Criar rede WIFI para cliente sem que a mesma tenha acesso a rede interna

willianrosa
(usa Debian)

Enviado em 02/01/2017 - 14:44h

Boa tarde senhores.

Estou com a seguinte dificuldade aqui na empresa, tenho uma rede com um link de internet 15 MB dedicado onde trafego internet, tenho um firewall Debian onde faço os bloqueios de sites. Agora tenho que configurar um roteador wifi para clientes, da meneira que estou configurando estou tendo acesso a minha rede interna, existe uma maneira de eu configurar o routeador e os clientes nao ter acesso a minha rede interna?

Mauriciodez
(usa Debian)

Enviado em 02/01/2017 - 14:53h

camarada ... olha só ... vc a princípio conhece a estrutura de sua rede , a gente não ... vc sabe como está configurando, a gente não .. então vc tem q ser mais detalhista pra gente entender certinho a situação e lhe apresentar alternativas funcionais !!!

a princípio bastaria só vc colocar o roteador em uma faixa de ip diferente da sua rede
___________________________________________________________________________________________
" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

alison_rmx
(usa openSUSE)

Enviado em 02/01/2017 - 17:12h

up

0100000101101100011010010111001101101111011011100010000001001101011000010111001001101001011011100110100001101111

Ideas For Life.

willianrosa
(usa Debian)

Enviado em 03/01/2017 - 08:28h

Bom dia senhores.

Desculpem minha ignorância, mas vamos la, vou tentar descrever meu cenário.

Tenho um link de internet da Algar Telecom 15 MB Full que passa pelo firewall debian.
Minha rede interna esta da seguinte forma:
10.10.0.0/24

Para rede WIFI de clientes estou usando um roteador da LinkSys E2500.
Eu o configurei da seguinte maneira:

Na Wan do roteador coloquei como IP fixo e dei o seguinte endereço:
IP 10.10.0.252
Mascara 255.255.255.0
Gw 10.10.0.1
DNS 8.8.8.8/8.8.4.4

E o DHCP esta pegando 192.168.1.1, funcionou perfeitamente, mas estou conseguindo acessar minha rede interna.
Existe alguma maneira de eu preservar minha rede interna?

Mauriciodez
(usa Debian)

Enviado em 03/01/2017 - 12:13h

deixa eu ver se eu entendi ... vc tem um modem, o roteador vai no modem ... no roteador vc tem clientes q só podem acessar wi-fi e clientes da intranet ... clientes wi-fi não podem acessar a intranet .... é isso ???

___________________________________________________________________________________________
" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

leosixers
(usa Debian)

Enviado em 03/01/2017 - 13:21h

Boa tarde amigo,

Vejo uma opção fácil e rápida para você.

No linksys 2500 configurar como modo roteador, dhcp ativo e DESATIVAR o NAT. Para que os clientes da rede WiFi possam acessar a internet terá que adicionar uma rota estática no seu firewall Debian (10.10.0.1) para que ele conheça a rede 192.168.1.0/24.

Comando:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.10.0.252

Lembre-se de colocar essa rota na inicialização do seu firewall.

E pronto. Isso afará com que os clientes da sua rede interna 10.10.0.0/24 não sejam acessados, pois eles não tem rota para essa rede. Se quiser aumentar a segurança podes colocar uma regra de firewall no roteador da linksys para a rede 192.168.1.0/24 não acessar a rede 10.10.0.0/24.

É uma maneira. Simples, menos segura, mas uma maneira. O certo seria ter uma Access point com suporte a VLAN como o AP 300 da Intelbras e segregar a rede com um switch gerenciável.

Qualquer dúvida avise.

Abraços e espero ter ajudado.

willianrosa
(usa Debian)

Enviado em 05/01/2017 - 15:48h

leosixers... Muitíssimo obrigado me ajudou muito.

Fiz conforme voce mencionou desativei o Nat do roteador e inclui a rota estática.
Só que agora não tenho acesso a rede interna mas também não estou acessando a internet. O que eu posso ter feito de errado?

removido
(usa Nenhuma)

Enviado em 06/01/2017 - 09:49h

Alguns equipamentos permitem criar uma rede para 'visitantes', veja as configurações do seu se isso é possível

------------------------------------------------------------------------------------------------------------------

Cedo ou tarde, você vai aprender, assim como eu aprendi, que existe uma diferença entre CONHECER o caminho  e TRILHAR o caminho. (Neo em Matrix)

--------------------------------------------------------------------------------------------------------------- 

leosixers
(usa Debian)

Enviado em 06/01/2017 - 14:42h

@willianrosa

Pode ser alguma coisa nas regras de firewall ou mascaramento no seu Debian. Você tem regras no iptables que liberam o acesso da rede interna a internet?
Como é feito o seu NAT? Está utilizando source nat ou MASQUERADE? Pode postar as regras?

Digite um tracert www.google.com.br de alguma estação da sua rede WiFi para visitantes para verificarmos o roteamento e poste também.

Abraços

willianrosa
(usa Debian)

Enviado em 06/01/2017 - 18:24h

Boa tarde.

Segue regras:

#!/bin/bash
### BEGIN INIT INFO
# Provides: firewall
# Required-Start: $local_fs $remote_fs $network $syslog
# Required-Stop: $local_fs $remote_fs $network $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start firewall.sh at boot time
# Description: Enable service provided by firewall
### END INIT INFO

# ATEN▒▒O # AS LINHAS ACIMA N▒O S▒O COMENTTARIOS , ELAS FORMAM O CABE▒ADLHO DO SCRIPT N▒O PODEM SER ALTERADAS E NEM APAGADAS.

iniciar(){

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

modprobe ppp-compress-18
modprobe ip_nat_pptp
modprobe ip_conntrack_pptp
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 22,80,3128 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 161 -j ACCEPT # SNMP
iptables -A INPUT -i eth1 -p tcp --dport 161 -j ACCEPT # SNMP
iptables -A INPUT -i eth0 -p tcp --dport 9191 -j ACCEPT # PAPERCUT
iptables -A INPUT -i eth0 -p tcp --dport 631 -j ACCEPT # CUPS
iptables -A INPUT -i eth0 -p tcp --dport 1433 -j ACCEPT # SQL SERVER
iptables -A INPUT -i eth0 -p udp --dport 1433 -j ACCEPT # SQL SERVER
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 9102,9103,9095 -j ACCEPT # BACULA

iptables -A INPUT -p tcp -s 10.10.0.0/24 -m multiport --dport 139,445 -j ACCEPT # SAMBA
iptables -A INPUT -p udp -s 10.10.0.0/24 -m multiport --dport 138,139 -j ACCEPT # SAMBA
iptables -A INPUT -p tcp -s 0/0 -m multiport --dport 139,445 -j DROP # SAMBA
iptables -A INPUT -p udp -s 0/0 -m multiport --dport 137,138,139 -j DROP # SAMBA
iptables -A OUTPUT -p tcp -s 10.10.0.0/24 -m multiport --dport 139,445 -j ACCEPT # SAMBA
iptables -A OUTPUT -p udp -s 10.10.0.0/24 -m multiport --dport 138,139 -j ACCEPT # SAMBA

iptables -A FORWARD -p udp --dport 53 -j ACCEPT # DNS

# CPD - SERVIDORES
iptables -t nat -A POSTROUTING -s 10.10.0.100 -j MASQUERADE # CPD - SERVIDOR - SAMBA4
i

iptables -A FORWARD -p tcp -m multiport --dport 25,53,110,143,465,587,993,995 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -m multiport --dport 25,53,110,143,465,587,993,995 -j MASQUERADE
iptables -t nat -A POSTROUTING -p udp -m multiport --dport 25,53,110,143,465,587,993,995 -j MASQUERADE

# Mascarando Ping (icmp) Regra de ping pra a internet
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth1 -p icmp -j MASQUERADE

iptables -t nat -A POSTROUTING -p tcp -d 10.10.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -d 10.10.0.0/24 -j MASQUERADE

iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -t nat -A POSTROUTING -p icmp -j MASQUERADE

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -j DROP
iptables -A FORWARD -j ACCEPT

}

parar(){
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os par▒metros start ou stop"
esac

willianrosa
(usa Debian)

Enviado em 06/01/2017 - 18:59h

Segue o tracert



Rastreando a rota para www.google.com.br [189.112.10.44]
com no máximo 30 saltos:

1 8 ms 27 ms 1 ms LINKSYS04491 [192.168.1.1]
2 9 ms 9 ms 19 ms 10.10.0.1
3 19 ms 8 ms 11 ms 201-048-096-118.static.ctbc.com.br [201.48.96.11
8]
4 9 ms 19 ms 7 ms ge-0-0-3-308.edge-a.bhe515.algartelecom.com.br [201.16.237.26]
5 14 ms 11 ms 19 ms et-12-0-2-0.ptx-a.rjo511.algartelecom.com.br [170.84.34.469]
6 38 ms 29 ms 29 ms et-14-0-1-0.ptx-a.bhe515.algartelecom.com.br [170.84.34.169]
7 60 ms 33 ms 35 ms et-2-0-0-0.ptx-a.ula001.algartelecom.com.br [170.84.34.178]
8 34 ms 39 ms 36 ms et-10-0-0-0.ptx-a.fac001.algartelecom.com.br [170.84.34.126]
9 35 ms 30 ms 39 ms et-1-0-0-0.border-a.fac001.algartelecom.com.br [170.84.34.34]
10 37 ms 39 ms 39 ms algartelecom-fac001.cache.google.com [189.112.10.44]

Rastreamento concluído.

leosixers
(usa Debian)

Enviado em 10/01/2017 - 09:51h

@wilianrosa, bom dia.


Pelo tracert o roteamento indica estar ok.

As suas regras de firewall são bem confusas e algumas repetidas. Não entendi porque fazer tanto MASQUERADE e fazer por portas. Mas tudo bem. È melhor dar uma estudada no IPTABLES quando puder.

Tente adicionar a seguinte regra no seu script de firewall:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

E veja se consegue a navegação nos clientes da rede Wifi.

Abraços