre o assunto. Se você digitar como chave de pesquisa a string "-m ttl" netfilter vai encontrar a solução pro seu problema com certeza.

[maciels]

Blz,
Ajudou bastante, infelizmente não consegui fazer na prática, mas já compreendir. O ttl do pacote é decrementado 1 a cada roteador que passa. No entanto o que irá solucionar parte desse problema será ajustar o valor do ttl para "1" na entrega do pacote ao ip do cliente. Tentei a seguinte sintaxe:
root@server:~# iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 1
iptables: No chain/target/match by that name
porém diz que não conhece o chain... em fim. Por quê?
Bom, digo parte do problema pois a limitação do numero de pontos adicionais depois do roteador cliente ser controlado tbm através do server.
Vamos estudar que conseguimos... bola pra frente.

[xstefanox]

Bem, é porque tu não tem o target compilado no kernel (Isso é normal, tu precisa do patch-o-matic), mas tu pode utilizar a segunda regra. =)

[Fernando]

Cara pessoalmente eu acho que isso é consideravelmente dificil, e se utilizando do TTL o que acontece é que voce acaba tendo problemas diversos direto Servidor-Cliente, e nao obtendo o funcionamento desejado.

Claro que nada é certo, mas esse conceito é bastante teorico e pouco desenvolvido na pratica, na minha opiniao impedir que usuários façam nat pra sua rede (sem circunstancias especiais) é extremamente dificil, quase impossivel, eu diria.

[Lion_Black]

Não sei se é isso... mas so um palpite de curioso.. usa Autenticação Wireless...