Isolar faixas de redes, com mesmo gateway

abiazon
(usa Red Hat)

Enviado em 16/08/2022 - 16:01h

Obrigado pelas informações, vou providenciar uma nova placa de rede e informo os resultados.

abiazon
(usa Red Hat)

Enviado em 24/08/2022 - 13:29h

pessoal, resolvi insistir um pouco mais com o cenário que eu possuo e agora tenho a seguinte situação: 2 interfaces de rede

Interface 1 Internet
enp0s3 (link)

Interface 2 Rede Interna
enp0s4 192.168.0.0/24
enp0s4:1 192.168.11.0/24 (virtual)

--------Arquivo DHCP:
INTERFACES="enp0s4:1";
option domain-name "oel6.com";
#SERVIDOR DNS PARA AS ESTACOES
option domain-name-servers 192.168.11.1, 8.8.8.8;

#Tipo de atualizacao do DNS
ddns-update-style none;
db-time-format local;
authoritative;
log-facility local7;
default-lease-time 21600;
max-lease-time 7200;

subnet 192.168.11.0 netmask 255.255.255.0 {
range 192.168.11.2 192.168.11.51;
option subnet-mask 255.255.255.0;
option routers 192.168.11.1;
option time-offset -10800;
}

--------route
route
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
default 200.?.?.? 0.0.0.0 UG 0 0 0 enp0s3
link-local * 255.255.0.0 U 1002 0 0 enp0s3
link-local * 255.255.0.0 U 1003 0 0 enp0s4
192.168.0.0 * 255.255.255.0 U 0 0 0 enp0s4
192.168.0.0 * 255.255.0.0 U 0 0 0 enp0s4 --nao sei onde esta definida esta rota
192.168.11.0 * 255.255.255.0 U 0 0 0 enp0s4
200.?.?.? * 255.255.255.240 U 0 0 0 enp0s3

O problema é que as estações com ip Fixo pingam as estações com ip fornecidos por dhcp, porém as estações com ip fornecidos com dhcp nao pingam as estações com ip fixo. E pra piorar a situação as impressoras de rede com ip fixo são pingadas pelos equipamentos com ip fornecidos por dhcp.

Equipamentos com IP Fixo possuem a seguinte cofiguração
IP: 192.168.0.100
Mascara: 255.255.255.0
Gateway: 192.168.0.80 (ip do servidor placa enp0s4)
DNS: 8.8.8.8, 8.8.4.4

Não acrescentei nenhuma regra ao firewall nem rotas.

---firewall
#carregar modulos
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_string

INTERNET(){
iptables -t nat -A POSTROUTING -o enp0s3 -j MASQUERADE
}

LIMPAR(){
#limpar regras
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -X
iptables -t nat -X
iptables -t mangle -X

iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
}

start() {

#limpando regras
LIMPAR

echo "Iniciando Firewall"


###politica padrao
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#compartilhando a internet
INTERNET

#Politicas de segurança
echo "Implementação de politicas de segurança"

#impede falsear pacote
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

#Pedido de descobrimento de rotas de roteamento
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

#Risco de DoS
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#So inicia a conexao quando recebe a confirmacao, diminuindo a banda gasta
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#Protecao contra spoof de IP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

###INPUT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP

#libera loopback e interface interna
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp0s4 -j ACCEPT

#liberar ssh interno
iptables -A INPUT -p tcp -i enp0s4 --dport 22 -j ACCEPT

#libera Oracle
iptables -A INPUT -i enp0s4 -p tcp --dport 1521 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 1158 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 5500 -j ACCEPT

iptables -A INPUT -i enp0s4 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i enp0s4 -p udp --dport 53 -j ACCEPT

#Liberando o Samba
iptables -A INPUT -i enp0s4 -p tcp --dport 135 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 901 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -i enp0s4 -p udp --dport 631 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 389 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 528 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 151 -j ACCEPT

###forward
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT

#permite whatsapp
iptables -A FORWARD -p udp --dport 3478 -j ACCEPT # WhatsApp
iptables -A FORWARD -p tcp --dport 5222 -j ACCEPT # WhatsApp
iptables -A FORWARD -p tcp --dport 5223 -j ACCEPT # WhatsApp

#permite passagem de pacotes para TS
iptables -A FORWARD -i enp0s3 -p tcp --dport 3385 -j ACCEPT
iptables -A FORWARD -i enp0s3 -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -i enp0s3 -p tcp --dport 3382 -j ACCEPT
iptables -A FORWARD -i enp0s3 -p tcp --dport 3381 -j ACCEPT

#permite passagem de pacotes para o software hfs(htp File Server)
iptables -A FORWARD -i enp0s3 -p tcp --dport 280 -j ACCEPT

iptables -A FORWARD -i enp0s4 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp --dport 995 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp --dport 587 -j ACCEPT

### Liberando FTP porta 2121
iptables -A FORWARD -p tcp -i enp0s4 --dport 1024:65000 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

#FTP Externo
iptables -A FORWARD -p tcp -i enp0s4 -o enp0s3 -m multiport --dport 20,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -o enp0s4 -i enp0s3 -m multiport --dport 20,21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#RECEITA FEDERAL
iptables -A FORWARD -p tcp --dport 3456 -j ACCEPT
iptables -A FORWARD -p udp --dport 3456 -j ACCEPT

#CAT 4.0
iptables -A FORWARD -i enp0s4 -d 200.152.32.148 -p tcp --dport 5017 -j ACCEPT
iptables -A FORWARD -s 200.152.32.148 -i enp0s4 -p tcp --dport 5017 -j ACCEPT
iptables -A FORWARD -i enp0s4 -d 200.152.32.148 -p tcp --dport 5022 -j ACCEPT
iptables -A FORWARD -s 200.152.32.148 -i enp0s4 -p tcp --dport 5022 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp -m multiport --dport 5017,5022 -j ACCEPT

#condominio boleto on-line
iptables -A FORWARD -p tcp --dport 90 -j ACCEPT

# transmissao Conectividade Social
iptables -A FORWARD -p tcp --dport 2361 -j ACCEPT

# Transmissao RAIS
iptables -A FORWARD -p tcp --dport 3007 -j ACCEPT

###PREROUTING
#liberar sites para nao passar pelo squid
for i in $(cat /etc/init.d/sites_noproxy)
do
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d $i -p tcp --dport 80 -j ACCEPT
done

#proxy transparente
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

#testes http porta 80 e 443
iptables -A INPUT -i enp0s4 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i enp0s4 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i enp0s4 -p tcp --dport 443 -j ACCEPT

#redirecionamentos
#terminal service
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 3385 -j DNAT --to 192.168.0.101:3385
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 3389 -j DNAT --to 192.168.0.205:3389
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 3382 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 3381 -j DNAT --to 192.168.0.120:3381

iptables -t nat -A PREROUTING -p tcp --dport 2122 -j DNAT --to 192.168.0.202:21
iptables -t nat -A PREROUTING -p tcp --dport 20 -j DNAT --to 192.168.0.202:20

#software HFS
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 280 -j DNAT --to 192.168.0.101:280
iptables -t nat -A PREROUTING -p tcp --dport 280 -j DNAT --to 192.168.0.101:280
}

Carlos_Cunha
(usa Linux Mint)

Enviado em 24/08/2022 - 13:49h

Se estiverem com mascara diferentes não as vezes, esse as vezes

-> PC 1: Mascara /24 so vai acessar oque estiver dentro dessa mascara
-> PC 2: Mascara /23 vai acessar tudo que contempla essa mascara ou seja /23 e 24, pois /24 esta dentro do /23

Logo se seu cenários for esse, precisa deixar todas a mascara mais abrangente....


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

abiazon
(usa Red Hat)

Enviado em 24/08/2022 - 15:46h

As maquinas estão configuradas com a mesma mascara de rede 255.255.255.0, concordo que não deveriam se "enxergar", mas ai tem o lance de estarem na mesma placa de rede fisica. Porém as de ip fixo acessam as com dhcp. Um exemplo de uma maquina que pegou ip atraves do dhcp(anexo).
Este celular não pinga o ip fixo, mas o ip fixo pinga o celular.

ogro33
(usa Debian)

Enviado em 24/08/2022 - 16:31h

Se eu entendi corretamente, todas os hosts que estão com IP fixo estão com essa configuração?

Se for isso, recomendo que você releia com bastante atenção as instruções que te foram passadas até agora. Corrija o que for necessário e volte aqui postando como estão as coisas.

A partir dai a gente tem como te ajudar.

Antes das tuas configurações de rede estarem feitas corretamente, tu vais experimentar todos os tipos de "anomalias" na conectividade que tu possas imaginar...





Aqui, por exemplo, somente a rede 192.168.11.0/24 está com o DHCP ativo. E mesmo ela só esta distribuindo 50 IPs. Com isso estão ficando reservados 203 IPs para hosts que usarão IP fixo.
A rede 192.168.0.0/24 está sem o DHCP ativo.

Lembrando que sem uma separação física entre as redes (placas de redes diferentes) tuas redes vão continuar se enxergando, mesmo que tu coloques regras de firewall e tudo mais. Firewall atua em camada 3 e comunicação em LAN ocorre em camada 2. O máximo que tu vais conseguir é que as maquinas não respondam a um ping ou acessem um determinado serviço. Qualquer RAMSOMWARE ou usuário mal intencionado vai ter como garantir acesso a todos os hosts que compartilham a mesma interface física.

Se algo em algum dos posts não ficou claro, se alguma explicação te deixou em duvida, pergunte mais a respeito do ponto que não ficou claro. Assim fica mais facil da gente te ajudar!!!!

abiazon
(usa Red Hat)

Enviado em 24/08/2022 - 17:12h

Cada equipamento com ip fixo, possui um ip sequencial, não há IPs fixos repetidos, nem IPs com dhcp repetidos na rede. Apenas quis mostrar uma das configurações de IP Fixo, assim como mandei um print de uma das configurações de IP adquirido por dhcp.



Sim deixei como dhcp um range de 50 IPs, na faixa 192.168.11.0/24. Os demais irei liberar quando houver necessidade.
Detalhe: os IPs fixos estão em outra faixa de IP que é a 192.168.0.0/24.
Os IPs fixos não estão na mesma faixa de IPs dhcp. Então os 203 IPs restantes serão usados quando necessário e em outra faixa de IP diferente dos IPs fixos.

E o detalhe é que mesmo em faixas de IPs diferentes porém na sub-rede/24, os IPs 192.168.0.0/24 enxergam os IPs 192.168.11.0/24. Porém o contrario nao acontece.

Um ping da maquina 192.168.0.101 pinga a maquina 192.168.11.23... Porém uma maquina 192.168.11.23 não pinga a 192.168.0.101. É possível esse comportamento ser uma das anomalias a que vc se refere ?

ogro33
(usa Debian)

Enviado em 25/08/2022 - 00:52h

Beleza. Isso não tinha ficado claro no outro post. Achei melhor ter certeza para nao haver duvidas.

Uma coisa que notei no print que voce mandou que o DHCP da rede 192.168.11.0/24 está aparecendo como sendo 192.168.11.1. Tem que verificar quem está pegando esse IP(192.168.11.1) na rede. Essa pode ser a fonte dos problemas.



Nada de errado aqui. A unica coisa que eu faria diferente, mas é questao de escolha, é deixar logo todos os IPs do DHCP disponiveis, removendo da distribuição apenas aqueles que serão destinados aos hosts que terão IP fixo.

Um outro detalhe é: a nao ser que haja uma questão de segurança na qual seja necessario isolar os hosts com IP fixo do restante da rede, eu deixaria tudo na mesma rede.

Então, uma questao fundamental a ser respondida é o porque de voce querer separar os hosts em 2 redes distintas. A partir disso a melhor solução a ser adotada pode ser ligeiramente diferente.



Aqui é preciso verificar uma serie de coisas...

As maquinas que nao se "enxergam" estão com conectividade para as outras maquinas da mesma rede ok? E com a internet, com está?

Essas configurações do IPTABLES nao estao de alguma forma errada? Acho que a melhor forma de ver isso seria desativando temporariamente o IPTABLES e ver como isso afetaria a conectividade das maquinas.

Ahh... ja ia me esquecendo...

O ping não é um teste assertivo de não conectividade...

Assim:

Se voce pingar de uma maquina pra outra e ela responder, isso significa que COM CERTEZA existe conectividade entre elas.
Se voce pingar de uma maquina pra outra e nao houver resposta do ping, isso quer dizer que a maquina nao esta respondendo ao ping. Isso pode ser devido a varios fatores, entre eles um firewall, uma configuração de sistema operacional ou ate mesmo uma nao conectividade entre as maquinas. Ou seja, um ping nao respondido pode indicar ou nao a conectividade e é preciso fazer outras verificações pra saber o porque da não resposta.

ogro33
(usa Debian)

Enviado em 25/08/2022 - 12:09h

Estava relendo os posts e pensando no que poderia estar acontecendo ai...

Vamos tentar fazer uma coisa e ver como vai ficar a sua conectividade.
Se eu entendi direito a sua necessidade e a sua configuração atual isso que vou propor deve resolver o problema da rede 192.168.11.0/24 não enxergar a 192.168.0.0/24

Primeiro, para garantir que o IPTABLES não está atrapalhando, desative ele temporariamente. Quando conseguirmos fazer com que ambas as redes voltem a ter a conectividade normalizada a gente reativa e corrige o que for necessário.

Depois disso, configure a placa de rede do servidor para que fique com o IP 192.168.0.1 em uma das interfaces virtuais e na outra configure o IP 192.168.11.1

Dessa forma os hosts da rede 192.168.11.0 vão ter que ser configurados com o gateway 192.168.11.1 e os hosts da rede 192.168.0.0 terão que ser configurados com o gateway 192.168.0.1

Como na rede de final 0.0 você está usando DHCP, essa configuração tem que ser feita por lá.

Na rede final 11.0 você vai precisar fazer isso manualmente em cada um dos hosts, já que você quer que eles tenham IP fixo.

Teste se as máquinas se enxergam, tanto na mesma rede como em redes diferentes e se tudo estiver ok, você reativa o IPTABLES.

Se alterar a conectividade de uma forma que você não deseja, ai revisamos as regras do IPTABLES.

Testa lá e volta aqui pra contar pra gente como ficou.

abiazon
(usa Red Hat)

Enviado em 26/08/2022 - 17:42h

Vou tentar essa ideia... Posto os resultados

ogro33
(usa Debian)

Enviado em 26/08/2022 - 19:07h

Dependendo de como for sua configuração ai, talvez seja necessario ativar o IPTABLES somente com o nat ativado para poder ter acesso a internet.