-
Explicando melhor :)
Vamos lá pessoal, vou detalhar o pepino!
Tem alguns provedores de rádio que usam um IP privado para a sua rede (digamos 100.0.0.0). Se você tiver um Linux como servidor dentro desta rede você terá 2 interfaces, uma com 192.168.0.1 (lan) e outra com 100.0.0.2 (wan).
Se algum outro cliente (digamos 100.0.0.3) colocar como a rota default para 192.168.0.0/24 o teu Ip 100.0.0.2, ele entra 'regassando' na tua rede. A única saída é por política DROP no Forward, mas ae, nada entra, mas tb não sai nada.
Já coloquei regras e nada de parar o "ataque":
iptables -A INPUT -i eth0 -d 192.168.1.0/24 -j DROP
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_source_route
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P FORWARD DROP
iptables -t nat -A POSTROUTING -s $lan_dmz -o eth0 -j MASQUERADE
iptables -A FORWARD -j ACCEPT
-
Iptables não bloqueia
viuge maria, essa foi boa putz, e agora? fudeu?
-
Iptables não bloqueia
Olha. aki na empresa, usamos internet rádio, o provedor fornece ips falsos pra todo mundo na mesma faixa, ou seja, todos os clientes da rádio tem ip 192.168.255.x. Aki na empresa a wan é 192.168.255.7 e a lan 192.168.3.x...
Sempre foi possível acessar a minha rede de qualquer outro cliente do provedor, mas eu encontrei, não lembro aonde na net, que bastava o provedor desabilitar o netbeui ou netbios (sei lá) do access point que resolvia... e realmente não consegui mais acessar de fora... na minha casa eu uso a mesma rádio, antes eu acessava fácilmente a minha rede interna aki na empresa, agora fui obrigado a criar VPN...
Não sei se estamos falando da mesma coisa,... :P
-
controle da bridge
Poisé meu caro, isto resolve parte dos problemas né? Porque o controle de netbios para apenas o tráfego tipo samba (arquivos, etc.).. Agora todas as outras portas de serviço, tão disponíveis, isto realmente é f...
Outro porém é em Speedy que trabalha com máscara 255.255.255.192, ou seja, ficam várias máquina dentro duma mesma range.. Se vc apontar pra algumas delas e falar que ela é teu gateway, já elvis.. Vc entra na LAN dela tb.
Se alguém souber mais alguma coisa ou tiver algumas regrinhas de fw que talves possa resolver, por favor da 1 share ae :) abs
-
Iptables não bloqueia
meu... mas isso eh obvio esqueca o termo WAN eh LAN vc esta dentro de uma rede!!!!
....
pra q ele nao acesse seus maquina vc tem q fazer o seguinte
iptables -A FORWARD -p udp --dport 137 -j DROP
iptables -A FORWARD -p udp --dport 138 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 500 -j DROP
iptables -A FORWARD -p tcp --dport 1039 -j DROP
iptables -A FORWARD -p udp --dport 1050 -j DROP
iptables -A FORWARD -p udp --dport 1065 -j DROP
vc pode melhorar isso especificando o source (no caso a rede do seu "vizinho")