Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

1. Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 26/07/2021 - 22:59h

Olá a todos.

Lendo algumas coisas sobre redes aqui, fiquei com uma dúvida.
É mais vantajoso usar o NAT ou UPnP ou abrir uma porta?
Lendo sobre NAT e UPnP confesso que não achei muita diferença, exceto, que não sei se o roteador fecha as portas que são abertas automaticamente também.
Ou é melhor ir logo abriruma porta? Nesse caso, a porta aberta fica aberta só para a máquina em questão que está com o IP interno atrelado a essa porta, ou fica para todas as máquinas na rede?

Outra coisa.
Tenho uns aparelhos velhos aqui que não uso mais, e queria realizar uns testes neles, no caso, trocar o MAC físico de um pelo outro e vice-versa. Não me refiro a clonar usando um roteador ou que fique preço somente ao sistema, mas sim realizar a alteração na placa do aparelho, setando o mac de um no outro. Tem como fazer isso ?
É mais uma prova de conceito, li a uns tempos atrás sobre alteração de MAC físico, na época fiquei curioso mas deixei pra lá, por falta de tempo. Essa semana li algumas coisas e relatos de que pode ser possível. Então, como agora tenho um hardware que dá pra fazer isso, gostaria de tentar.

Obrigado e T+


  


2. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos?

Buckminster
Buckminster

(usa Debian)

Enviado em 28/07/2021 - 13:41h

Não é recomendado habilitar UPnP e o redirecionamento de portas ao mesmo tempo, pode dar conflito.
Como é num roteador residencial, geralmente é melhor abrir manualmente as portas (redirecionamento) por questão de controle e segurança. Principalmente se for para jogos.
Caso fosse num servidor de redes daí você faria isso (controle de portas) no firewall (Iptables ou outro), no Squid, etc.
NAT (Network Address Translation - Tradução de Endereços de Rede) tu sabe que é o popular "roteamento".
UPnP (Universal Plug and Play) é o multicast ou encaminhamento automático de portas. A única vantagem do UPnP sobre o redirecionamento manual é a configuração em si, pois é só jogar o número da porta e o UPnP faz a configuração de segurança. Claro que isso muda de acordo com a marca e o modelo do roteador.
No redirecionamento manual você mesmo tem que configurar os parâmetros de entrada e saída.
Entre o NAT e o UPnP, vamos dizer assim, o NAT engloba o UPnP, porém, o tipo de NAT é diretamente afetado pelas configurações de UPnP e redirecionamento de portas, ou seja, curto e grosso: o NAT faz o roteamento geral, o UPnP e o redirecionamento trabalham somente com as portas.
Eu, particularmente, nunca usei UPnP, prefiro redirecionar manualmente, pois nunca temos tantas portas assim para abrir que não possa ser feito manualmente.

"Nesse caso, a porta aberta fica aberta só para a máquina em questão que está com o IP interno atrelado a essa porta, ou fica para todas as máquinas na rede?"
A porta fica aberta de acordo com as configurações feitas, caso tu abrir uma porta no roteador para um determinado IP ela ficará aberta somente para esse IP. Lembrando que sempre tem as configurações de entrada e de saída da porta.

Com relação ao MAC:
É possível sim, em qualquer sistema operacional.
No Linux:
ifconfig eth0 down
ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX
ifconfig eth0 up
Em eth0 coloque o nome da interface a ter o MAC mudado. Em XX tu coloca o MAC que tu quer.
Caso queira processo manual você pode editar o arquivo: /etc/sysconfig/network <<< muda um pouco de acordo com a distribuição Linux.
nano /etc/sysconfig/network
ou pode ir diretamente no arquivo que gerencia a interface
/etc/sysconfig/network-scripts/ifcfg-eth0 <<< coloque o nome da interface e daí dentro do arquivo tu coloca o MAC que tu quer.

Ou use esta ferramenta.
https://www.edivaldobrito.com.br/instale-a-ferramenta-macchanger-para-mudar-endereco-mac-no-linux/

Lembrando que o MAC é o endereço físico, ou seja, é uma espécie de número de série da placa, pois o número é único e vem definido pela fábrica. Tal número vem gravado no chip (ROM) com as informações da placa e pode ser falseado via software com os comandos ali.
Caso tu esteja querendo mudar o MAC de alguma interface do roteador daí tu deverá ver nas configurações do próprio roteador, se for possível. A maioria dos roteadores atuais não permitem mais o acesso via prompt, mas não vejo necessidade de mudar o MAC de alguma interface do roteador. A mudança de MAC é interessante para placas de rede de PC, servidores, notebooks, etc e somente em alguns casos específicos.



3. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 05/08/2021 - 19:02h

Olá Buckminster, tudo bem?
Desculpe a demora em retornar aqui. Fiz uma "cacá" no sistema aqui, e meio que mandei os dados aqui pro espaço só agora que tive um tempo, depois de conseguir uns 70-80% dos dados perdidos e estou mais tranquilo...

Bem, vou ir dando quotes pra ficar mais fácil ler e entender ;)

Buckminster escreveu:

Não é recomendado habilitar UPnP e o redirecionamento de portas ao mesmo tempo, pode dar conflito.
Como é num roteador residencial, geralmente é melhor abrir manualmente as portas (redirecionamento) por questão de controle e segurança. Principalmente se for para jogos.
Caso fosse num servidor de redes daí você faria isso (controle de portas) no firewall (Iptables ou outro), no Squid, etc.
NAT (Network Address Translation - Tradução de Endereços de Rede) tu sabe que é o popular "roteamento".
UPnP (Universal Plug and Play) é o multicast ou encaminhamento automático de portas. A única vantagem do UPnP sobre o redirecionamento manual é a configuração em si, pois é só jogar o número da porta e o UPnP faz a configuração de segurança. Claro que isso muda de acordo com a marca e o modelo do roteador.


Eu estava lendo o manual do aparelho, mas o manual é muito limitado em muitas coisas, meio que só explica o que eu já sabia, ai as dúvidas, estou tendo que correr atrás.
Captei o lance das portas. O meu temor do UPnP, é justamente, que qualquer programa que "queira", vai lá e envia a solicitação para o roteador abrir as portas. É como você esmo disse, não se tem necessidade de usar isso, pois ai teriamos uma infinidade de portas abertas desnecessariamente dentro da rede.
Mas ai que eu fiquei com dúvida. As portas que o UPnP abre em uma solicitação de um programa na máquina "A", vi ficar aberta para em toda a rede, ou somente para a máquina "A"? Ou o UPnP fecha ela depois que a máquina sai da rede? Ou isso varia de cada configuração de cada fabricante?

O lance é ver e abrir manualmente (NAT), já que aqui, tá tudo dentro do menu NAT do aprelho aqui.
Vales pela luz nesse caso ;).

Buckminster escreveu:

No redirecionamento manual você mesmo tem que configurar os parâmetros de entrada e saída.
Entre o NAT e o UPnP, vamos dizer assim, o NAT engloba o UPnP, porém, o tipo de NAT é diretamente afetado pelas configurações de UPnP e redirecionamento de portas, ou seja, curto e grosso: o NAT faz o roteamento geral, o UPnP e o redirecionamento trabalham somente com as portas.
Eu, particularmente, nunca usei UPnP, prefiro redirecionar manualmente, pois nunca temos tantas portas assim para abrir que não possa ser feito manualmente.


O NAT faz a política de roteamento dos pacotes nas máquinas ligadas na rede certo? Dentro do menu NAT, temos sub-menus, como UPnP, e regras de abertura de portas manuais. Seria essas regras de aberturas manuais certo que você se refere? Se sim, depende muito do fabricante e do firmware que ele usa, isso pode variar bem, mas já meu deu uma bela luz sobre isso ;).

Buckminster escreveu:

"Nesse caso, a porta aberta fica aberta só para a máquina em questão que está com o IP interno atrelado a essa porta, ou fica para todas as máquinas na rede?"
A porta fica aberta de acordo com as configurações feitas, caso tu abrir uma porta no roteador para um determinado IP ela ficará aberta somente para esse IP. Lembrando que sempre tem as configurações de entrada e de saída da porta.


Ai que tá....
Eu tenho que pesquisar mais sobre isso no manual, na página de FAQ do fabricante e na internet, pois realmente, não sei bem, se consigo atrelar uma porta aberta a uma máquina só na rede. A ideia, é que uma máquina só (chamada de teste, no exemplo), use uma determinada porta (vamos chamar a porta aberta de xx), e só ela use essa porta, e para todas as outras máquinas na rede, essa porta esteja fechada, tanto para envio de qualquer pacote pelas outras máquinas da rede, quanto qualquer tentativa externa a rede que tente acessar a porta xx, mesmo com a máquina teste logada a rede, a porta xx fique sendo só dela e pronto.
Ai também não sei bem ao certo, se ao deslogar da rede, a porta xx vai se fechar e voltar a abrir quando a máquina teste se logar de volta.

Buckminster escreveu:

Com relação ao MAC:
É possível sim, em qualquer sistema operacional.
No Linux:
ifconfig eth0 down
ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX
ifconfig eth0 up
Em eth0 coloque o nome da interface a ter o MAC mudado. Em XX tu coloca o MAC que tu quer.
Caso queira processo manual você pode editar o arquivo: /etc/sysconfig/network <<< muda um pouco de acordo com a distribuição Linux.
nano /etc/sysconfig/network
ou pode ir diretamente no arquivo que gerencia a interface
/etc/sysconfig/network-scripts/ifcfg-eth0 <<< coloque o nome da interface e daí dentro do arquivo tu coloca o MAC que tu quer.

Ou use esta ferramenta.
https://www.edivaldobrito.com.br/instale-a-ferramenta-macchanger-para-mudar-endereco-mac-no-linux/

Lembrando que o MAC é o endereço físico, ou seja, é uma espécie de número de série da placa, pois o número é único e vem definido pela fábrica. Tal número vem gravado no chip (ROM) com as informações da placa e pode ser falseado via software com os comandos ali.
Caso tu esteja querendo mudar o MAC de alguma interface do roteador daí tu deverá ver nas configurações do próprio roteador, se for possível. A maioria dos roteadores atuais não permitem mais o acesso via prompt, mas não vejo necessidade de mudar o MAC de alguma interface do roteador. A mudança de MAC é interessante para placas de rede de PC, servidores, notebooks, etc e somente em alguns casos específicos.


Eu só lembrava dos comandos de troca de mac das placas de rede. A edição de arquivos, eu desconhecia. Mais uma que vou guardar aqui. Obrigado.
E obrigado pelo link também.

Então, o que eu quero fazer, é realmente alterar a placa de rede de dois roteadores velhos aqui, é mais um teste de conceito. Vai envolver eletrônica e uma ligação na placa "mãe" do roteador, para ter acesso ao firmware e editar isso lá.
Lembro que vi isso a muito tempo atrás, mas nem lembrava mais. Como agora tenho dois aparelhos para testes, então, estou afim de testar esse conceito.
Para minha tristeza, perdi os resultados da minha pesquisa na bobeira que fiz no sistema aqui. Vou ter que começar tudo do zero de novo.

Obrigado pela ajuda.

T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer


4. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos?

Buckminster
Buckminster

(usa Debian)

Enviado em 05/08/2021 - 22:26h

Bom, são quatro "quotes", seguem abaixo.

Geralmente o UPnP abre e fecha a porta depois que a máquina sai (depende das configurações). O problema é que em uma rede tem várias máquinas, então pode acontecer que determinada porta fique sempre em uso por máquinas diferentes e isso pode dar um problema de segurança caso você não atrelar a máquina pelo IP e/ou pelo MAC. O problema de atrelar pelo MAC ou pelo IP com o UPnP é que alguém pode mudar o MAC da placa do PC ou mudar o IP e aí dá cáca.
Sim, o lance é abrir manualmente porque mesmo que tu tenha uma rede grande, ainda assim tu dividirá ela internamente em sub-redes colocando switchies, outros servidores, etc.
No teu caso é no roteador residencial, então o melhor é abrir manualmente, pois assim tu tem controle das regras.

Sim, "regras de abertura de portas" como tu fala é o que se chama tecnicamente de "redirecionamento de portas".
Geralmente as regras em si não variam muito de fabricante para fabricante. O que varia é a interface gráfica de cada roteador de acordo com a marca e o modelo, mas, basicamente, todo roteador, não importando a marca e o modelo, tem DHCP, redirecionamento, NAT, etc.

Tu atrela uma determinada máquina da rede pelo IP dela, pode atrelar também pelo MAC.
Para essa máquina "teste", abra a porta que tu quer e atrele pelo IP dela e/ou pelo MAC, pode atrelar pelos dois já que é somente interno para você mesmo, isso se o roteador permitir.
A máquina "teste" configurada manualmente, ao deslogar da rede, a porta no roteador fica fechada para os outros e aberta somente para essa máquina. Quando a máquina logar de novo o roteador "sabe" pelas configurações e abre a porta somente para essa máquina.
Por isso falei antes, tem que verificar no roteador as configurações de entrada e saída da porta. Geralmente na interface gráfica do roteador estão bem explícitos os campos de entrada e saída.

Bom, alterar o MAC de uma placa de rede de um PC ou notebook é simples, como já visto. Mas alterar o MAC do roteador somente se tiver essa configuração no roteador, o que geralmente não tem.
Quanto à ligação na "placa mãe" do roteador, na placa de circuito eletrônico dele, aí já envolve conhecimentos de eletrônica, solda, etc.
Algumas vezes, já faz tempo isso, mudei alguns componentes de placas-mãe, mas de placas-mãe de PC, de roteador nunca fiz. E mudei para testes, algumas placas-mãe não deram certo, estraguei elas, mas faz parte. Outras tive sucesso.
Pois é, vá anotando, isso é importante. Eu não anotei nada. Caso hoje fosse mexer em componentes de placas-mãe teria que fazer tudo de "cabeça", começar do zero de novo ou baseado na memória.
Mas nada que pesquisas na internet não resolvam.
Não desista.



5. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 07/08/2021 - 20:07h

Buckminster escreveu:

Bom, são quatro "quotes", seguem abaixo.

Geralmente o UPnP abre e fecha a porta depois que a máquina sai (depende das configurações). O problema é que em uma rede tem várias máquinas, então pode acontecer que determinada porta fique sempre em uso por máquinas diferentes e isso pode dar um problema de segurança caso você não atrelar a máquina pelo IP e/ou pelo MAC. O problema de atrelar pelo MAC ou pelo IP com o UPnP é que alguém pode mudar o MAC da placa do PC ou mudar o IP e aí dá cáca.
Sim, o lance é abrir manualmente porque mesmo que tu tenha uma rede grande, ainda assim tu dividirá ela internamente em sub-redes colocando switchies, outros servidores, etc.
No teu caso é no roteador residencial, então o melhor é abrir manualmente, pois assim tu tem controle das regras.


Irei fazer isso mesmo. Abrir manualmente e atrelar aos ips na rede, assim, evito problemas. A intenção do UPnP e DMZ era boa, mas não rola no meu caso.
Obrigadão pela luz.

Buckminster escreveu:

Sim, "regras de abertura de portas" como tu fala é o que se chama tecnicamente de "redirecionamento de portas".
Geralmente as regras em si não variam muito de fabricante para fabricante. O que varia é a interface gráfica de cada roteador de acordo com a marca e o modelo, mas, basicamente, todo roteador, não importando a marca e o modelo, tem DHCP, redirecionamento, NAT, etc.


Aqui ele tem um NAT e um submenu com servidor virtual pra abrir portas.
Vou dar uma olhada no manual e ver como fazer da maneira certa.

Buckminster escreveu:

Tu atrela uma determinada máquina da rede pelo IP dela, pode atrelar também pelo MAC.
Para essa máquina "teste", abra a porta que tu quer e atrele pelo IP dela e/ou pelo MAC, pode atrelar pelos dois já que é somente interno para você mesmo, isso se o roteador permitir.
A máquina "teste" configurada manualmente, ao deslogar da rede, a porta no roteador fica fechada para os outros e aberta somente para essa máquina. Quando a máquina logar de novo o roteador "sabe" pelas configurações e abre a porta somente para essa máquina.
Por isso falei antes, tem que verificar no roteador as configurações de entrada e saída da porta. Geralmente na interface gráfica do roteador estão bem explícitos os campos de entrada e saída.


Era isso que eu queria saber.
O meu medo era da porta ficar aberta pra todo mundo, como era feito antigamente. Assim, atrelando ao IP e ao MAC, não tem tanto problemas.
Aqui tem a sessão NAT e dentro dela o submenu de servidor virtual para abrir portas. Por eles é mais seguro. É algo com forward pra um e triggering pra outro (se não me falha a memória).
Idei setar tudo e deixar tudo redondinho aqui.

Buckminster escreveu:

Bom, alterar o MAC de uma placa de rede de um PC ou notebook é simples, como já visto. Mas alterar o MAC do roteador somente se tiver essa configuração no roteador, o que geralmente não tem.
Quanto à ligação na "placa mãe" do roteador, na placa de circuito eletrônico dele, aí já envolve conhecimentos de eletrônica, solda, etc.
Algumas vezes, já faz tempo isso, mudei alguns componentes de placas-mãe, mas de placas-mãe de PC, de roteador nunca fiz. E mudei para testes, algumas placas-mãe não deram certo, estraguei elas, mas faz parte. Outras tive sucesso.
Pois é, vá anotando, isso é importante. Eu não anotei nada. Caso hoje fosse mexer em componentes de placas-mãe teria que fazer tudo de "cabeça", começar do zero de novo ou baseado na memória.
Mas nada que pesquisas na internet não resolvam.
Não desista.


É bem chatinho de fazer essa ligação nas placas.
Sei que todas as placas, desde um mp3 fuleiro a uma placa lógica a uma placa mãe, tem uma sequência de ligação de cabos, que permite acesso ao firmware da mesma com todas as informações, detalhe, é possível realizar alterações nesse caso. É possível salvar esse firmware caso de problemas e precise reinstalar, por exemplo. A ideia é alterar o MAC físico direto na própria placa e ai e testar e ver se uma instalação de firmware altera o mac, e etc...
Mas...
Eu tenho que rever tudo de novo e vai demorar um pouco. Só lembro que é possível, mas dá trabalho.
Tanto que irei comprar uma estação de solda e retrabalho, pra não fritar nada. Minha "sucata" aqui é limitada, então, não posso me dar ao luxo de fritar tudo não hahaha.
Já tentei usar ferro de solda comum, aqueles que parecem uma caneta, e fritei duas placas e destruí os circuitos em volta.

Obrigadão pela ajuda.

T+ e valeus

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer


6. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos?

Buckminster
Buckminster

(usa Debian)

Enviado em 07/08/2021 - 21:15h

"É bem chatinho de fazer essa ligação nas placas.
Sei que todas as placas, desde um mp3 fuleiro a uma placa lógica a uma placa mãe, tem uma sequência de ligação de cabos, que permite acesso ao firmware da mesma com todas as informações, detalhe, é possível realizar alterações nesse caso. É possível salvar esse firmware caso de problemas e precise reinstalar, por exemplo. A ideia é alterar o MAC físico direto na própria placa e ai e testar e ver se uma instalação de firmware altera o mac, e etc...
Mas...
Eu tenho que rever tudo de novo e vai demorar um pouco. Só lembro que é possível, mas dá trabalho.
Tanto que irei comprar uma estação de solda e retrabalho, pra não fritar nada. Minha "sucata" aqui é limitada, então, não posso me dar ao luxo de fritar tudo não hahaha.
Já tentei usar ferro de solda comum, aqueles que parecem uma caneta, e fritei duas placas e destruí os circuitos em volta."

Já pensou em usar uma estação de solda e retrabalho?


7. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 08/08/2021 - 00:47h

Buckminster escreveu:

"É bem chatinho de fazer essa ligação nas placas.
Sei que todas as placas, desde um mp3 fuleiro a uma placa lógica a uma placa mãe, tem uma sequência de ligação de cabos, que permite acesso ao firmware da mesma com todas as informações, detalhe, é possível realizar alterações nesse caso. É possível salvar esse firmware caso de problemas e precise reinstalar, por exemplo. A ideia é alterar o MAC físico direto na própria placa e ai e testar e ver se uma instalação de firmware altera o mac, e etc...
Mas...
Eu tenho que rever tudo de novo e vai demorar um pouco. Só lembro que é possível, mas dá trabalho.
Tanto que irei comprar uma estação de solda e retrabalho, pra não fritar nada. Minha "sucata" aqui é limitada, então, não posso me dar ao luxo de fritar tudo não hahaha.
Já tentei usar ferro de solda comum, aqueles que parecem uma caneta, e fritei duas placas e destruí os circuitos em volta."

Já pensou em usar uma estação de solda e retrabalho?


Olá, tudo bem?

Já pensei sim. É bem mais fácil usar uma estação de retrabalho pra soltar componentes menores. Está na minha lista aqui :D.

Ah!
O lance das portas, o port foward e o port triggering.
Resumidamente, o port foward fica aberto pra geral, posso direcionar o ip interno da máquina para a porta desejada, que mesmo após sair, ela fica aberta.
Já o port triggering, a porta amarrada ao ip interno, fica aberta enquanto a máquina fica logada na rede e durante o uso da porta. Parou de usar a porta ou a máquina com o ip amarrada a essa porta saiu da rede, a porta é fechada.

Está certo meu raciocínio? Estou lendo sobre isso até agora.
No meu caso, o port triggering é mais aconselhável, do que o foward.
O engraçado que ambas as opções ficam dentro do menu NAT hehe.

Valeus, T+


-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer


8. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 15/08/2021 - 23:19h

Durante a semana irei realizar mais algumas pesquisas sobre nat forwardinf e triggering para encerrar esse post.

T+


-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer


9. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos?

Buckminster
Buckminster

(usa Debian)

Enviado em 16/08/2021 - 02:49h

"Resumidamente, o port foward fica aberto pra geral, posso direcionar o ip interno da máquina para a porta desejada, que mesmo após sair, ela fica aberta."

Não necessariamente. Basta você configurar o roteador para fechar a porta após a máquina sair.

"Já o port triggering, a porta amarrada ao ip interno, fica aberta enquanto a máquina fica logada na rede e durante o uso da porta. Parou de usar a porta ou a máquina com o ip amarrada a essa porta saiu da rede, a porta é fechada."

Depende. Tanto um como o outro dependem das configurações feitas.
Não dá para dizer qual é melhor. Vai do uso que se pretende, vai das configurações, etc.

Para tu fechar as portas com maior segurança como tu quer tem que ser um conjunto.
Para fechar a máquina teste seria melhor então uma VPN junto com as configurações de portas do roteador e um bom firewall (filtro de pacotes).
Dependendo das tuas condições financeiras aconselho um firewall de hardware junto com uma máquina com Iptables, caso tu for paranóico com esse negócio de segurança na internet.

Depende também da qualidade da marca, do modelo do modem/roteador, depende das configurações de cada marca e modelo, etc.
Para fechar a máquina teste como tu quer só fazendo uma VPN com acesso entre dois pontos somente.
Segurança total na internet (www) é meio que uma ilusão.

Aqui tenho um Cisco com Aplicações & jogos > Reencaminhamento de porta única:
daí tem o nome da aplicação para configurar (FTP, DNS, HTTP, etc), configuração de porta externa e porta interna (o número da porta), protocolos TCP ou UDP ou ambos e fixa-se pelo IP interno (192.168.x.x).
Pode-se criar uma DMZ também.

https://www.linksys.com/br/support-article?articleNum=132863
https://www.linksys.com/br/support-article/?articleNum=136656
https://www.thc.org/
https://packetstormsecurity.com/wardialers/page2/




10. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 23/08/2021 - 22:24h

Olá Buckminster, tudo bem?
Peço desculpas pela demora e retornar. Tive que realizar várias coisas aqui durante a semana passada e tomaram muito do meu tempo. Não consegui acessar o VOL por causa disso. Foi mals mesmo pela demora.
Bem, vamos lá.

Buckminster escreveu:

"Resumidamente, o port foward fica aberto pra geral, posso direcionar o ip interno da máquina para a porta desejada, que mesmo após sair, ela fica aberta."

Não necessariamente. Basta você configurar o roteador para fechar a porta após a máquina sair.


Hmmm...
No manual não tem nada desse tipo de configuração no port forward, pra fechar a porta depois de usar. Vou até pentelhar o representante da marca e ver, as acho que eles deixam pra fechar a porta depois de usar, no port triggering mesmo.
Isso no firmware padrão deles. Se colocar um OpenWRT acho que a coisa muda, mas por hora, não irei alterar nada, ainda hehehe.

Buckminster escreveu:

"Já o port triggering, a porta amarrada ao ip interno, fica aberta enquanto a máquina fica logada na rede e durante o uso da porta. Parou de usar a porta ou a máquina com o ip amarrada a essa porta saiu da rede, a porta é fechada."

Depende. Tanto um como o outro dependem das configurações feitas.
Não dá para dizer qual é melhor. Vai do uso que se pretende, vai das configurações, etc.


Irei ver com o fabricante, mas no manual não fala nada muito milagroso ou coisa do tipo. Deve ser por isso que tem as opções de servidores virtuais, port forward e port triggering, ai devo estar limitado ao firmware do fabricante, ou até testar outro como um OpenWRT.

Obrigado pelas dicas nesse sentido.
valeus.

Buckminster escreveu:

Para tu fechar as portas com maior segurança como tu quer tem que ser um conjunto.
Para fechar a máquina teste seria melhor então uma VPN junto com as configurações de portas do roteador e um bom firewall (filtro de pacotes).
Dependendo das tuas condições financeiras aconselho um firewall de hardware junto com uma máquina com Iptables, caso tu for paranóico com esse negócio de segurança na internet.

Depende também da qualidade da marca, do modelo do modem/roteador, depende das configurações de cada marca e modelo, etc.
Para fechar a máquina teste como tu quer só fazendo uma VPN com acesso entre dois pontos somente.
Segurança total na internet (www) é meio que uma ilusão.


Entendi.
No meu caso é mais espaço físico mesmo (> < ).
Mas penso em futuramente criar um firewall com iptables/nftables em uma máquina sim. Mas como seria só modo texto, então não precisa ser uma máquina parruda não. ;).
Isso vai me dar altas possibilidades de aprendizado futuramente :D.
A VPN posso até ver se implanto junto na máquina com firewall, mas pra testar conceitos é uma boa ;)
Daqui a pouco, vou ver os preços de computadores medianos pela internet... hahaha... Se me deu altas ideias hahaha.
Valeus pelas dicas ;)

Buckminster escreveu:

Aqui tenho um Cisco com Aplicações & jogos > Reencaminhamento de porta única:
daí tem o nome da aplicação para configurar (FTP, DNS, HTTP, etc), configuração de porta externa e porta interna (o número da porta), protocolos TCP ou UDP ou ambos e fixa-se pelo IP interno (192.168.x.x).
Pode-se criar uma DMZ também.

https://www.linksys.com/br/support-article?articleNum=132863
https://www.linksys.com/br/support-article/?articleNum=136656
https://www.thc.org/
https://packetstormsecurity.com/wardialers/page2/


Entendi.
Os Ciscos são Tops, mas não é o meu caso rsrs.
Aqui tem algumas coisas parecidas com as que você mencionou, mas irei checar e lhe trago um feedback sobre elas, informando onde que ficam, dentro da sessão do NAT.
DMZ não sei se faria justamente por causa das outras máquinas.
Mesmo usando o modo de isolar clientes, não se se daria certo aqui.
Vou ler os links ;)

O problema nas redes hoje em dia, são os celulares...
Catei um celular com android e fiquei fuçando e nas regras do firewall dele. Resumidamente estava assim (vou colocar o que lembro de cabeça, pois faz um tempo já): Forward, Input, Output e estava tudo permitido.
O usuário não te controle nenhum sobre as configurações de segurança desses aparelhos, vem tudo em um lote fechado e jogado no colo do cliente/usuário.
Por isso a dor de cabeça em deixar uma rede segura, pois eles tem N pontos fracos, que vão desde apps com malwares dentro da própria loja oficial até links e outros falhas na segurança dos mesmos... É uma baderna tão grande entre as configurações de cada fabricante, por exemplo, tem celulares com android que já tem suporte ao wpa3 (ou wpa2/wpa3, usando a chave do wpa3), outros fabricantes, ficam no wpa2 e pronto... Não se tem um plano para implementar melhorias de segurança em conjunto entre eles...
É muita coisa pra se preocupar em uma simples rede doméstica, imagina em uma rede corporativa, com dados sensíveis trafegando pra tudo que é lado...

Ah!
Estou cogitando a compra de um switcher já, pra realizar a conexão por cabos. Estou vendo algumas coisas, tem muitos modelos. Tem uns TP-Link, mas são plug and play, sem muitas opções de configurações. Não existe nada com algum custo x benefício nesse caso, que permita configurar?

Obrigadão pela ajuda e paciência ;)

Valeus, T+

-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer


11. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos?

Buckminster
Buckminster

(usa Debian)

Enviado em 23/08/2021 - 23:42h

No manual não tem nada desse tipo de configuração no port forward, pra fechar a porta depois de usar. Vou até pentelhar o representante da marca e ver, as acho que eles deixam pra fechar a porta depois de usar, no port triggering mesmo.
Isso no firmware padrão deles. Se colocar um OpenWRT acho que a coisa muda, mas por hora, não irei alterar nada, ainda hehehe.


Os modens/roteadores estão vindo com poucas opções de configuração, estão saindo assim de fábrica.
Os da Cisco ainda são uma boa opção nesse sentido, mas tem a desvantagem de terem um preço elevado, mas tem alguns aparelhos da Cisco que não são tão caros.
Esse Cisco que eu tenho é o único aqui em casa e já tem uns 6 anos e ainda é atual. No fim acaba sendo uma economia.

O problema nas redes hoje em dia, são os celulares...
Catei um celular com android e fiquei fuçando e nas regras do firewall dele. Resumidamente estava assim (vou colocar o que lembro de cabeça, pois faz um tempo já): Forward, Input, Output e estava tudo permitido.
O usuário não te controle nenhum sobre as configurações de segurança desses aparelhos, vem tudo em um lote fechado e jogado no colo do cliente/usuário.


Isso é verdade. O bloqueio de certos sites para wi-fi ainda é uma dor de cabeça.
Geralmente em redes corporativas coloca-se servidores (Web com Apache, DHCP, Firewall, Hotspot, DMZ, etc) para concentrar o controle, ou um data center interno, uma dessas "soluções" que já vem prontas desde o hardware até o software.
Não sou muito fã dessas "soluções" prontas porque o cara fica encalacrado por um bom tempo com a empresa fornecedora, mas para quem não quer se incomodar com isso, quem não tem um setor de TI na empresa daí é uma opção válida.

[quote[Estou cogitando a compra de um switcher já, pra realizar a conexão por cabos. Estou vendo algumas coisas, tem muitos modelos. Tem uns TP-Link, mas são plug and play, sem muitas opções de configurações. Não existe nada com algum custo x benefício nesse caso, que permita configurar?[/quote]

Escolha um switch gerenciável. O preço também depende do tamanho dele, quanto mais portas tiver mais caro é em relação a um switch com 8 portas por exemplo.
Os switchies gerenciáveis geralmente tem de 24 portas para cima, mas se encontra switch gerenciável com 4 ou 8 portas.
Os da marca TP-link são bons.
Terá que dar uma pesquisada.
Eu não saberia te indicar um modelo em específico atualmente.
A Dell também fabrica bons switch, mas é claro que em cada marca tem os modelos bons e os modelos ruins.
A única empresa que eu sei que ainda dá para confiar na qualidade dos produtos de rede (modem, switch, etc) é a Cisco.
A Mikrotik também faz switch, mas não saberia te dizer se são bons.
Os switchies da marca Juniper também são bons, mas também são caros.


________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.

Ou então execute:
# chown -R root:root /
# mount -o remount,rw /
# reboot

e veja o sistema derreter na sua frente.



12. Re: Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Patrick
Freud_Tux

(usa Outra)

Enviado em 28/08/2021 - 22:23h

Olá Buckminster, tudo bem?
Desculpe pela sumida. Pesquisando, testando, esperando resposta do fabricante e outras coisas.
Mas vamos lá.

Buckminster escreveu:

No manual não tem nada desse tipo de configuração no port forward, pra fechar a porta depois de usar. Vou até pentelhar o representante da marca e ver, as acho que eles deixam pra fechar a porta depois de usar, no port triggering mesmo.
Isso no firmware padrão deles. Se colocar um OpenWRT acho que a coisa muda, mas por hora, não irei alterar nada, ainda hehehe.


Os modens/roteadores estão vindo com poucas opções de configuração, estão saindo assim de fábrica.
Os da Cisco ainda são uma boa opção nesse sentido, mas tem a desvantagem de terem um preço elevado, mas tem alguns aparelhos da Cisco que não são tão caros.
Esse Cisco que eu tenho é o único aqui em casa e já tem uns 6 anos e ainda é atual. No fim acaba sendo uma economia.

Eu deveria ter pegado um cisco ou mikrotik mesmo...
Eu entrei em contato com o fabricante do roteador que eu comprei, sobre o fato do port triggering não ter a opção de amarrar o ip da máquina e permitir que só uma máquina tenha acesso a essa porta. A resposta que foi me passada, que eu tinha que abrir a porta no roteador deles e fazer DMZ pelo aparelho da operadora. Ou seja, querem que eu tenha duplo NAT na rede (> < ).
O roteador que eu comprei, não tem a opção de mexer no NAT ao ser jogado como AP, só como modo router. E o mesmo com o aparelho da operadora, sendo que eu tenho umas 3 ONTs aqui ainda pra testar que só pegam e convertem o sinal e não fazem mais nada do que isso. O aparelho da operadora está na mesma, só pega o sinal e pronto.
O meu problema são os celulares, que não tenho controle sobre as configurações deles, eles simplesmente permitem muito pouca coisa.
E a porta fica lá e se algum app fica caçando portas na faixa da porta que eu preciso usar e ele acha ela, ai dependendo que o app faz (já que são muito obscuros) pode mandar tudo pro brejo, pois nem o isolamento deles vá ajudar...
Já pelo port forward, a porta fica eternamente aberta... O mesmo problema do port triggering terei aqui com outros aparelhos nessa rede...

Tem ideia de uma faixa de preço e modelos de roteadores da cisco pra uso doméstico, que não sejam tão capados como d-links, tp-link & cia? Eles tem muita coisa, deixa a gente perdido rsrs. Tô quase tacando um OpenWRT nesse aqui viu... Vou até dar uma olhada nas opções que poderei ter com esse firmware essa semana.

Tinha pensando em uma coisa... Desabilitar o wifi desse roteador, e comprar um AP e jogar o cabo do roteador pro AP e o AP é quem vai distribuir o wifi. Em teoria, eu tiraria o wifi de um aparelho e o concentraria em outro e teria um melhor controle sobre isso, separando fisicamente dispositivos "burros" da rede concentradora. Ai o resto vai via cabo pelo switcher. Não é elegante, mas é uma possibilidade, não?

O problema nas redes hoje em dia, são os celulares...
Catei um celular com android e fiquei fuçando e nas regras do firewall dele. Resumidamente estava assim (vou colocar o que lembro de cabeça, pois faz um tempo já): Forward, Input, Output e estava tudo permitido.
O usuário não te controle nenhum sobre as configurações de segurança desses aparelhos, vem tudo em um lote fechado e jogado no colo do cliente/usuário.


Isso é verdade. O bloqueio de certos sites para wi-fi ainda é uma dor de cabeça.
Geralmente em redes corporativas coloca-se servidores (Web com Apache, DHCP, Firewall, Hotspot, DMZ, etc) para concentrar o controle, ou um data center interno, uma dessas "soluções" que já vem prontas desde o hardware até o software.
Não sou muito fã dessas "soluções" prontas porque o cara fica encalacrado por um bom tempo com a empresa fornecedora, mas para quem não quer se incomodar com isso, quem não tem um setor de TI na empresa daí é uma opção válida.

Eu estou a umas 3 semanas pensando em como melhorar a segurança da rede aqui por causa dos celulares e demais dispositivos "burros", ou seja, que não permitem a configuração de firewall, regras e etc... Como os celulares. Pensei em marretadas, mas não é uma opção rsrsrsrs.
Não gosto de usar o DMZ, pelo que li, o protocolo que ele usa, assim como o UnPn é fraco e cheio de falhas...Bem, pelo que eu li...

Falando em protocolos fracos e aparelhos "burros", olha isso:

https://tecnoblog.net/483347/cloudflare-diz-que-brasil-foi-base-para-maior-ataque-ddos-da-historia/

De acordo com a matéria, vários roteadores que são configurados com segurança de bichinho virtual e sem atualização, fizeram parte desse ataque. Conheço várias pessoas que tem roteadores assim. Não adianta falar, já desisti rsrs. Mas é impressionante o poder de fogo que teve esse ataque, mais de 17 milhões de tentativas por segundo para conexões... Vai saber se esses rotadores não estão em modo latente, esperando...
Por isso vou ter que acabar separando fisicamente o wifi aqui pelo jeito...
Que saudades dos roteadores sem wifi... Só achei com wifi...
Antes tinham tantas opções, eu me assustei quando eu vi as opções desses aparelhos novos...


Estou cogitando a compra de um switcher já, pra realizar a conexão por cabos. Estou vendo algumas coisas, tem muitos modelos. Tem uns TP-Link, mas são plug and play, sem muitas opções de configurações. Não existe nada com algum custo x benefício nesse caso, que permita configurar?


Escolha um switch gerenciável. O preço também depende do tamanho dele, quanto mais portas tiver mais caro é em relação a um switch com 8 portas por exemplo.
Os switchies gerenciáveis geralmente tem de 24 portas para cima, mas se encontra switch gerenciável com 4 ou 8 portas.
Os da marca TP-link são bons.
Terá que dar uma pesquisada.
Eu não saberia te indicar um modelo em específico atualmente.
A Dell também fabrica bons switch, mas é claro que em cada marca tem os modelos bons e os modelos ruins.
A única empresa que eu sei que ainda dá para confiar na qualidade dos produtos de rede (modem, switch, etc) é a Cisco.
A Mikrotik também faz switch, mas não saberia te dizer se são bons.
Os switchies da marca Juniper também são bons, mas também são caros.


________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.

Ou então execute:
# chown -R root:root /
# mount -o remount,rw /
# reboot

e veja o sistema derreter na sua frente.


Eu estava pesquisando switchers, mas os gerenciáveis vi por mais de 3 mil, mas já era solução para empresas. Eu queria algo gerenciável, mas não necessariamente para empresas. Eu vi uns tp-links, mas muito simples, tipo R$ 150, mas pelo que eu pude ler, não eram gerenciáveis, era plug and play. Irei ver sim, com certeza.
Os mikrotik e os ciscos irei dar uma olhada, mas não são baratos não.

Obrigadão pela ajuda.

T+ e valeus



-------------------------------------------------------------------------------------------------------------------------------------------------
Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."
zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

" Ignorance is bliss, for learning is the highest joy. " - High Elf Archer



  
01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts