Bloquear acesso entre dois computadores na mesma faixa

leojb
(usa Ubuntu)

Enviado em 24/11/2023 - 17:21h

Boa tarde galera!!!!

Se eu tiver dois computadores na minha rede, um com o IP 192.168.0.2 e o outro 192.168.0.3, eu consigo fazer alguma regra em um terceiro computador que será o gateway dessa rede, onde impedirá os dois de se comunicarem?

Tentei algo assim, mas sem sucesso...
iptables -A INPUT -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A OUTPUT -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A FORWARD -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP

lembrando que os dois computadores, mesmo sem gateway, conseguem se comunicar, adicionando o gateway eu conseguiria bloquear isso?

Sei q posso alterar a faixa de rede, mas a duvida seria se o Gateway conseguiria barrar isso!!!

Mauriciodez
(usa Debian)

Enviado em 24/11/2023 - 19:45h

Se vc configurar o firewall no computador que vai ser usado como gateway a regra do firewall irá bloquear o device ... mas acho que vc está confundindo gateway com firewall !!!
Note que por exermplo, um firewall configurado em um servidor conseguiria bloquear acesso mesmo o gateway sendo por exemplo um roteador !!!

------------------------------------------------------| Linux User #621728 |------------------------------------------------------



                                " Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"



------------------------------------------------------| Linux User #621728 |------------------------------------------------------ 

leojb
(usa Ubuntu)

Enviado em 27/11/2023 - 09:22h

Bom dia Mauriciodez...obrigado por responder!!!!

Na verdade foi soh um exemplo aqueles dois computadores, eu tenho 3 faixas de rede onde trabalho....eu sei q consigo bloquear uma faixa de comunicar com outra pelo iptables (Meu Firewall de rede e gateway de todas os computadores na rede), mas não estou conseguindo fazer o iptables impedir o acesso de um PC para outro na mesma faixa de rede!!!

Segue a imagem como exemplo....consigo impedir os PCs 1,2,3 de acessarem os outros, mas nao estou conseguindo fazer o PC1 não acessar o PC2 pelo Firewall de Rede!!!

Buckminster
(usa Debian)

Enviado em 27/11/2023 - 13:41h

Tente fazer na ida e na volta:

iptables -A INPUT -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A OUTPUT -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A FORWARD -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP

iptables -A INPUT -p all -s 192.168.0.3 -d 192.168.0.2 -j DROP
iptables -A OUTPUT -p all -s 192.168.0.3 -d 192.168.0.2 -j DROP
iptables -A FORWARD -p all -s 192.168.0.3 -d 192.168.0.2 -j DROP

O iptables lê as regras de cima para baixo, de acordo com cada tabela, ou seja, se uma regra bloquear tudo numa determinada tabela, as exceções (liberações) devem ser colocadas acima desta regra.

Exemplo:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j REJECT
iptables -A INPUT -p tcp --dport 443 -j DROP

A primeira regra libera, a segunda rejeita e a terceira regra, nega o acesso. A primeira regra é que terá o privilégio, então, o acesso na porta 443 será liberado para todos, mesmo rejeitando e negando o acesso nas regras subsequentes.

Caso queiramos negar o acesso à porta 443 somente para alguns IPs, por exemplo, devemos colocar essas regras ACIMA da primeira regra ou nem colocar regras conflitantes, óbvio.

Esse teu Iptables está numa máquina que também é o roteador e/ou o próprio Iptables faz o roteamento(NAT)?
Essa máquina com o Iptables está na "frente" da rede?
Se essa máquina com o Iptables não estiver controlando todo o tráfego de entrada e saída das redes NÃO ADIANTARÁ REGRA NENHUMA PARA CORTAR A COMUNICAÇÃO ENTRE DOIS PCs.

https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/
https://www.vivaolinux.com.br/artigo/Dominando-o-iptables-(parte-1)/?pagina=1


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

leojb
(usa Ubuntu)

Enviado em 27/11/2023 - 14:26h

Sim ele faz NAT...
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o enp1s0f6 -j MASQUERADE

Minha rede esta + ou - como a imagem!!

O SRV seria meu servidor com iptables e Web a entrada da internet!!!

leojb
(usa Ubuntu)

Enviado em 27/11/2023 - 14:32h

A navegação eu consigo Liberar / Bloquear / Limitar de boa...

Outras redes fora da faixa 192.168.0.0 tbm consigo Bloquear....

Mas, dessa maneira como esta no desenho não consigo bloquear acesso do PC1 para o PC2...

Por isso q lá primeira pergunta minha duvida esta assim.....
###lembrando que os dois computadores, mesmo sem gateway, conseguem se comunicar, adicionando o gateway eu conseguiria bloquear isso?###

Buckminster
(usa Debian)

Enviado em 27/11/2023 - 14:58h

Você está confundindo as coisas.
Gateway refere-se a diversas funcionalidades de um hardware/software.
Dentro de um gateway (no caso uma única máquina) pode ter um firewall, um roteador(NAT), um proxy, um DHCP, etc, mas um Gateway também pode estar dividido em várias máquinas físicas (servidores) que na organização lógica formam o que se chama Gateway (Portão do Caminho, Porta de Entrada, etc).

No caso da tua rede aí, o SRV tem também o DHCP que distribui os IPs ou é o switch quem faz isso?
Caso esse switch for gerenciável você pode bloquear a comunicação entre dois PCs no próprio switch.
E você tentou essas regras no Iptables?
iptables -A INPUT -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A OUTPUT -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A FORWARD -p all -s 192.168.0.2 -d 192.168.0.3 -j DROP

iptables -A INPUT -p all -s 192.168.0.3 -d 192.168.0.2 -j DROP
iptables -A OUTPUT -p all -s 192.168.0.3 -d 192.168.0.2 -j DROP
iptables -A FORWARD -p all -s 192.168.0.3 -d 192.168.0.2 -j DROP

Lembrando que a ordem das regras é importante, caso no teu script de Iptables tenha regras conflitantes com essas aí de cima, não funcionará.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

leojb
(usa Ubuntu)

Enviado em 27/11/2023 - 15:23h

Muito obrigado pela rapida resposta!!!

Sim o SRV ele tbm eh o servidor DHCP
Não, o switch não é gerenciavel, infelismente
Sim, eu tentei as regras do iptables de ida e volta mas continua acessando

Buckminster
(usa Debian)

Enviado em 27/11/2023 - 16:08h

Agora lendo melhor, entendi o teu caso.
É o seguinte: só passa pelo gateway (firewall) o tráfego que vai para outras redes. O tráfego dentro da mesma subrede não passa pelo firewall (gateway) geral de entrada e saída da internet, passa pelo switch.
Se há algum lugar onde vc poderia fazer esse controle, seria no switch, mas pra isso você precisaria de um switch gerenciável.
Ou você poderia, como você mesmo disse antes, mudar a máscara de rede das máquinas as quais você não quer que tenham acesso entre si.
Ou então, colocar as regras que enviei no firewall de cada máquina individualmente, mas não sei se isso seria producente.
Outra sugestão seria você colocar uma máquina (um PC com um Linux básico) fisicamente conectada no switch dessa subrede com um Iptables com as regras acima, mas também não sei como é fisicamente tua rede para saber se é producente ou não e se esse bloqueio entre os dois PCs vale a pena você colocar um firewall só para essa subrede.
Nos laboratórios de informática das empresas onde presto consultoria e assistência esse tipo de bloqueio entre dois PCs do mesmo laboratório (subrede) é feito no switch gerenciável, porém, no teu caso (switch não gerenciável) as soluções que eu vejo seria trocar a máscara de rede ou colocar um PC com firewall na subrede (pode ser um PC modesto com um Linux básico e o Iptables).


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

leojb
(usa Ubuntu)

Enviado em 27/11/2023 - 17:08h

Entendi.....eu tinha qse certeza q não dava, mas o chatGPT disse q era possivel, entao eu resolvi perguntar aqui!!!!

Mas, muito obrigado pela ajuda!!!!

Buckminster
(usa Debian)

Enviado em 27/11/2023 - 17:38h

Pois é, o ChatGPT deu essas duas regras, tenta aí, vai que...:

iptables -A FORWARD -s 192.168.0.2 -d 192.168.0.3 -j DROP
iptables -A FORWARD -s 192.168.0.3 -d 192.168.0.2 -j DROP

"Se você estiver usando o iptables em um sistema Linux para bloquear comunicação entre dois IPs na mesma sub-rede, você pode fazer isso usando regras específicas. Supondo que você queira bloquear a comunicação entre os IPs 192.168.1.2 e 192.168.1.3, você pode usar as seguintes regras:

bash

# Limpar todas as regras existentes
sudo iptables -F

# Bloquear a comunicação do IP 192.168.1.2 para o IP 192.168.1.3
sudo iptables -A FORWARD -s 192.168.1.2 -d 192.168.1.3 -j DROP

# Bloquear a comunicação do IP 192.168.1.3 para o IP 192.168.1.2
sudo iptables -A FORWARD -s 192.168.1.3 -d 192.168.1.2 -j DROP

Essas regras específicas do iptables estão bloqueando o tráfego na camada de rede (FORWARD) entre os dois IPs na mesma sub-rede. Certifique-se de ajustar os endereços IP conforme necessário para a sua situação."


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!