tráfego entre macs

linuxxer
(usa Mandriva)

Enviado em 08/01/2010 - 14:45h

OLÁ PESSOAL!!

embora tenha procurado, não encontrei forma alguma de bolquear comunicação entre certos MACs de minha rede:

O CENÁRIO:
- tenho 20 PCs clientes em uma rede com 1 servidor, que gerencia o acesso à internet.
- as máquinas precisam do acesso à internet, mas NÃO podem comunicar entre si, apenas com o servidor!!

A PERGUNTA:
QUAL SERIA(M) A(S) REGRA(S) NO SQUID/IPTABLES CAPAZ DE PERMITIR ACESSO À INTERNET MAS, AO MESMO TEMPO IMPEDIR O TRÁFEGO ENTRE OS MACs DOS PCs CLIENTES??

***quaisquer respostas que possam ajudar são bem recebidas, assim como SUGESTÕES e dúvidas quanto ao enunciado.

DESDE JÁ AGRADEÇO! MUITO OBRIGADO!!

linuxxer
(usa Mandriva)

Enviado em 11/01/2010 - 14:56h

alguem pode me ajudar????
por favor????

andrelopes.mrx
(usa FreeBSD)

Enviado em 11/01/2010 - 18:17h

Boa noite,

Amigo, o que você está querendo fazer, é meio que... impraticável, primeiro por que as conexões entre as estações de trabalho não passam pelo seu servidor. A comunicação entre elas é feita em camada 2 (switch). Ou seja você não tem como filtrar isso no seu servidor linux pois as conexões não passam por ele.

Uma solução absurda, seria utilizar um switch gerenciável, e criar 20 vlans nesse switch, uma para cada máquina, aí você conseguiria fazer o que está querendo. Mas fica muito difícil manter um layout assim. Mas se for isso mesmo que você quer é a maneira.

André Gustavo
blog: http://blog.mrx.com.br
gtalk: andre@mrx.com.br

ranzes
(usa Slackware)

Enviado em 11/01/2010 - 18:45h

Não sei exatamente o que esteja procurando, mas talvez possa ser resolvido com freenac.
só lembrando que os sw precisam ter suporte ao protocolo.
att,

elgio
(usa OpenSuSE)

Enviado em 11/01/2010 - 20:04h

como já foi dito, e ratifico, não tem como o teu firewall Linux bloquear acessos entre os clientes pois tais acessos não passam pelo Firewall.

Se os teus clientes forem Linux, podes fechar o acesso individualmente no firewall de cada cliente, mas isto torna-se um tanto quanto impraticável.

linuxxer
(usa Mandriva)

Enviado em 12/01/2010 - 07:28h

PESSOAL, ESQUECI DE DIZER QUE MINHA REDE É WIRELESS E TENHO SERVIDORES QUE CONTROLAM A AUTENTICAÇÃO DAS MAQUINAS NO DOMINIO DESTA REDE.....

MUDA ALGUMA COISA??

OBRIGADO PELAS DICAS!!!

miura 787
(usa Ubuntu)

Enviado em 12/01/2010 - 07:41h

Verifique se sua AP tem suporte à "client isolation", isso evita comunicação direta entre "todos os clientes".

Ats
Miura 787

linuxxer
(usa Mandriva)

Enviado em 14/01/2010 - 15:37h

ja verifiquei mas o AP nao tem "client isolation" ou coisa do gênero....

mais alguem pode me dar alguma outra dica ou sugestão??

MUITO OBRIGADO A TODOS QUE ESTÃO TENTANDO ME AJUDAR, FICO MUITO GRATO!!!!
:)

qxada07
(usa Slackware)

Enviado em 14/01/2010 - 15:46h

Até onde conheço não existe solução para isso pois a comunicação entre as maquinas é realizada sem passar pelo server.... Tenho um provedor wirelless e já me matei de achar algo para isso, porém não encontrei nada.

danilocarvalho
(usa Ubuntu)

Enviado em 15/01/2010 - 09:22h

Amigao.. Eu sou meio leigo mais ve ai se vai resolver.

Utiliza uma mascara de sub-rede diferente pra cada maquina. Agora elas nao podem ter o mesmo gateway, teriam que utilizar um proxy nao transparente. Para assim nao comunicarem entre si. Corrijam-me por favor se eu estiver errado.

elgio
(usa OpenSuSE)

Enviado em 15/01/2010 - 09:35h

Danilo:

tu ideia é meio que impraticável.
Se tiver 30 máquinas, terias que definir 30 redes, mesmo que falsas. Poderias definir um /30 que te dá apenas 4 ips, sendo dois deles inválidos (rede e broadcast - http://www.vivaolinux.com.br/artigo/255.255.255.0-A-matematica-das-mascaras-de-rede/ )

Assim, poderia-mos ter a seguinte configuração, seguindo tua ideia:

Rede VERDADEIRA: 10.1.0.0/16 broadcast 10.1.255.255

Maquina 1: 10.1.0.2/30 Rede: 10.1.0.0 Broad: 10.1.0.3 o gateway teria que ser 10.1.0.1

Maquina 2: 10.1.0.6/30 Rede: 10.1.0.4 Broad: 10.1.0.7 o gateway teria que ser 10.1.0.5

...

Só que no Gateway, VERDADEIRO, seria uma verdadeira CONFUSÃO. Teria que ter esta configuração:

10.1.0.1/16 rede: 10.1.0.0 Broad: 10.1.255.255
E com mais 29 aliases de email para a placa de rede: 10.1.0.5, 10.1.0.9, 10.1.0.13, ...

Além do teu gateway ficar um ó, seria algo dificílimo de manter (o que fazer quando um cliente 31 se conectar?)

E ainda teria que ter o cuidado para desligar ICMP redirect, senão o teu gateway iria te trair. E as regras de iptables deste gateway também seriam uma coisa, pois teria que PROIBIR ip origem e destino sendo os das tuas "falsas" redes...

A ideia que colocaste é ótima no sentido de se usar a matemática das máscaras de rede de forma genial, mas receio ser impraticável (resolve-se um probleminha para criar um problemão).

danilocarvalho
(usa Ubuntu)

Enviado em 15/01/2010 - 09:42h

Elgio,

Entao o que ele esta querendo e impraticavel? Nao existe uma forma "centralizada" de se resolver isto.?