Como Liberar internet e bloquear acesso a rede interna...

atlas
(usa Debian)

Enviado em 23/07/2011 - 10:02h

Bom, eh o seguinte galera, tenho um servidor em um hotel que faz a seguinte funçao: a eth0 eh usada para rede interna de um hotel sendo q neste servidor tem o sistema do hotel, e na eth1 eu instalei o dhcp e liguei os access points para os hospedes utilizar a internet wireless. Ta td ok, exceto uma coisinha, qualquer um que estiver conectado a eth1, ou seja, qualquer pessoa que estiver hospedado no hotel pode acessar o sistema bem como os computadores da rede interna do hotel ( eth0 ), pois fiz o roteamento para liberar a internet que chega na eth0 para eth1. Gostaria que quem acessar a internet da eth1 ( hospedes ) tivesse acesso somente a internet, ou seja, nao tendo acesso ao servidor e tbm as maquinas ligadas a eth0 ( rede interna do hotel). Se alguem puder ajudar......

riesdra
(usa Debian)

Enviado em 23/07/2011 - 11:52h

olha já verificou se na seção [global] existe as opções;
interfaces = eth0
bind interfaces only = yes

isto ja deveria bloquear o acesso através de qualquer interface diferente de eth0.

atlas
(usa Debian)

Enviado em 23/07/2011 - 12:07h

bloquearia no servidor, mas e nas maquinas da rede eth0???

renato_pacheco
(usa Debian)

Enviado em 23/07/2011 - 14:55h

Vc pode bloquear através do iptables:

# iptables -A FORWARD -s 10.1.1.0/24 -d 192.168.0.0/24 -j DROP

É claro q as redes são fictícias. É só ajustar à sua realidade.

riesdra
(usa Debian)

Enviado em 24/07/2011 - 11:58h

Alex,

estas opções que te passei para o samba, bloqueia o acesso aos compartilhamentos, para máquinas conectadas fora da rede eth0, ou seja os hospedes recebem internet através da eth1 eles não vão ter acesso aos compartilhamentos do samba pois só esta sendo liberado acesso a quem pertence a rede de eth0.

a regra passada acima sobre o firewall também resolve, apenas ajuste aos seus endereços de rede.

atlas
(usa Debian)

Enviado em 25/07/2011 - 11:15h

bah renato pacheco, voce nao tem ideia de quanto me ajudou com essa regra, funcionou exatamente como eu queria, se nao for te pedir muito, poderia me explicar a regra, pois nao gosto de ctrl c e ctrl v, gosto de entender oque estou fazendo. mas se nao puder td bem, ja a me ajudou muuuuuito.

renato_pacheco
(usa Debian)

Enviado em 25/07/2011 - 11:33h

Ok!

# iptables -A FORWARD -s 10.1.1.0/24 -d 192.168.0.0/24 -j DROP

Aki, o encaminhamento dos pacotes (FORWARD) da origem 10.1.1.0/24 (ou seja, as máquinas q estão na rede sem fio) com destino 192.168.0.0/24 (seus servidores) serão descartados (DROP). Veja mais em:

# man iptables

atlas
(usa Debian)

Enviado em 25/07/2011 - 13:53h

eu tinha colocado invertido os ips, primeiro coloquei o ip da rede interna (eth0) depois da rede dos hospedes (eth1). tanto faz???

atlas
(usa Debian)

Enviado em 25/07/2011 - 13:54h

......e funcionou assim......

renato_pacheco
(usa Debian)

Enviado em 25/07/2011 - 14:02h

Na teoria não é a msm coisa, pois tá bloqueando o sentido oposto do tráfego. O certo é do jeito q coloquei pq evita q os hosts do hotel consiga acessar qq servidor da sua rede interna.

atlas
(usa Debian)

Enviado em 25/07/2011 - 15:23h

renato, percebi outra falha agora. Vou explicar como esta configurado aqui para que voce entende melhor. A rede interna, por onde entra a internet é a eth0 e o servidor esta configurado com o ip 10.0.0.253. A internet dos hospedes sai pela eth1 que esta configurada com o ip 10.1.1.1. Portanto quando tento acessar pela rede dos hospedes (eth1) a rede 10.0.0.x (eth0) nao abre nada exceto um ip, que eh o do servidor (10.0.0.253) e quando tento acessar o servido pelo ip dele desta rede que eh o 10.1.1.1 nao consigo. Esta funcionando em termos, nao sei se falta alguma regra no iptales. o script que criei tem as seguintes regras:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -s 10.0.0.0/24 -d 10.1.1.0/24 -j DROP

renato_pacheco
(usa Debian)

Enviado em 25/07/2011 - 15:29h

Essa regra sua deveria estar ao contrário, não?

# iptables -A FORWARD -s 10.1.1.0/24 -d 10.0.0.0/24 -j DROP

Assim o firewall impede os hosts internos d acessarem os servidores da outra rede.