[FUG-BR] PPPOE: um cliente enxergando o outro
Prezados, Instalei um servidor PPPOE há algum tempo, e tudo tem funcionando perfeitamente (autenticacao no radius, criacao das regras de ipfw de liberacao e de limitacao de banda e etc). Só que um cliente enxerga o outro (ambiente de rede), e por conseguinte, tem acesso as pastas e impressoras de alguns desavisados. Como contornar isso? Existe algo que se faça no gateway para resolver ou a solucao seria partir pra wipfw nos clientes? Segue minhas regras de firewall iniciais, as de cada cliente (liberacao e limitacao, sao incluidas dinamicamente) -=-=-=-- #!/bin/sh ipfw -f flush ifconfig sk0 $IP_VALIDO netmask $MASK route add default $GATEWAY_REAL #placa rl0, do pppoe, sem ip. # liberacao de caixa economica ! /sbin/ipfw add 5 skipto 500 ip from any to 200.201.174.0/24 /sbin/ipfw add 5 skipto 500 ip from any to 200.201.166.0/24 /sbin/ipfw add 5 skipto 500 ip from any to 200.201.173.0/24 # Bloqueio portas virus conhecidos ipfw add 10 drop tcp from any to any 135-139 ipfw add 10 drop tcp from any to any 445,5554,9996,593,1080 ipfw add 10 drop tcp from any to any 1900,3127,,5249,6777,8866 ipfw add 20 drop tcp from any 135-139 to any ipfw add 20 drop tcp from any 445,5249,5554,9996,593 to any ipfw add 20 drop tcp from any 1080,1900,3127,,6777,8866 to any ipfw add 30 drop udp from any to any 135-139 ipfw add 30 drop udp from any to any 69,445,1433,1434,1900,5249,8998 ipfw add 40 drop udp from any 69,445,1433,1434,1900,5249,8998 to any ipfw add 40 drop udp from any 135-139 to any # Interface de Loopback ipfw add 100 allow ip from any to any via lo0 ipfw add 110 drop ip from any to 127.0.0.0/8 ipfw add 120 drop ip from 127.0.0/8 to any # Permitir tráfego entre clientes e Gateway ipfw add 200 skipto 500 ip from any to me ipfw add 210 skipto 500 ip from me to any # negar pacotes entre os clientes da rede ipfw add 300 drop ip from 192.168.11.0/24 to 192.168.11.0/24 #ip dos clientes dado pelo ppp # Fazer NAT /sbin/ipfw add 500 divert natd all from any to $IP_REAL/32 via sk0 in /sbin/ipfw add 500 divert natd all from 192.168.11.0/24 to any via sk0 out #roda o natd natd -m -s -n sk0 ifconfig rl0 up =-=-=-=- Alguma solucao ? Meu kernel (o firewall, na realidade) está default_to_accept. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPPOE: um cliente enxergando o outro
Rafael, Isso é um problema que já enfrento a algum tempo. Acho que pelo GW não tem como passar nada para os clientes. Localmente tem com resolver desabilitando os compartilhamos para a interface que está ligada a rede externa. Rafael B Albuquerque wrote: Prezados, Instalei um servidor PPPOE há algum tempo, e tudo tem funcionando perfeitamente (autenticacao no radius, criacao das regras de ipfw de liberacao e de limitacao de banda e etc). Só que um cliente enxerga o outro (ambiente de rede), e por conseguinte, tem acesso as pastas e impressoras de alguns desavisados. Como contornar isso? Existe algo que se faça no gateway para resolver ou a solucao seria partir pra wipfw nos clientes? Segue minhas regras de firewall iniciais, as de cada cliente (liberacao e limitacao, sao incluidas dinamicamente) -=-=-=-- #!/bin/sh ipfw -f flush ifconfig sk0 $IP_VALIDO netmask $MASK route add default $GATEWAY_REAL #placa rl0, do pppoe, sem ip. # liberacao de caixa economica ! /sbin/ipfw add 5 skipto 500 ip from any to 200.201.174.0/24 /sbin/ipfw add 5 skipto 500 ip from any to 200.201.166.0/24 /sbin/ipfw add 5 skipto 500 ip from any to 200.201.173.0/24 # Bloqueio portas virus conhecidos ipfw add 10 drop tcp from any to any 135-139 ipfw add 10 drop tcp from any to any 445,5554,9996,593,1080 ipfw add 10 drop tcp from any to any 1900,3127,,5249,6777,8866 ipfw add 20 drop tcp from any 135-139 to any ipfw add 20 drop tcp from any 445,5249,5554,9996,593 to any ipfw add 20 drop tcp from any 1080,1900,3127,,6777,8866 to any ipfw add 30 drop udp from any to any 135-139 ipfw add 30 drop udp from any to any 69,445,1433,1434,1900,5249,8998 ipfw add 40 drop udp from any 69,445,1433,1434,1900,5249,8998 to any ipfw add 40 drop udp from any 135-139 to any # Interface de Loopback ipfw add 100 allow ip from any to any via lo0 ipfw add 110 drop ip from any to 127.0.0.0/8 ipfw add 120 drop ip from 127.0.0/8 to any # Permitir tráfego entre clientes e Gateway ipfw add 200 skipto 500 ip from any to me ipfw add 210 skipto 500 ip from me to any # negar pacotes entre os clientes da rede ipfw add 300 drop ip from 192.168.11.0/24 to 192.168.11.0/24 #ip dos clientes dado pelo ppp # Fazer NAT /sbin/ipfw add 500 divert natd all from any to $IP_REAL/32 via sk0 in /sbin/ipfw add 500 divert natd all from 192.168.11.0/24 to any via sk0 out #roda o natd natd -m -s -n sk0 ifconfig rl0 up =-=-=-=- Alguma solucao ? Meu kernel (o firewall, na realidade) está default_to_accept. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPPOE: um cliente enxergando o outro
Olá Jonatas, Tambem tinha esse palpite. Mas, se o PPPOE cria um tunel entre o cliente e o servidor entao deveria ser possível, pelo gateway, filtrar isso. Vamos esperar que alguem que já tenha implementado isso, ou tenha alguma opiniao se pronuncie. De qualquer forma, enquanto nao tenho respostas vou partir pra tentar usar o wipfw nas estações. Qualquer avanço manda msg! Rafael - Original Message - From: Jonatas M. Victor [EMAIL PROTECTED] Rafael, Isso é um problema que já enfrento a algum tempo. Acho que pelo GW não tem como passar nada para os clientes. Localmente tem com resolver desabilitando os compartilhamos para a interface que está ligada a rede externa. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br