Bloquear IP válido na WAN

rogerio_gentil
(usa Ubuntu)

Enviado em 05/10/2009 - 10:40h

Olá meu caros!

Tenho uma faixa de 5 IPs válidos que posso usar diretamente ligados a internet. Porém, só utilizo 1 deles. Assim como este IP, a rede local (LAN) também é ligada diretamente em um switch comum.

Como posso bloquear os outros 4 IPs que não sejam utilizados?

Abs.
Agradeço todas as sugestões antecipadamente.

gesousa
(usa Ubuntu)

Enviado em 05/10/2009 - 14:00h

Primeiro se a rede wan -> switch -> lan , onde vc faz o controle, ou melhor onde está instalado o firewall/gateway da sua rede ?

Se não há gateway/firewall, então as regras de bloqueo deve ser feitas em todas as maquinas da sua lan ?

hendrigo
(usa Suse)

Enviado em 05/10/2009 - 14:07h

Bom pelo que entendi, o melhor seria vc criar um FW e colocar os 5 ips ou um só direto em uma das placas de rede deste firewall. Se vc deixar os 5 ips direto no switch que todo mundo tem acesso qualquer um poderá usar este ip, a não ser que vc deixe todos os 5 ativos.

rogerio_gentil
(usa Ubuntu)

Enviado em 05/10/2009 - 18:05h

gesousa
======

Melhorando: O link WAN é ligado em um switch via Cabo Ethernet. Neste mesmo switch estão ligados o roteador/firewall/gateway e o link LAN. Deste modo pode-se configurar um máquina da rede para utilizar estes IPs válidos.

Rede física:

WAN

|
V

Switch -> Roteador/Firewall/Gateway

|
V

LAN
----------------------------------------------------------------------------------------------------

hendrigo
======

Há um firewall/roteador/gateway na rede, mas ele é ligado no mesmo switch que está a LAN e a WAN.

Só não entendi o que você quis dizer com "colocar os 5 ips ou um só direto em uma das placas de rede deste firewall".


Vlw pelas respostas.

gesousa
(usa Ubuntu)

Enviado em 05/10/2009 - 23:11h

Bom pelo que entendi, estes 4 ips não utilizados não estão sendo redirecionados... portanto não precisam ser bloqueados ...

se quer bloquear ... pode simplesmente criar a regra abaixo:

iptables -A INPUT -i eth0 -s IP_Bloqueado -J DROP

iptables -A OUTPUT -o eth0 -d IP_Bloqueado -J DROP

iptables -A FORWARD -i eth0 -s IP_Bloqueado -J DROP

rogerio_gentil
(usa Ubuntu)

Enviado em 06/10/2009 - 09:34h

gesousa
=====

Acho que meu desenho não ficou legal... tanto o servidor, quanto as máquinas da LAN e os links WAN chegam no mesmo switch (são 2 ligados entre si). Por isso não consigo bloquear os IPs no servidor. Mas acho que eu consigo bloquear tirando o cascateamento entre eles, montando da seguinte forma:

LAN <---> switch <---> eth0 - Roteador/Firewall/Gateway - eth1 <---> switch <---> WAN

Alguma outra sugestão?
Vlw.

removido
(usa Nenhuma)

Enviado em 06/10/2009 - 09:54h

Um pouco confuso mas vamos lá.

A sua lan provavelmente está pegando IP via DHCP, o gateway dela será o roteador/firawall/gateway.
Neste roteador/.. você direciona todo o tráfego para sair pelo ip que vc está realmente utilizando. Pronto, assim os outros não serão utilizados. Para garantir que nada mais será usado com aqueles ips, você adiciona as regras mensionadas acima.

Me corrijam se estiver errado !