Isolando um ip na rede interna

klexfreire
(usa Debian)

Enviado em 20/07/2009 - 15:12h

Meus colegas de trabalho, meu caso eu imagino que seja simpels, sei que tem outras formas de fazer que n seja pelo iptables, mas quero tentar no iptables, o seguinte:
minha rede é 192.168.1.x e tenho 35 máquinas nessa faixa de ip, e quero que o ip 192.168.1.5 por exemplo, não veja ninguem e nem ninguem veja ele, que ele fique isolado na rede utilizando apenas o link externo, quero fazer no iptables é possivel?

renato_pacheco
(usa Debian)

Enviado em 20/07/2009 - 15:18h

Não sei se eu estou errado, mas se vc colocá-lo em uma máscara diferente daquela outra rede (ex.: 255.255.0.0 em vez d 255.255.255.0) este será isolado, mas deverá t um gateway exclusivo para a comunicação na net. Talvez exista uma maneira mais fácil d fazer isso, mas eu não sei como.

elgio
(usa OpenSuSE)

Enviado em 20/07/2009 - 15:38h

É necessário que você explique melhor o que seria "ver".

Não ver ninguém e não ser visto...
Refere-se aos nomes de domínios Windows? (ver no mapa de rede?)

Ou o "ver" no caso é não ter acesso?

Como a 192.168.1.5 está na mesma rede das demais, o acesso de e para ele não passa pelo teu firewall. Para fazer algo MESMO, só atuando no firewall PESSOAL da 192.168.1.5.

Deixar ela com outra máscara engana alguns usuários. Se eles não são expertos, até funciona (se a 192.168.1.5 estiver com outra máscara, ela terá uma visão diferente do endereço de broadcast. Exemplo: tua rede é:

192.168.1.0/24. Assim, todas as máquinas, sabem que o endereço de broadcast é 192.168.1.255. Se uma envia um email para este IP, todas lerão. Se uma máquina recebe um pacote para o IP 192.168.1.255 ela IRÁ LER ELE.

Se a 192.168.1.5 tiver, por exemplo, máscara /25 (255.255.255.128) ela pensará que o IP de broadcast é 192.168.0.127. Quando ela quiser enviar um pacote para todos, ela o fará para o IP 192.168.0.127, mas ninguém irá ler, pois o IP devia ser 192.168.0.255. E quando ela RECEBER um pacote broadcast, para 192.168.0.255, irá IGNORAR, pois ela reconhece o 192.168.0.127 como broadcast. Isto funcionaria para que a máquina não aparecesse no mapa de redes.

renato_pacheco
(usa Debian)

Enviado em 20/07/2009 - 15:48h

É verdade, elgio... eu não havia pensado dessa maneira. Vc quer dizer então q através d subredes seria mais fácil ou fazendo um firewall dentro da máquina 192.168.1.5 filtrando os hosts da rede (exceto o roteador) seria melhor?

elgio
(usa OpenSuSE)

Enviado em 20/07/2009 - 16:01h

Esta saída por mudança de máscaras é SUJA e falível. O Gw teria que ficar dentro da nova máscara. Se o GW é 192.168.1.1, a máscara da 192.168.1.5 poderia ser até um /29 (192.168.1.1 está dentro de um /29 e também dentro de um /24). A 192.168.1.5 ficaria isolada no que diz respeito a broadcasts e até mesmo algumas conexões diretas! Se ela tentar acessar algo fora de sua máscara, como a 192.168.1.10 (/29 vai de 192.168.1.0 até 192.168.1.7) ela usaria o gw e ai o firewall do Gw poderia cortar. Mas a 192.168.1.10 acessaria direto, pois está na rede, porém a resposta passaria pelo GW.

Então, sim, é possível dar este golpe baixo e isolar desta forma a máquina. Desde que os usuários não tenham poder de alterar as configurações das máquinas. E, claro, desde que a rede não seja baseada (SIC) em hubs!!!

renato_pacheco
(usa Debian)

Enviado em 20/07/2009 - 17:03h

Ah, tá... legal sua explicação! Bom, então a saída seria fazer regras d iptables dentro dessa máquina 192.168.1.5, ignorando todos os ip's da rede, exceto o gateway e a própria máquina? A regra ficaria mais ou menos dessa forma?

iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A INPUT -s 192.168.1.5 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.5 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

Se tiver algum erro (deve ter lógico!), fala ae.