Como faço para os clientes não se enxergarem no Samsung 3300? Teria talvel alguma forma de usar o DHCP do rádio para fazer isto?
Agradeço muito a ajuda de vocês
Como faço para os clientes não se enxergarem no Samsung 3300? Teria talvel alguma forma de usar o DHCP do rádio para fazer isto?
Agradeço muito a ajuda de vocês
eu tenho 2 bases com SWL-3300 e nas duas eu bloqueio pelo servidor, pelo que sei o SWL-3300 não tem como bloquear.
cris,
O SWL3300 (model DA e HW) com o firmware mais recente têm uma opção de bloqueio de portas nela. Essa opção reduz o desempenho do equipamento em pelo menos 33% (tanto em velocidade quanto em conexões simultâneas).
Caso possa usar DHCP coloque a máscara 255.255.255.255 para ser atribuida a seus clientes que estes não terão como enxergar uns aos outros diretamente via NetBIOS. Ainda assim se digitarem \\<ip do outro cliente>\ e este estiver com o compartilhamento de arquivos e impressoras ativado em cima da interface wireless ele será aberto normalmente.
Ola amigo, infelizmente a swl3300 nao bloqueia perfeitamente o forwarding entre os clientes, ja tive varias dores de cabeca com isso...
a solucao que encontrei foi usar um programinha que peguei no superdownloads de scaniar maquinas com netbios aberto na rede.... dai eu passei em cliente por clinete e retirei da placa de rede o compartilhamento de redes e o cliente para redes microsoft.. deixanto habilitado somente o protocolo tcp/ip e em clietes com windows xp eu deixo o QOS ativado tbm.
consegui resolver assim aqui.. espero ter ajudado.. vlw
use a mascara 255.255.255.255
isso obrigatoriamente obriga qualque pacote passar pelo seu servidor.. ai é só voce fazer os bloqueios na PREROUTING ...
resolve seu problema
iptables -t nat -A PREROUTING -p tcp --dport 139 -j DROP
...
....
...
Use mascara 252, ai vc destina 4 ip para cada cliente, sendo assim cada cli. fica em uma rede diferente
use essa regra q nunca de maneira alguma ele se encherga so se iver na mesma faixa
$IPT -A FORWARD -d $IPSOURCE/0 -p icmp -j DROP
$IPT -A FORWARD -s $IPSOURCE/0 -p icmp -j DROP
thiago
essa regra ai nao ajuda em NADA !!!
soh atrapalha.. o protocolo ICMP, é usado por alguns softwares.. se voce bloquear.. podera ter problemas...
o que precisa bloquear sao forward das portas:
135-139,445 (tcp e udp)
bem a um ano uso essa regra aki no servidor ate hoje niguem reclamo de soft q nao rodao.
agora isso:
o que precisa bloquear sao forward das portas:
135-139,445 (tcp e udp)
nao adianto por aki nao so se eu seu caso foi um especial logicamente deve se fechar essas porta mas aki nunca funfo nao
agora dizer q essa regra nao ajuda em nada acho q vc se equivoco um pouco!!! teste depois fale veja 5 minutos adiante e nao 10 segundos adiante
Deus do Céu...
Tiago, o que você está colocando está completamente fora do contexto. Essa regra que tu usa impede apenas que uma máquina "saiba" que a outra está online via ICMP (mais conhecido por PING)... Caso use netbeui isso já não funciona mais.
Se não funcionou os bloqueios das portas de NETBIOS no seu servidor é porque VOCÊ não estudou como isso funciona... por favor!
O Netbios funciona por broadcast, ou seja, ele manda um pacote no último IP disponivel na range que ele está atribuido. Esse broadcast fará o trabalho sujo de reencaminhar esse pedido a TODAS as máquinas daquele range (que chamamos de network). Sendo assim uma rede 192.168.0.0/24 terá:
192.168.0.0 - network
192.168.0.255 - broadcast
Isso significa que TODOS os ips do 0.1 ao 0.254 receberiam esse pedido e, caso estivessem com suas portas netbios abertas, diriam: "VENHA PODE CHEGAR QUE TÁ ABERTO!"
Para BLOQUEAR isso você PRECISA diminuir o número de respostas de broadcast! Por isso usando a máscara 255.255.255.255 é perfeitamente plausível já que o único broadcast da rede é a própria máquina do cliente e a única outra máquina que ele enxerga é o gateway...
Infelizmente só se pode fazer isso usando DHCP pois é impossível setar manualmente essa máscara em uma máquina windows.
Acho que agora ficou explicado... BELEZA?!
resumindo, se ele nao usa dhcp ou seja nao tem o cao o jeito q tem e usar o gato!
nao late mas imita q e uma beleza e da ate pra espantar os cao pode ate ser um pit bull resumindo essa porra roda e da certo e fim de papo ele nao esta procurando explicasoes teoricas e sim uma solucao que realmente funcione
Emanuel,
Desculpe te-lo chamado antes de Tiago mas é que seu nick é confuso pacas...
Concordo contigo que ele não está procurando "explicações teóricas" mas a forma como você apresentou a solução é algo completamente fora dos padrões técnicos. Vários usuários do fórum deixaram de usar o fórum para fazerem listas exclusivas de pessoas com conhecimento técnico descente ou, ao menos, aquelas que querem aprender e não mandam receitas de bolos fúteis como a sua.
Entenda que isso não é ofensa e sim uma conversa onde estou apontando vários fatores que indicam sua incapacidade para responder a essa pergunta. Ahhhhh... Mas essa sua solução funciona?! SIM E NÃO...
Como eu falei antes, o protocolo NETBEUI não usa ICMP para saber quem está ou não ativo...
nao sabia q existem pessoas com tantos poucos neuronios!!!
realmente icmp nao tem nada haver com o assunto!
acho q vc fico assim meio q confuso ou chateado pq essa maldita regra funciona esse lance de usar mascar 255.255.255.255 usando o dhcp garanto a vc q mesmo assim como 1 + 1 = 2 que e possivel abrir um compartilhamento de clientes dentro da mesma e fora da faixa de ip ou mascara.
acho q vc apenas abrio um ambiente de rede pra ver se aparecia ou nao os malditos compartilhamentos infelizmente tenho q dizer que fechar 137 138 139 ou 135 ou seja la qual for a porta nao vai adiantar resumindo futil e fechar as portas tipo nao adianta nada apenas nao aparecem na lista mas e possivel e e facil abrir um ip da mesma ou de outra faixa adimita meu santo faca seus testes e tire a prova!
fechando o protocolo icmp resolve os problemas a regra nao deixa o cliente se enxergar ou abrir o compartilhamento o motivo disse vc ja sabe o pq. quando usei essa regra tbm achei q nao funcionaria e tbm achei q atrapalharia em outros servicos mas faz muito tempo q rodo ela e ficoi observando e ate essa presente data nao tive nenhum problema ou reclamacao.
Infelizmente os administradores do forum nao tem como e muito menos tem tempo pra observar esses varios usuarios com centenas de msg enviadas e com timbres de avanca, moderador muitos merecem esse timbre mas muitos nao merecem.
so vim ate esse topico para ajudar a pessoa como em varias situacoes obtenho ajuda nao custa nada ajudar!
nao to querendo roubar seu espaco e muito menos te disproficionalizar mas admita FUNCIONA seja homem teste essa regra e admita q so a mascara 255.255.255.255 com dhcp nao resolve 100% do problema.
SO PRA LEMBRAR, AKI NESSE FORUM E NEM EM LUGAR NENHUM DO MUNDO NIGUEM SABE MAIS DO QUE NIGUEM TODOS TEMOS QUE SER UMILDES PERGUNTAR, AJUDAR, ISSO E SER HUMANO E SER RACIONAL E NAO IPOCRITAS, EGOISTA, PROFETA O DONO DO SABER O TODO PODERO....
o mais correto nesse momento e perguntar ao crisduarte qual das solucoes teve mais efeito em ambas as situacoes em abrir \\ip_do_cliente em pingar o cliente em violar os direitos do cliente qual delas vai trancar tudo qual delas vai fazer mais efeito nao acha?
tiago,
Eu não disse que só a máscara e o dhcpd iriam resolver... disse? Eu falei que para bloquear as portas netbios (135-139 e a 445) é necessário que o cliente tenha que passar pelo servidor e para isso acontecer só usando esse modelo. Passando pelo servidor aí tu pode bloquear o que tu quiseres usando o iptables.
Não entendi isso... Me lembrou o Patrick e seus anagramas...Infelizmente os administradores do forum nao tem como e muito menos tem tempo pra observar esses varios usuarios com centenas de msg enviadas e com timbres de avanca, moderador muitos merecem esse timbre mas muitos nao merecem.
so vim ate esse topico para ajudar a pessoa como em varias situacoes obtenho ajuda nao custa nada ajudar!
cara o negocio eo seguinte, nao vou ficar jogando conversa fora nao.
MAIS UM DETALHE DOIS BICUDOS NAO SE BEIJAO VC TEM SEUS MEIOS E EU TENHO OS MEUS KD UM KD UM QUEM SABE UM DIA PRECISO DE VC E VC PRECISE DE MIN!
vlw espero ter ajudado o cara ai e espero o mesmo de vc para com ele
nenhuma das 2 soluçoes resolve o problema do amigoi acima
Cara eu tenho samsung aqui e e o unico meio que achei de resolver o problema é criar no servidor uma interface virtual para cada cliente dai ninguem ve ninguem
Vc ainda pode amarrar o IP ao MAC no servidor para forçar eles usar usas configuração e nao trocar manualmente
ou melhor pode trocar a samsung pelos radios 5460 com wappro do fabiano que realmente faz NAT nao transparente (tambem tem a opção bridge mas nao bloqueia dai pacotes netbius da interface eth0) e assim vai na ergra net colocar pacotes DROP como portas indesejaveis
www.wappro.com.br
Sou beta tester do projeto e ele esta em contante atualização por motivação do desenvolvedor e colaboração de pessoas como eu
cara..
uma ótima maneira de impedir que os usuários se enxergem seria criando, para cada interface uma rede com mascara de 30 bits, assim pode-se bloquear os pacotes no servidor...
com relação a máscara de 32 bits isso não posso afirmar pois não testei ainda...
mas se quer uma coisa realmente boa, faça um AP-Linux, aí sim, vc pode fazer o que quiser, bloquear o que quiser, liberar o que quiser e sem gargalo de AP...
ahh... e quem criou o tópico, já encontrou uma solução??
valeu
[]'s
galera, nao sou nenhum especialista em linux e em mascaras, mas pensem o seguinte.... no swl3300 nao tem nenhuma opcao de forward, nem de direcionamento forcado a um mac, como os ap2000, entao, ele funciona simplesmente como um HUB, entao nao adianta fazer regras com iptables em servidor q nao iria funcionar, pq os clientes estao se enchergando antes de passar por ele, no caso das mascaras, é tao simples dos usuarios burlarem isso, nos conseguimos amarrar ip+mac, e nao ip+mascara+mac, entao, basta ele ir la configurar o ip e a mascara na unha (coisa simples), mas tem a outra opcao, pensem em os caras fazendo um rede de jogos pra jogarem em cima da sua rede????? isso é perfeitamente possivel.
O jeito mesmo é fazer como luciano disse, AP-linux, mikrotik, essas coisas, ai iria funcionar
[]'s Bene
obs: acho q toda discussão aki no forum é boa, desde que nao haja ofensas, pois todos temos oq ensinar e oq aprender aki, pq se fossemos tao bons assim, na estariamos participando de foruns(rs)
então cara..
é exatamente isso q eu estava pensando hj..
se haveria uma maneira de inpedir que os usuários alterassem a mascara...
Luciano e Bene,
Realmente não existe uma situação que seja 100% segura ou confiável em cima de uma rede wireless... Ainda para complicar a cabeça de todo mundo (e já que o Bene falou em jogos online, algo que gosto muito), vou deixar mais um pepino: existe um software chamado Hamachi (www.hamachi.cc) que faz uma VPN entre duas ou mais máquinas a partir de dados cadastrados em um servidor central.
Ele cria uma rede virtual onde vários computadores, mesmo atrás de NAT, se enxergam numa boa... A partir do momento em que estão conectados o servidor do Hamachi deixa de existir e a conexão se torna ponto-a-ponto... hahahahaha... Sendo assim até poderemos encontrar formar de bloquear o ponto-a-ponto entre os clientes, mas a partir do momento que o Hamachi entra em ação essa situação se inverte novamente.
Encontrei algumas maneiras de tentar solucionar isso:
- APLinux: seja qual for e com o aparelho que melhor se adaptar
- Bloqueio completo do Hamachi: drástico e dá bastante reclamação
- Mudança dos APs POPs: troquei APs que não podiam fazer gerenciamento de conexões e coloquei Mikrotik