Como habilitar apenas o acesso a internet nas máquinas da rede?

helltallica
(usa Ubuntu)

Enviado em 10/08/2011 - 20:19h

Olá!

Trabalho com manutenção em computadores e tenho um problema que está me tirando o sono!
As máquinas que chegam aqui, às vezes infectam outras máquinas através da rede.

Meu servidor de arquivos roda Ubuntu e ao menos com ele não tenho problemas.

Não tenho certeza se isso é possível, acho que com iptables eu conseguiria liberar o acesso das máquinas de clientes apenas a esse meu servidor de arquivos e à internet, pra que não infectem as outras máquinas.

O máximo que consegui foi bloquear o acesso a internet o que não me interessa. Uma alternativa que imaginei, foi usar o dhcp-server pra gerar um ip /32 para as máquinas dos clientes. mas também não tenho a menor idéia de como fazer isso.

Se alguém puder me ajudar, agradeço bastante!

eritonalmeida
(usa Debian)

Enviado em 11/08/2011 - 00:36h

cara é possivel, mas depende da sua infraestrutura. vc consegue controlar o que passa pelo Linux. essas maquinas precisam ficar isoladas. vc tem um desenho de como ta interligada a rede?

thiagoirch
(usa CentOS)

Enviado em 11/08/2011 - 10:48h

Amigão vc vai ter de criar uma DMZ para esses caras.
Ou usar IPSec que é um pouco mais complicado de se fazer.
Ou ver se seus switchs não fazem vlan
A DMZ é o mais facil, adiciona uma segunda placa de rede a teu FW, bota uma cleasse diferente e controla no fw o acesso.

helltallica
(usa Ubuntu)

Enviado em 11/08/2011 - 13:20h

Obrigado por responderem!

eritonalmeida,

Eu fiz um esquema da rede, mas nunca usei o Packet Tracer, se tiver alguma coisa louca ali, não ligue :D
http://img856.imageshack.us/img856/8940/redep.jpg

thiagoirch,
É uma rede pequena. Não tenho nada sofisticado. O switch não é gerenciável, é um simples de 8 portas.
O computador que eu uso como firewall, já tem duas ethers, uma que recebe a internet e outra que está compartilhando a internet e arquivos através do samba com o restante dos computadores.
Dá uma olhada na imagem que eu postei acima pra você ter uma idéia.

Li algumas coisas falando a respeito da chain FORWARD do iptables. Quando eu acesso acesso dados de um terminal para outro, o tráfego passaria pelo gateway? Mesmo levando em consideração que o firewall é o gateway dessa rede?

eritonalmeida
(usa Debian)

Enviado em 11/08/2011 - 15:40h

cara desse jeito só da para isolar os PCs com VLAN, se o switch tiver suporte. A comunicação entre os PCs não passam pelo seu Linux, logo não pode ser controlada por ele.

O que vc pode fazer é habilitar o firewall do windows sem exceções nos PCs.

andfeh
(usa Debian)

Enviado em 11/08/2011 - 23:29h

Já tive esse problema onde trabalhei, coloca outra placa de rede no teu server, ai ajusta um firewall bem certinho com iptables que vai funcionar legal, vai ter de usar a table FILTER na cadeia FORWARD pra fazer isso!

Lembre-se a cada eth uma rede diferente em faixas de IP separadas!

helltallica
(usa Ubuntu)

Enviado em 13/08/2011 - 09:40h

eritonalmeida,

To longe de ter um switch que faça VLAN =D


andfeh,

Poderia me dar um exemplo? Meu firewall já tem duas placas de rede. Eu recebo a internet na eth0 e compartilho com essa subrede pela eth1. Mas o máximo que consegui foi isso: Compartilhar a internet.

xeque-mate
(usa Debian)

Enviado em 13/08/2011 - 12:23h

Tente fazer isso

iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0 -d ip_servidor -j ACCEPT

helltallica
(usa Ubuntu)

Enviado em 17/08/2011 - 19:54h

Mais uma vez, obrigado pelas respostas, galera.

Firewall não está funcionando mesmo. Fiz vários testes esses dias e nenhum deles funcionou.

Uma idéia é passar um ip /32 para esses pcs terminais, assim eles não teriam acesso aos outros computadores. Esse meu firewall também é o servidor DHCP dessa pequena rede.

A pergunta é: Existe a possibilidade de repassar um ip para essas máquinas com netmask 255.255.255.255???