Iptables ( Bloquear alguns ip para nao se comunicarem entre si)

[Said Dias]

Amigos bom dia.

Tenho ubuntu server 12.04 com iptables e dhcpd
eth0 WAN dhcp
eth1 lan static

o meu dhcpd distribui os ip na range de 10.172.13.10 ate 10.172.13.250
e tambem amarrei uns mac por ip
entao os ips 10.172.13.10 ao 10.172.13.100 estão amarrados pelo MAC

o resto pega via dhcpd mesmo
e todos acessam a internet

eu queira que esses ips do 10 ao 100 nao pudessem se comunicar entre si , vamos supor que a maquina 10.172.13.10 (windows 7)  tenha uma pasta compartilha,
eu gostaria que a maquina com ip 10.172.13.11 NÃO pudesse acessar esta pasta para ver os arquivos e talvez nem conseguisse pingar para ela.

mas o resto de 101 ao 250 nao tivessem esse bloqueio, na verdade elas devem se comunicar, compartilhar arquivos, imprimir em outras impressoras etc...

Ja tentei bloquear com iptables com o DROP e com o REJECT nas chais FORWAR, INPUT, OUTPUT e mesmo assim fica tudo aberto.

é verdade que talvem eu nao tenha usado o comando certo.

Por isso peço por gentiliza que alguem me ajude.

[zekkerj]

Não tem como fazer isso em sua máquina, pq essa comunicação não passa por ela. Como são máquinas que estão na mesma rede, elas se comunicam diretamente sem passar pelo roteador.

[Said Dias]

Mesmo minha maquina sendo um gateway? achei que tudo passava pelo firewall.
é um hotspot!

fiquei desepcionado.

[zekkerj]

Não, só passa pelo gateway o tráfego que vai pra outras redes. O tráfego dentro da mesma rede não passa pelo gateway, passa pelo switch. Se há algum lugar onde vc poderia fazer esse controle, seria lá --- mas pra isso, vc precisaria de um switch gerenciável, o que provavelmente o seu não é.

[Said Dias]

quando voce fala se switch me lembra aqueles HUB antigos de 8 portas que servia para criar uma rede em casa mesmo.

e fico pensando que não é o meu caso.

a internet entra pela eth0 e sai na eth1 nessa eth1 tem um roteador sem fio da cisco

quando sai para esse roteador sem fio  já vai com os ip configurados no dhcpd amarrados por MAC. e os outros o ips que foram gerandos automaticamente.

não dá mesmo para bloquear?

[zekkerj]

Não, não falo daqueles hubs antigos de 8 portas, falo de um switch gerenciável, tipo este aqui.
https://www.lojasbestmarket.com.br/Solucoes_Cisco/_espec/WS-C2960-24TT-L.pdf

Ententa que dá pra bloquear, o que não é pra bloquear no gateway. Esse tráfego não passa por aí.

[Said Dias]

Ok. irei tentar criar uma eth virtual tipo eth1:1 e depois criar outra faixa de ip no meu dhcpd para esses usuarios que nao podem ver tudo na rede.

[zekkerj]

Bem, se essa máquina estiver em outra faixa de rede, ela tem que passar pelo gateway pra chegar no resto da rede. Mas se ela estiver ligada no mesmo domínio de broadcast, ainda poderá enviar e receber mensagens sem passar pelo seu controle.

Vai resolver seu problema imediato? Sim. Mas um usuário esperto consegue driblar sua solução.

[Arthur Bernardes]

Não poderia bloquear a porta de conexão do compartilhamento de rede no Firewall?

Assim, as máquinas não poderiam mais se enxergar, certo?!

[zekkerj]

Ele quer impedir que uma das máquinas se comunique com as outras máquinas da mesma rede, não impedir que as outras máquinas da rede acessem Esse tipo de pacote é comercializado hoje pelas operadoras, mas ficava proibido na versão anterior do texto em prol do princípio da "neutralidade da rede", jargão para definir que o acesso a todos os sites tem de ser feito na mesma velocidade. essa máquina.

Fiquei pensando, ele poderia tentar configurar o firewall dessa máquina pra bloquear os acessos diretos. Novamente, isso poderia ser contornado por um usuário nessa máquina isolada.

[Arthur Bernardes]

Bom, uma coisa que ele poderia fazer, era alterar a máscara de rede.

Assumindo que ele está com a máscara de rede de comprimento /24 ou seja, 255.255.255.0, ele poderia mudar a máscara de rede para comprimento /30 ou 255.255.255.252, assim, ela disponibilizaria 4 endereços IP's.

Sendo eles:

• 1 Endereço de Rede
• 1 Broadcast
• 2 Host's

Então, ele abriria uma interface de rede virtual (uma não, uma para cada cliente ou máquina).

Assim, 1 endereço IP para o Gateway e outro para o computador (host), proibindo o mapeamento/comunicação com outros computadores da rede, comunicando-se apenas com o Gateway.

Seria muito complicado para ele implementar isso?

[zekkerj]

Qualquer solução que dependa da própria máquina pode ser contornada por um usuário local.

[Arthur Bernardes]

Indiquei esse procedimento para ser aplicado no Gateway, como poderia ser contornado?

[zekkerj]

Qualquer usuário que tenha acesso de administrador na máquina isolada pode alterar as configurações e ter acesso às outras máquinas. Pra ser efetivo, o controle tem que ser feito fora da máquina. De preferência, no próprio switch.

Quer uma solução efetiva, que não precisa de um switch gerenciável? Use uma terceira placa de rede no gateway, ligue-a diretamente à tal máquina por um cabo cruzado. Daí é só colocar essa máquina numa faixa de rede separada. Aí sim, não tem jeito; toda comunicação entre essa máquina e o resto da rede tem que passar pelo teu gateway, onde poderá ser controlado.

[Arthur Bernardes]

Andei pensando nisso que você disse.

"Qualquer usuário que tenha acesso de administrador na máquina isolada pode alterar as configurações e ter acesso às outras máquinas."

Entendo, mas que administrador de rede prudente daria acesso de administrador (root) para outros usuários à um Servidor?

Seria meio "burrice" não?