Isolar máquinas (dúvida)

fbck
(usa Outra)

Enviado em 12/02/2016 - 11:52h

Pessoal,

Possuo uma rede no escritório com 17 máquinas partindo do ip: 192.168.1.4 até 192.168.1.20.
Da faixa de ip 192.168.1.4-10 estão os computadores principais. O restante são outros computadores
de trabalho. Gostaria que os computadores conectados na segunda faixa (11-20) não tivessem acesso
aos computadores conectados na faixa (4-10).

Obrigado!

lucasleon
(usa Debian)

Enviado em 12/02/2016 - 12:26h

Existem duas opções, caro amigo:

1 - Mudar a faixa de IP do segundo grupo de computadores, criando assim uma nova rede, e interligar as duas redes por meio de um roteador

2 - Instalar um servidor controlador de domínios e criar dois grupos de trabalho, um para cada grupo de trabalho

[OPINIÃO] - Acho a segunda opção mais vantajosa, já que você pode aproveitar este mesmo servidor para oferecer outros serviços para a sua rede, como DNS e DHCP
-----------------
Atenciosamente, Lucas Leonardi
Técnico em TI - Usuário de Debian, Linux Mint e Android
Me avalie em: www.vivaolinux.com.br/~lucasleon

fbck
(usa Outra)

Enviado em 12/02/2016 - 12:56h

Obrigado pela resposta,

Então, já tentei as máquinas em faixas diferentes (são 3 roteadores com dd-wrt). Porém a versão do
meu roteador não permitiu que no roteador principal listasse os usuários conectados (segundo me informaram
no forum do dd-wrt). Para ver os clientes conectados teria que entrar em cada roteador separadamente.
Na mesma rede possui WiFi. Estava pensando se existiria a possibilidade de via iptables
isolar o acesso da faixa 2 à faixa 1. Na faixa 1, possui um NAS Synology onde pelo próprio firewall dele consegui
bloquear e liberar os acessos. Gostaria de fazer o mesmo nos outros computadores via iptables.

Mais uma vez, obrigado!

andr3ribeiro
(usa Arch Linux)

Enviado em 12/02/2016 - 14:37h

Usa esquema de vlans

fbck
(usa Outra)

Enviado em 12/02/2016 - 15:15h

Então,

Como eu disse, até tentei deu tudo certo com vlans. Porém o chipset de meu modem (atheros) tem algumas limitações utilizando vlans. Por exemplo: para ver cada cliente conectado teria que entrar na interface de cada modem e não apenas no modem principal como utilizo hoje, por isso acabei voltando a configuração. Nos outros chipsets funciona bem. Como eu faria para por exemplo os clientes da 2 faixa não acessarem a web do modem? Todos os pcs tem ip fixo por mac, então queria que os secundários não "enxergassem" os principais. Só achei regra do iptables utlizando subnet, não consegui com iprange.

Obrigado!

Buckminster
(usa Debian)

Enviado em 12/02/2016 - 15:23h

Tente configurar no DHCP uma subnet com outra faixa e com netmask (máscara de rede) diferente da principal.

fbck
(usa Outra)

Enviado em 12/02/2016 - 15:35h

Essa regra:

Deny access to a specific IP address range with Logging:
iptables -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.13 -j logdrop

No caso bloquearia conexões para esta faixa de ip certo? Neste caso resolveria em partes, pois bloquearia
todos os acessos? Como liberaria o acesso para a faixa que desejo liberar?

Buckminster
(usa Debian)

Enviado em 12/02/2016 - 18:56h

iptables -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.13 -j ACCEPT

fbck
(usa Outra)

Enviado em 12/02/2016 - 19:59h

Me expressei mal ...

Após bloquear o acesso a toda faixa de ips que pretendo, como libero um determinado ip a acessar a faixa bloqueada para os demais usuários?

Obrigado.

Edit:

Tentei esse comando:

iptables -I FORWARD -m iprange --src-range 192.168.1.11-192.168.1.20 -m iprange --src-range 192.168.1.1-192.168.1.10 -j DROP

Está fazendo o que pretendo, porém parece que as vezes "falha", se tento 5 conexões ele deixa 1 passar :/

msoliver
(usa Debian)

Enviado em 12/02/2016 - 20:18h

_________________________________
Boa noite.
Se não me engano. . .
Vc faz isso utilizando os recursos da sub-rede/mascara de sub-rede

Att.:
Marcelo

Buckminster
(usa Debian)

Enviado em 13/02/2016 - 13:50h

iptables -I FORWARD -i ethx -m iprange --src-range 192.168.1.10-192.168.1.13 -j DROP <<< acrescente a placa da tua rede interna, em ethx tu coloca a tua placa, eth0, eth1, etc.

Qualquer coisa também acresecente o destino:

iptables -I FORWARD -i ethx -m iprange --dst-range 192.168.1.10-192.168.1.13 -j DROP

https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=2

fbck
(usa Outra)

Enviado em 18/02/2016 - 21:20h

Atualizando, tentei as regras, com um modem só funciona, mas com os 3 na mesma rede as vezes funciona as vezes não. Terei que partir para as vlans mesmo. Obrigado a todos pela ajuda!