Pessoal, tenho uma rede wriless e gostaria que os micros não se enxergassem, atualmente uso o mandriva.
Gostaria de uma dica para executar esta tarefa.
Atenciosamente e grato
Daniel
Versão Imprimível
Pessoal, tenho uma rede wriless e gostaria que os micros não se enxergassem, atualmente uso o mandriva.
Gostaria de uma dica para executar esta tarefa.
Atenciosamente e grato
Daniel
Olah Amigo!!! Alguns rádios possuem a função block relay ou algo parecido, se seu AP tiver essa opção e ela estiver ativada os clientes não se enxergam, ai consegue matar essa xarada no AP mesmo...
Espero ter ajudado...
Caro Osmartim, valeu pela dica, o meu AP é um AP2000 da Orinoco proxim, vou dá uma olhada.
Mas, qualquer coisa anível de squid é bem vindo.
Obrigado.
cara bloqueia no servidor as portas de rede que os pc nao se enxergam isso nao quer dizer que nao se abrerm ok!
eu aki uso um pozinho magigo que ja deu muita confusao aki no forum pq dizem que nao funciona mais funciona hehehehehe
Tianguapontocom, esse bloquei, não vai impedir a navegação na internet? E é feito aonde no firewall ou no psquid?
claro que não, vc so vai bloquear as portas q trabalha no compartilhamento de arquivos do MS 137,138, 139 e 445
e sim vc vai fazer isso no seu firewall
E isso ai eu tambem resolvi um problema deste com esta solução!
faça oq nosso amigo tianguapontocom falou.. e ainda vc pode colocalas em redes diferentes.. isso da trabalho.. =PCitação:
Postado originalmente por drmo
Tem uma maneira de fazer criando ethS virtuais mas não me lembro muito bem. Vou dar uma pesquisada nos meus arquivos e coloco aqui. Acho que isto ja foi tratado aqui no forum, vale fazer uma pesquisa.
cara...
se vc estiver usando uma rede wireless para comercialização de banda de internet, vc pode usar máscara de 32 bits, e depois bloquear o forward das portas de NetBios, desta forma vc fará o bloqueio...
valeu
Colega, isso de bloquear portas do netbios n funciona!, a menos que sejam bloqueadas em cada cliente.
como se trata de uma rede local, as conexoes sao feitas ponto a ponto, ou seja, nem seker precisam de passar pelo roteador.. (uma vez que nao é necessario contactar outra rede, tb n é necessario contactar o gateway) e pelo sim pelo nao.. se nao acreditam em mim... desliguem o roteador da rede, e façam um ping a uma estação, vao ver como o ping funciona normalmente... por isso bloquear o netbios no roteador é pura perca de tempo!
a Soluç\ao perfeita é usar um tunnel PPPoE, contudo n é uma coisa tao simples assim! eu so consegui fazer isso funcionar em FreeBSD, com linux desisti pois nao consegui..
tb existe outra soluç\ao, um pouco mais trabalhosa mais mais facil, que é criar varios aliases da placa de rede
e defenir o IP da cada alias como gateway de cada cliente wireless ;)
Um abraço
disse tudo, só acrescentando.. tanto q se vc digitar \\192.168.0.1 por exemplo.. vai abrir se tiver compartilhamento.. e ping 192.168.0.1 tmb vai pingar... criar varios aliases eth0:red1 eth0:red2 ... é uma otima solucao...
o comando para criar aliases (apelidos) é este(exemplo):
Código :
ifcontig eth0:apelido 192.1.1.0 netmask 255.255.255.0
ou vc pode optar pelo tunel pppoe, que mais tarde podera até implementar mais recursos..
ahh.. quase ia esquecendo.. um switch gerenciavel tmb resolve e fica sohw de bola nessa situação...
vlw
t+
pessoal seguinte, eu uso uma regra no meu servidor e um amigo usa no servidor da prefeitura, muitos dizem que nao tem nada aver tbm acho mas funciona.
vou mostrar minha regra de iptables onde libero os ip x mac
$IPT -t filter -A FORWARD -s $IPSOURCE -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -t filter -A FORWARD -s $IPSOURCE -p tcp --dport 137:139 -j DROP
$IPT -t filter -A FORWARD -s $IPSOURCE -p udp --dport 137:139 -j DROP
$IPT -t filter -A FORWARD -s $IPSOURCE -p tcp --dport 445 -j DROP
$IPT -t filter -A FORWARD -s $IPSOURCE -p udp --dport 445 -j DROP
$IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
$IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
$IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
$IPT -t nat -A POSTROUTING -s $IPSOURCE -o eth0 -j MASQUERADE
com essas regras:
$IPT -t filter -A FORWARD -s $IPSOURCE -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -t filter -A FORWARD -s $IPSOURCE -p tcp --dport 137:139 -j DROP
$IPT -t filter -A FORWARD -s $IPSOURCE -p udp --dport 137:139 -j DROP
$IPT -t filter -A FORWARD -s $IPSOURCE -p tcp --dport 445 -j DROP
$IPT -t filter -A FORWARD -s $IPSOURCE -p udp --dport 445 -j DROP
foi que consegui bloquear o compartilhamenento de arquivo de rede
dessa forma o cliente pinga pra qualquer lugar e inclusive de cliente pra cliente, caso naoqueira que isso ocorra
use antes da regra de liberacao de seu fire bem antes mesmo nao junto
$IPT -t filter -A FORWARD -i !eth0 -p icmp -j DROP
$IPT -t filter -A FORWARD -p tcp --dport 137:139 -j DROP
$IPT -t filter -A FORWARD -p udp --dport 137:139 -j DROP
$IPT -t filter -A FORWARD -p tcp --dport 445 -j DROP
$IPT -t filter -A FORWARD -p udp --dport 445 -j DROP
use elas e faca um teste
tente abrir o ip do cliente da seguinte forma \\ip_do_cliente
e vej a no ambiente de rede tbm.
Inte dispois
bom...
tenho este problema resolvido aqui com uma solução rápido e fácil...
e já citei a mesma..
valeu
Bem amigos...
Posso estar redondamente encanado, e caso esteja, por favor me perdoem...
mas estamos falando de uma rede wireless, ou seja, é literalmente um hub sem fio, o que vai acontecer se dois caras conectados nesse AP resolverem fazer uma intranet e compartilhar arquivos, eles vão estar antes do servidor, teria que usar uma forma dos clientes comunicarem unica e exclusivamente da interface wireless para LAN e vice-versa, é isso que faz o block relay, e o AP2000 da proxym tem essa solução sim.
luciano a sua solucao ja testei os clientes nao se exergao porem se abrem!!! o problema e nao se enxergar e nao se abrirem teste sua regra do jeito q eu te falei e me diga o resultado veio
amigo vc tem razao quanto ao wireless ser um HUB sem fio, porem vc esqueceu de um pequeno detalhe
se o cliente tem em suas conf de rede setado o GATWAY que e seu servidor obviamente todas as solicitacos vao primeiro pro servidor para que o mesmo possa resolver, se o servidor tiver up rodando funcionando e tiver regras de bloqueando algo obviamente os pc vao obdecer o servidor agora se o servidor estiver desligado ai sim tem logica oq vc falo
porem as regras de bloqueio de portas de netbios sao validas apenas para ips em faixas diferentes e nao da mesma classe ex..?
192.168.0.2/255.255.25.252 ou seja mascara 30 ai sim a regra de bloqueio faz seu servico correto
agora se todos os clientes estao na mesma faixa tipo 192.168.0.2/255.255.255.0 mascara 24 192.168.0.3 192.168.0.4 ai so DEUS pra restrigir
pos ambos estao na mesma classe
aki com a regra q sitei acima tanto faz ta copartilhado como nao, se o cliente estiver em faixas diferentes e impossivel abrir o compartilhamento do outro
se nenhuma das regras nao derao certo com vc, veja suas classes de ip verifique direito pq ai tem coisa errada
o cabra...
eu já falei pra vc tantas vezes...
e testei hj isso...
com as regras q uso os clientes não se enxergam...
vc esquece do detalhe q uso mascara de 32 bits...
hehehehe
nã cabra me ouva bem
os clientes nao se enxergão isso eu sei
mas faz so um teste
pega um ip de um cliente e compartilha os arquivos anota esse ip vai em outro cliente abre o executar da MS e digita ex: \\192.168.0.2 - >logico substitua o ip pelo do cliente q ta com o compartilhamento aberto ai vai abrir
puta véio...
se eu to dizendo q não compartilha é pq eu já fiz esse teste...
Pessoal, acrescentei estas linhas no meu firewall, mas os clientes continuam se enxergando. Alguém poderia da uma conferida por favor?
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 137 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 137 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 138 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 138 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 139 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 139 -j DROP
Obrigado
Daniel
"O que chamamos de adversidade Deus chama de oportunidade, o que chamamos de tribulação, Deus chama de Crescimento"
Pessoal eu coloquei estas linhas no firewall e o problema continua, ou seja os clientes continuam se enxergando, algué poderia analisar as linhas abaixo e me apontar os erros? Obrigado. :?
# Dropa portas 137, 138 e 139
# -------------------------------------------------------
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 137 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 137 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 138 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 138 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 139 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 139 -j DROP
cara...
pra poder funcionar estas regras é preciso analisar algumas coisas na sua rede...
como está a configuração de IP dos clientes?
bloquear esa portas aqui nao resolveu tenho um ap zinwell g120plus da seitel e atualisado por eles, aqui ta todo mundo vendo todo mundo, e nao adiantou ativar o block relay , o radio e bom mas esa funçao nao funciona mesmo...
Pessoal, minha rede continua enxergando todo mundo.
Eu uso ip fixo, squid, firewall iptables, já use as seguintes configurações. Alguém poderia me mostrar um caminho por favor.
Configuração 1
# Bloqueia portas 137, 138 e 139
# -------------------------------------------------------
iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 137:139 -j REJECT
iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 137:139 -j REJECT
Configuração 2
# Bloqueia acesso netbios de fora e da rede interna para fora
# -------------------------------------------------------
iptables -A INPUT -p tcp --sport 137:139 -i ppp+ -j DROP
iptables -A INPUT -p udp --sport 137:139 -i ppp+ -j DROP
iptables -A FORWARD -p tcp --sport 137:139 -o ppp+ -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o ppp+ -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o ppp+ -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o ppp+ -j DROP
Configuração 3
cara...Citação:
Postado originalmente por drv
vc quer ajuda, eu quero ajudar, mas se vc nao responder o q eu pergunto fica complicado...
qual a topologia que vc está usando para os IP's dos clientes??
Luciano, preciso sim da sua ajuda e obrigado pela sua disposição e paciência em ajudar.
É o seguinte, desculpeme pelo pequenino conhecimento que tenho, mas estou com disposição para aprender e você tem contribuido para isto.
Bom, eu só conheço topologia de rede, não de IP, mas acho que é isto que você está perguntando:
eu uso ip 10.1.2.0/24 para a placa eth0 interna e 192.162.2.1 para eth1 externa.
Abaixo segue o firewall, desculpa pela minha amolação, mas vou aprender e ensiar outros.
#!/bin/sh
# Firewall Simples / Compartilhamento
echo
echo "=========================================="
echo "| :: CONFIGURANDO O FIREWALL :: |"
echo "=========================================="
echo
# Variáveis
# -------------------------------------------------------
IF_EXTERNA=eth0
IF_INTERNA=eth1
# Carrega os módulos
# -------------------------------------------------------
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ipt_limit
modprobe ipt_LOG
modprobe ipt_REJECT
# Ativa roteamento no kernel
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
# Proteção contra IP spoofing
# -------------------------------------------------------
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
# Zera Regra
# -------------------------------------------------------
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Determina a política padrão
# -------------------------------------------------------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#################################################
# Tabela NAT
#################################################
# Ativa mascaramento de saída
# -------------------------------------------------------
iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE
# Proxy transparente
# -------------------------------------------------------
iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 3128
# Redireciona portas para outros servidores
# -------------------------------------------------------
#iptables -t nat -A PREROUTING -d
200.217.72.216 -p tcp --dport 22 -j DNAT --to-destination 201.79.200.26
# Redireciona portas na própria máquina
# -------------------------------------------------------
#iptables -A PREROUTING -t nat -d 10.1.2.254 -p tcp --dport 5922 -j REDIRECT --to-ports 22
#iptables -t nat -A PREROUTING -p tcp -s 200.165.132.154
--dport 22 -i ppp0 -j DNAT --to 201.79.200.26:22
##acrescido agora 29/08/2006
#iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A FORWARD -s 10.1.2.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 10.1.2.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s
10.1.2.0/24 -d 0/0 -j MASQUERADE
# Para rede local receber e-mail
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Para nao fugirem do proxy
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 3128
# Abre algumas portas (ssh e http)
#iptables -t nat -A PREROUTING -p tcp -s 0/0 --dport 22 -i eth1 -j DNAT --to 201.79.200.26:22
#iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
#iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 10.1.2.0/24 -j ACCEPT
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP
# Se você quiser que o PC também não responda a pings, adicione a linha:
#echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
#################################################
# Tabela FILTER
#################################################
# -------------------------------------------------------
# Dropa pacotes TCP indesejáveis
# -------------------------------------------------------
#iptables -A FORWARD -p tcp -m ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix
#iptables -A FORWARD -p tcp -m ! --syn -m state --state NEW -j DROP
# Dropa pacotes mal formados
# -------------------------------------------------------
#iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix
#iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP
# Aceita os pacotes que realmente devem entrar
# -------------------------------------------------------
iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# Proteção contra trinoo
# -------------------------------------------------------
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO
# Proteção contra tronjans
# -------------------------------------------------------
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN
# Proteção contra worms
# -------------------------------------------------------
iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT
# Proteção contra syn-flood
# -------------------------------------------------------
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
# Proteção contra ping da morte
# -------------------------------------------------------
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Proteção contra port scanners
# -------------------------------------------------------
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: "
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER
# Loga tentativa de acesso a determinadas portas
# -------------------------------------------------------
iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: "
iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "
iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: "
iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
iptables -A INPUT -p tcp --dport 3128 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "
# Libera acesso externo a determinadas portas
# -------------------------------------------------------
#iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT
# Libera acesso de smtp para fora apenas para o IP XXX.XXX.XXX.XXX
# -------------------------------------------------------
#iptables -A FORWARD -p tcp -d !
XXX.XXX.XXX.XXX --dport 25 -j LOG --log-level 6 --log-prefix "FIREWALL: SMTP proibido: "
#iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j REJECT
# Controle por MAC, drop nega e accept aceita.
iptables -t nat -A PREROUTING -i $IF_INTERNA -m mac --mac-source 00:08:A1:8A:E3:FB -j DROP
#Dropa portas 137, 138 e 139
# iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 137 -j DROP
# iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 137 -j DROP
# iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 138 -j DROP
# iptables -I FORWARD -s
10.1.2.0/24 -p udp --dport 138 -j DROP
# iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 139 -j DROP
# iptables -I FORWARD -s
10.1.2.0/24 -p udp --dport 139 -j DROP
# iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 445 -j DROP
# iptables -I FORWARD -s 10.1.2.0/24 -p udp --dport 445 -j DROP
# Bloqueia portas 137, 138 e 139
# -------------------------------------------------------
#iptables -I FORWARD -s 10.1.2.0/24 -p tcp --dport 137:139 -j REJECT
#iptables -I FORWARD -s
10.1.2.0/24 -p udp --dport 137:139 -j REJECT
# Bloqueia acesso netbios de fora e da rede interna para fora
# -------------------------------------------------------
iptables -A INPUT -p tcp --sport 137:139 -i ppp+ -j DROP
iptables -A INPUT -p udp --sport 137:139 -i ppp+ -j DROP
iptables -A FORWARD -p tcp --sport 137:139 -o ppp+ -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o ppp+ -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o ppp+ -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o ppp+ -j DROP
echo
echo "=========================================="
echo "TERMINADO! Firewall: OK! ...........[ OK ]"
echo "=========================================="
echo
cara..
é assim, vc nao precisava me passar seu firewall por enqto...
pra vc poder bloquear os clientes vc primeiro precisa entender como funciona o endereçamento IP e suas respectivas máscaras
pelo q eu entendi a faixa 10.1.2.0/24 é destinada a seus clientes, então vamos analisar
esta faixa está com máscara de 24 bits (255.255.255.0) habilita 254 micros, ou seja, uma rede.
pense como se vc estivesse usando um HUB
se vc tiver 20 micros na rede, do ip 10.1.2.10/24 ao 10.1.2.29/24 todos vão se enxergar.
se vc usar mascara de 25 bits (255.255.255.128) vc terá duas redes, uma de 10.1.2.0 a 10.1.2.128 e outra de 10.1.2.129 a 10.1.2.254, se vc tiver dois micros, um em cada rede, os dois não vão se enxergar
mascara de 26 bits (255.255.255.192), vc terá 4 redes, e da mesma forma, se vc tiver 4 clientes, um em cada rede, nenhum deles se enxergará...
e assim vai...
pra vc bloquear o FORWARD entre os clientes vc tem várias opções, mas as mais usadas são:
1 - criar interfaces virtuais, uma para cada cliente, e colocar faixa de ip com mascara de 30 bits (ou 31, não lembro agora), cada cliente estará em uma rede diferete e faixa diferente, desta forma eles somente se enxergam se for permitido no firewall.
2 - atribuir mascara de 32 bits aos clientes, desta forma não existe rede, então só se enxergam com permissão no firewall.
segue uma tabela de máscaras de sub-rede:
entendeu???Citação:
__________________________________________________________________________
|Potência - Hexa - Bits - Final da mascara - Qtde de redes|
---------------------------------------------------------------------------
| 2^0 = 1 = 32 = 255 - 0 |
---------------------------------------------------------------------------
| 2^1 = 2 = 31 = 254 - 128 |
---------------------------------------------------------------------------
| 2^2 = 4 = 30 = 252 - 64 |
---------------------------------------------------------------------------
| 2^3 = 8 = 29 = 248 - 32 |
---------------------------------------------------------------------------
| 2^4 = 16 = 28 = 240 - 16 |
---------------------------------------------------------------------------
| 2^5 = 32 = 27 = 224 - 8 |
---------------------------------------------------------------------------
| 2^6 = 64 = 26 = 192 - 4 |
---------------------------------------------------------------------------
| 2^7 = 128 = 25 = 128 - 2 |
---------------------------------------------------------------------------
| 2^8 = 256 = 24 = 0 - 1 |
---------------------------------------------------------------------------
se não entendeu, pergunte!!
valeu
vc pode procurar ne net material sobre mascara de sub-rede, é bom e interessante vc aprender sobre o assunto.,..
pra facilitar a criação de máscara pra quem não tem costume, encontrei isso na net
http://paginas.terra.com.br/informat...es/netcalc.htm
valeu
Bom dia Luciano, as coisas estão clareando...
Eu entendi o que você quiz dizer com:
"se vc usar mascara de 25 bits (255.255.255.128) vc terá duas redes, uma de 10.1.2.0 a 10.1.2.128 e outra de 10.1.2.129 a 10.1.2.254, se vc tiver dois micros, um em cada rede, os dois não vão se enxergar
mascara de 26 bits (255.255.255.192), vc terá 4 redes, e da mesma forma, se vc tiver 4 clientes, um em cada rede, nenhum deles se enxergará..."
Eu só não sei como implementar no sistema a sugestão que você me deu.
Eu imagino o Ap como um HUB, e as máquinas ligadas a ele com 10.1.2.0/24, ou seja com a máscara 255.255.255.0, se no cliente eu mudar a máscara ele nâo navega, pois vai ficar fora da rede, não é isso? Então, como transformar minha rede, em duas redes (ou seja com máscaras diferentes), mas que naveguem?
pra vc poder ter mais de uma rede no seu sistema vc tem várias opções, pode implementar "VLANS" ou simplesmente pode usar máscara de 32 bits, q seriam atribuídas por DHCP...
vc usando máscara de 32 bits, não existirá rede para o cliente, então o mesmo só consegue enxergar outras máquinas se houver regra no firewall para isso...
Bom Luciano, é justamente isso que eu quero aprender, bloquear no iptables. E sou sincero e honesto em dizer, estou com uma papelada danada sobre squid e iptables na mão, mas não saiu nada ainda... sei que devo me concentra no iptables. E também não quero parecer um sanguessuga, querendo que os outros façam as coisas para mim, só quero um rumo e claro contribuir de alguma forma. E desde já agradecer a você e demais participantes.
Valeu, vamos aos papeis, etc
Daniel R Venâncio
mas então...
o q vc precisa fazer é confiurar o servidor DHCP pra atribuir os IP's aos clientes com máscara de 32 bits (255.255.255.255)
primeiro faça isso... depois passamos para o iptables...
Certo, esse procedimento nâo vai deixar a rede mais insegura?, por que eu faço o controle dos clientes por IP e MAC.
mas qual o problema???
vc nao vai deixar o DHCP atribuindo IP pra todo mundo, vc vai colocar IP associado ao MAC no DHCP, o cliente ficará com ip automatico
Pô galera agradeço a todos essa discussão saudavel tirou todas as minhas duvidas!!!
Valeu mesmo!
Acho que vale apena vc dar uma estudada em alguns conceitos, tipo " rede tcp/ip"
e para o seu tópico vc pode pesquizar sobre ... PPP0 o
Linux: Configurando um PPPOE Server [Dica]
Ou usar o conceito de Vlan ...
Construindo Roteadores com Linux
E na net vc tmb acha muita coisa ... vale apene pesquizar...
Falow ...