Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    augustocss
    Visitante

    Padrão Cliente "enxergando" redes dos outros

    Galera,
    Usamos aqui na rede wireless do nosso provedor, clientes com a mascara '255.255.255.0' e ips na faixa '10.10.0.0', exemplo:
    ip do cliente jão: 10.10.20.1/255.255.255.0
    ip do cliente zé: 10.10.21.1/255.255.255.0

    ou seja, estão em redes diferentes. ocorre que alguns clientes estão vendo as redes e micros dos outros, como se estivessem dentro da mesma rede logica....
    como isso é possível se as mascaras e ips os colocam em redes diferentes??
    o que posso fazer a nivel de configuracao de rádios (usamos swl 3300) e a nivel de configuracao de firewall (iptables) pra evitar isso?

    como evitar que mesmo q um cliente mude a mascara dele (coloque pro exemplo 255.255.0.0), nao acabe vendo os micros alheios???

    (sei que nossa mascara permite poucas variacoes de ips, mas nao é essa a questao)

    obrigado, e me ajudem!!!!

    Augusto.

  2. #2
    garupeiro
    Visitante

    Padrão Cliente "enxergando" redes dos outros

    coloca joão com ip 192.168.0.2 mask 255.255.255.0
    Ze ip 10.10.10.2 mask 126.255.255.255


    ai vc vai ta mudando completamente a rede de cada cliente e seria impossivel eles se enchergarem!!!!

  3. #3

    Padrão Cliente "enxergando" redes dos outros

    Provavelmente estão conseguindo se enxergar pois teu firewall tá com o repasse de pacotes está ativo e está fazendo NAT tbm.

    Para evitar isso vc poderia bloquear as portas tcp e udp do netBEUI (137, 138 e 139) assim não seriam mais visíveis nos compartilhamentos de rede.

    Podia bloquear no teu firewall tbm ping de um para outro.

    Para evitar que o cliente mude as suas configurações vc pode criar regras individuais pra que o cliente tenha acesso com o ip X máscara Y e MAC Address Z, só teria acesso nessas 3 condições.

  4. #4
    Visitante

    Padrão Cliente "enxergando" redes dos outros

    nao seu raciocinio esta errado pois eles estao todos na mesma subnet 255.255.255.0 pra que vc divida corretamente e facilmente
    faca assim mantenha sua subnet 255.255.255.0 porem use nets diferentes
    nao use a classe A de ip em cima da subnet C, nao faz sentido...
    por exemplo:

    192.168.1.0/255.255.255.0
    net 192.168.1.0

    192.168.2.0/255.255.255.0
    net 192.168.2.0

    assim um host dentro da subnet 192.168.1.0 nao podera alcancar a net 192.168.2.0 claro, se ele alterar o ip conseguira.

    olha so eh mais ou menos assim:

    192.168.1. 0
    | |
    ---> NET |
    ----> HOSTS

    sendo assim, quem esta na NET 192.168.1.0 nao podera alcancar a NET 192.168.2.0 apesar de estarem fisicamente interligados estao configurados em NETs diferentes.

    um detalhe q talvez seja importante para vc eh que usando essa subnet vc tera o maximo de 254 estacoes por net

  5. #5
    JuniorBH
    Visitante

    Padrão Cliente "enxergando" redes dos outros

    Verifique se seus clientes rodam NetBEUI na placa da Internet, já tive esse problema, mesmo em redes diferentes eles se enxergam com essa merda de protocolo....

    Outra coisa, eu costumo usar em meus clientes uma máscara 255.255.255.252 permitindo apenas 2 ips, deixando um no cliente e o outro no meu servidor, (criado como IP ALIAS) como gateway dele, eu acho mais simples pra gerenciar....

    Espero ter ajudado, qq dúvida estamos aí.

    Abraços.

  6. #6

    Padrão Cliente "enxergando" redes dos outros

    o correto seria:

    cliente joão:

    ip: 192.168.1.2
    gw: 192.168.1.1
    mask: 255.255.255.252


    cliente josé:

    ip: 192.168.1.6
    gw: 192.168.1.5
    mask: 255.255.255.252

    bloquear protocolos netbeuis e ipx.

    desta forma ninguém enxerga ninguém.

  7. #7
    augustocss
    Visitante

    Padrão redes

    caro "visitante", o exemplo que vc deu é o mesmo q eu dei...rs... apenas eu uso faixa de ips 10.10 e vc 192.168... leia bem o q eu falei e verás q é a mesma coisa...

    ao gustavo_marcon: como faço pra bloquear poor firewall ip/mask/mac individualemente?? por favor me passe um exemplo de regra de firewall!!!

    espero mais comentarios e ajudas!!! valew a todos q já contribuiram!!!


    Augusto

  8. #8
    Visitante

    Padrão Cliente "enxergando" redes dos outros

    Ola!

    A unica solução 99% confiavel(não da para garantir nada em informática) é você trocar seu AP por um AP600, AP2000 ou algum outro que tenha a possibilidade de bloquear o Intra BSS, pois o seu AP (swl3300) funciona como um HUB, ou seja o trafego não precisa pasar pelo servidor para ir a outra estação, se você criar redes diferentes, ai sim vai precisar passar pelo servidor, mas ainda assim os clientes continuarão se vendo pois o servidor sera o roteador entre as redes, se você bloquear no o trafego entre tudas as suas redes ira bloquear isso, mas nada impede que o cliente mude o seu ip ou crie um rota na sua maquina para acessar a rede alheia.
    Conclusão: Se você não quiser que os clientes se enchergem, troque de AP

  9. #9
    augustocss
    Visitante

    Padrão mais solucoes?

    Alow,

    alguem tem alguma solução, usando o equipamento q eu tenho? trocar´agora tá fora de cogitação, são 4 AP´s desse ligados em setoriais... rs

    aguardo mais solucoes!!!!


    valew

    Augusto.

  10. #10

    Padrão Cliente "enxergando" redes dos outros

    a solução está acima amigo....

    eu uso SWL-3300 nas minhas base e ninguem enxerga ninguem.

  11. #11

    Padrão Cliente "enxergando" redes dos outros

    É só desabilitar o Cliente para rede Microsoft e Compartilhamento de arquivos na placa de rede que esta na rede do seu rádio, na placa de rede interna pode deixar esses dois habilitados...

  12. #12
    augustocss
    Visitante

    Padrão ...

    ijr,

    com a solucao q vc propos, os gw 192.168.1.1 e 192.168.1.5 são a mesma maquina? vc faz isso redirecionando no firewalll esses ips pra um só???
    e o bloqueio do netbeui e ipx, como é feito??? tb via firewall? a gente desinstala nos clientes, mas nada impede d instalarem novamente....

    valew

    Augusto

  13. #13

    Padrão Cliente "enxergando" redes dos outros

    é o seguinte augusto,

    vc vai criar um alias na sua placa de rede do servidor. ela resposndera como 192.168.1.1 - 192.168.1.5 - 192.168.1.9 (sempre adicionando 4 no último)

    o ipx e netbeui vc bloqueia por firewall...... porta 139 e 137 se não estou enganado.

    em todos seus clientes vc comocará a classe de ip 192.168.1.6 - 192.168.1.10 (sempre adicionando 5 no último) e MASCARA 255.255.255.252 (assim só terá ip do cliente e servidor)

    Na configuração do seu SWL-3300 vc bloqueia o protocolo netbeuis.

    em linhas gerais é isso.

    qualquer coisa posta ai!

  14. #14
    Visitante

    Padrão Cliente "enxergando" redes dos outros

    essa solucao eh interessante mas nao se torna trabalhoso se tiverem mtos clientes, por que se eu entendi para cada cliente entra um alias no linux nao eh?

  15. #15

    Padrão Cliente "enxergando" redes dos outros

    exatamente,

    vc criará um alias para cada cliente em seu linux.

  16. #16

    Padrão Re: redes

    Citação Postado originalmente por augustocss
    ao gustavo_marcon: como faço pra bloquear poor firewall ip/mask/mac individualemente?? por favor me passe um exemplo de regra de firewall!!!

    espero mais comentarios e ajudas!!! valew a todos q já contribuiram!!!


    Augusto
    Cara, vc deve fazer o seguinte, bloquear tudo:
    iptables -t filter -A FORWARD -j DROP
    iptables -t filter -A INPUT -d DROP
    iptables -t filter -A OUTPUT -j DROP
    # e ir liberando cliente por cliente (crie um script pra isso)
    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE/255.255.255.252 -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A FORWARD -d $IPSOURCE/255.255.255.252 -s 0/0 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $IPSOURCE/255.255.255.252 -o $NET_IFACE -j MASQUERADE
    iptables -t filter -A INPUT -s $IPSOURCE/255.255.255.252 -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A OUTPUT -s $IPSOURCE/255.255.255.252 -d 0/0 -j ACCEPT


    Mais detalhes vc encontra em: http://www.linuxit.com.br/section-viewarticle-154.html

    Esse é o melhor esquema na minha opinião, com isso vc evita que usuários acessem tua rede com dados alterados por eles para enxergarem a outra rede.

  17. #17

    Padrão Cliente "enxergando" redes dos outros

    Peraí, nada que vc faça no gw vai resolver pq o ap funciona como se fosse uma hub, repassando todo broadcast antes que chegue no gw da rede, a não ser que seu gw fosse o próprio ap ou tivesse algum filtro multi ou unicast. E quando a mudar a máscara tente aí colocar a máscara 255.255.255.254 (um host só) e mande pingar no gw, não deveria mas vai funcionar mostrando que o rwindows gerencia muito mal a rede e se tiver com o netbios ativo ele vai enxergar a outra máquina sim. Uma solução seria instalar o pppoe na sua rede, mesmo assim não é 100% garantido em ambientes rwindows.

  18. #18

    Padrão Cliente "enxergando" redes dos outros

    Visitante,

    Tenho um AP-2500 com 2 cartões Gold, cada cartão está ligado em 2 setoriais. O que acontece é que nessa minha rede wireless eu tenho duas redes de Ip´s: uma com ip falso 10.0.0.0/24 e outra com ip´s válidos máscara /25. Os clientes q estão conectados pelo cartão A conseguem enxergar e pingar em outros usuários conectados tbem no cartão A, enquanto que não conseguem pingar nem enxergar outros clientes das mesmas redes que estão conectados no cartão B.

    Na verdade, eu preciso que os usuários dos IP´s válidos possam se enxergar e pingar entre si, pois são servidores linux e precisam encaminhar e-mails e outras coisas mais uns aos outros.

    Existe alguma opção no AP2500 que permita eu fazer com que determinados clientes possam se enxergar entre si, enquanto que todos os outros não consigam se enxergar???

  19. #19

    Padrão Cliente "enxergando" redes dos outros

    se vc tem um ap-2k.... ligue a LAN dele um linux q faz o drop dos protocolos q vc quer dropar...

    use o recurso pkg fwd do ap-2k, e nele, coloque o mac addr do seu linux...

    assim vc encaminha tdo o trafego da wlan pra um mac ligado a lan do ap

    []'s

  20. #20

    Padrão Cliente "enxergando" redes dos outros

    Desculpe a minha ignorância, mas no manual do AP2500 naum achei nenhuma opção dessas (IntraBSS e Packet Forwarding), opções que foram encontradas no manual do AP2000. Será que o AP2500 realmente não possui essas opções???

    Se não tiver, alguém quer compar um AP2500 por aeh???
    ehehehehehehehehhe


    [] a todos...