Como fazer 2 redes NÃO se enxergarem?

silasmg
(usa Debian)

Enviado em 04/01/2016 - 16:46h

Olá pessoal, estou com um probleminha em minha rede, ela basicamente está muito lenta, tanto para transferências de arquivos internamente, quanto para navegar na internet, mas isto acontece somente quando o rádio (Rocket M5) está ligado, já explico como é toda a estrutura:

Rede 1
Servidor - 10.0.6.254 (eth1:ADSL eth2: rede interna + Squid + Samba + Iptables)
50 estações WINDOWS - 10.0.6.100-10.0.6.150
Rocket M5 - 10.0.6.253

Rede 2
Servidor - 10.0.0.4 (DHCP + SQUID, SYBASE)
Rocket M5 - 10.0.0.130
200 estações Windows

Este problema começou a 2 semanas, e não consegui localizar qual seria o problema, esta rede funcionou bem por anos, mesmo mal configurada ¬¬'

A questão é:
Teria como eu configurar no meu servidor para que nenhuma estação da minha rede 1 fosse acessível por qualquer estação da rede 2, e vice-versa, e permitir apenas o acesso a porta 2638 usado por um programa específico da rede 1 para a rede 2, ou então permitir que as estações enxerguem apenas um endereço interno (10.0.0.4) da rede 2. Se tiver como, quais seriam os caminhos para fazer tal configuração?

No Rocket M5 o modo sem fio está como WDS da estação, e o modo de rede está como ponte. Foi o único jeito que funcionou o programa específico da porta 2638 da rede 1 para a rede 2.

Obs.: infelizmente não posso adicionar mais placas de rede no servidor, por enquanto.
O rocket M5 está ligado diretamente no Switch da rede 1 e o outro Rocket está em um Switch da rede 2

R3nan
(usa Debian)

Enviado em 04/01/2016 - 17:13h

qual é a mascara de rede das redes ?

silasmg
(usa Debian)

Enviado em 04/01/2016 - 19:09h

Na rede 1 é 255.0.0.0
Na rede 2 acredito que seja o mesmo, porém não tenho acesso, tenho acesso apenas as estações e servidor da rede 1, gostaria de fechar minha rede para a rede 2, pois é algum tráfego de lá que entra na rede1 e deixa tudo muito lento, fechando a máscara em 255.255.255.0 quais protocolos sobrariam? A porta 26mil lá conseguiria enxergar o servir no 255.0?

manel_
(usa Arch Linux)

Enviado em 04/01/2016 - 19:40h

Com marcara /24 todas as redes continuariam se comunicando.
Sua rede é 10.0.0.0/8 . Qualquer coisa depois do 10 é um host.
Se quer que somente o server da outra rede esteja acessível você precisa mudar sua faixa de IP e adicionar um roteador. (O mais correto acredito eu).
O correto pela quantidade de hosts que você informou ter seria usar um endereço de classe C para cada rede.
Já usou o wireshark pra analisar o tráfego de sua rede ?
Alguns vírus poluem a rede com chuva de broadcasts.
Se esse fato começou a poucas semanas tenta verificar se não foi adicionado nenhum dispositivo na rede, como um novo switch, PC, celular etc.

Linux User #555844

manel_
(usa Arch Linux)

Enviado em 04/01/2016 - 19:43h

Ah, e mudando sua máscara para 255.255.255.0 continuariam tudo na mesma rede.
Teria que mudar em alguma de 10.0.6.x para 10.0.7.x por exemplo.

Linux User #555844

silasmg
(usa Debian)

Enviado em 04/01/2016 - 19:52h

Assim, na rede2 10.0.0.0/8 ele tem mais outros estabelecimentos onde os ips são 10.0.2.x, 10.0.3.x etc
Eu sou o estabelecimento 10.0.6.x, e sou o único que uso um debian nessa faixa, os outros não tem controle algum, e todos são interligados ao 10.0.0.0/8 por rádios m5. Não posso fazer mudanças na 10.0.0.0/8, mas posso fazer na 10.0.6.x, então tenho que me limitar a isso.

R3nan
(usa Debian)

Enviado em 04/01/2016 - 20:51h

ja que vc tem limitação na alteração da infra a solução seria bloqueio via firewall iptables permintindo apenas trafego da rede 10.0.6.x, se o swtich for gerenciavel tb da pra vc trabalhar com vlans

xshadowbh
(usa Debian)

Enviado em 04/01/2016 - 22:56h

Olha, você está com um problema grande amigo.
Usando mask /24 não tem como as redes se enxergarem.
Essas informações estão erradas, ou você está esquecendo de fazer algo.

Fora isso, me desculpe, mas precisa fazer uma restruturação nisso.

Rafael Lamin
(CSSA - Administrador Linux pela UFMG - Professor de Sistemas de Informação em Libras - Desenvolvedor Linux - Palestrante)
Paintsoft.com.br

qxada07
(usa Slackware)

Enviado em 05/01/2016 - 13:08h

Olha, eu não gostaria de estar na sua pele...

Como você não pode alterar os endereçamentos, a unica forma de fazer isso seria através do linux utilizando o iptables.
Att.

01010010 01101001 01100011 01100001 01110010 01100100 01101111 00100000 01010110 01100001 01110011 01100011 01101111 01101110 01100011 01100101 01101100 01101100 01101111 01110011

silasmg
(usa Debian)

Enviado em 05/01/2016 - 16:33h

Adianta eu colocar minha rede1 em /24?
Pelo iptables, da forma que está, tem como fechar minha rede e deixar apenas a porta 26mil aberta?

Segue meu iptables, lembrando que 10.0.6.254 é o servidor e gateway da rede1:

#!/bin/sh
#

### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $local_fs $remote_fs $network $syslog
# Required-Stop: $local_fs $remote_fs $network $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start firewall at boot time
# Description: Enable service provided by firewall.
### END INIT INFO

iniciar(){
# IP do servidor SQUID
SQUID_SERVER="10.0.6.254"
# Interface que se conecta com a internet
INTERNET="ppp0"
# Interface da rede local
LAN_IN="eth1"
# Porta do SQUID
SQUID_PORT="3128"


# NÃO MODIFIQUE AS LINHAS ABAIXO:
# LIMPAR FIREWALL
iptables -F
iptables -X
iptables -X -t filter
iptables -F -t filter
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# CARREGAR MÓDULOS PARA NAT E SUPORTE PARA IP CONTRACK
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe tun
# COMPARTILHAMENTO DE INTERNET.
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# DEFINIR POLITICAS DE ACESSO
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# ACESSO ILIMITADO AO LOOPBACK
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# LIBERAÇÃO DE PORTAS
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 3000 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -A INPUT -p tcp --dport 5931 -j ACCEPT
iptables -A INPUT -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 1863 -j ACCEPT
iptables -A INPUT -p udp --dport 27015 -j ACCEPT

#bloqueando Ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# PERMITIR UDP, DNS E FTP PASSIVO
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT
# DEFINIR ESTE SISTEMA COMO O ROTEADOR PADRÃO PARA O RESTO DA LAN
iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE
iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT
# ACESSO ILIMITADO PELA LAN
iptables -A INPUT -i $LAN_IN -j ACCEPT
iptables -A OUTPUT -o $LAN_IN -j ACCEPT
# NAT PARA A PORTA 80 SOLICITADA PELA LAN PARA A PORTA DO SQUID 3128 ($SQUID_PORT) PROXY TRANSPARENTE
iptables -t nat -I PREROUTING -p tcp -i $LAN_IN --dport 80 -j REDIRECT --to-port 3128
# NAT PARA A PORTA 443 SOLICITADA PELA LAN PARA PORTAS HTTPS
#iptables -t nat -I PREROUTING -p tcp -m multiport -i $LAN_IN --dport 443 -j REDIRECT --to-ports 3128


# REJEITAR O RESTO E CRIAR LOG
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP


echo "Firewall Habilitado"
}
parar(){
iptables -F
iptables -X
iptables -X -t filter
iptables -F -t filter
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo "Firewall desabilidatado"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start, stop ou restart"
esac

lulipeoliveira
(usa Outra)

Enviado em 05/01/2016 - 17:30h

Olá, tudo bem?

Existe um modulo que se chama "iprange", através dele você pode setar um determinado range de ips de origem e destino e dropar, aceitar conexões em determinadas portas e etc.
Vamos lá, com base nessa sua estrutura, eu faria o seguinte, no servidor 2, que é o que vai partilhar as informações pela porta 2638, você poderia via iptables usar o seguinte comando.

SERVIDOR 2
# LIBERANDO CONEXÃO A PORTA 2638
iptables -t filter -A INPUT -p PROTOCOLO -m iprange --src-range 10.0.6.100-10.0.6.150 -d 10.0.0.4 --dport 2638 -j ACCEPT
iptables -t filter -A OUTPUT -p PROTOCOLO -m iprange -s 10.0.0.4 --sport 2638 --dst-range 10.0.6.100-10.0.6.150 -j ACCEPT
# DROPANDO TODAS AS CONEXÕES VINDAS DA REDE 1 PARA A REDE 2
iptables -t filter -A INPUT -m iprange --src-range 10.0.6.100-10.0.6.150 -j DROP

Segue um teste a ser feito, claro que eu não sei da sua estrutura mas apenas uma dica referente ao modulo.

Abraços.

silasmg
(usa Debian)

Enviado em 06/01/2016 - 15:36h

Não entendi bem estas regras do iptables, seguindo a primeira postagem, eu sou a rede 1 (50 estações - fx 10.0.6.0), e a rede 2 (200 estações - fx 10.0.0.0) é onde está o servidor com a aplicação escutando na porta 2638, onde eu não tenho acesso, ao aplicar estas regras, eu tive um erro por causa da primeira linha e na sequencia todas as estações pararam de navegar, fora que a antena com a rede2 está conectada diretamente em um switch junto com todas as estações da minha rede.

Estou tentando fazer uma gambiarra aqui para poder funcionar provisoriamente, isolei a antena em um novo Roteador WiFi, então quando alguma estação quer entrar no sistema, basta conectar ao novo wi-fi, o ruim disso é não poder imprimir nada em rede e nem acessar a internet.
Estou pensando em fazer até uma gambiarra maior, colocar uma placa de rede wi-fi no servidor 10.0.6.254 e aplicar regras de iptables para passar apenas a porta 2638, ficando assim: Rede2 > Antena > Roteador Wi-Fi > Servidor > Rede1, será que assim eu conseguiria integrar esta porta 2638 a minha rede1 e fazer com que minhas estações possam conectar normalmente sem precisar mudar as conexões?
Posteriormente, eu adicionaria uma placa de rede normal para substituir a wi-fi e assim ficar permanente, então meu servidor ficar assim:

Eth0 - Internet pppoe
Eth1 - Rede1
Eth2 - Antena > Rede2

Seria uma boa solução?
Neste caso, preciso de um auxilio para bolar as regras do firewall.