Isolar faixas de redes, com mesmo gateway

abiazon
(usa Red Hat)

Enviado em 10/08/2022 - 17:25h

Pessoal, no servidor Linux possuo um server dhcp que fornece a faixa de rede 192.168.11.1 a 192.168.11.100, mascara de rede 255.255.0.0 e gateway 192.168.0.80. Esta faixa de IP atende as conexoes wireless (visitantes).
O gateway 192.168.0.80 também fornece internet para a rede interna 192.168.0.1, mascara de rede 255.255.255.0.
O que eu preciso é isolar as redes. Não quero que a rede 192.168.0.1 seja visivel para a rede 192.168.11.1. Acredito que a solução seria mudar a mascara de rede, da rede, 192.168.11.1 para 255.255.255.0, porem ao fazer isso as maquinas da rede 192.168.11.1 nao conectam no gateway 192.168.0.80

Resumo:
192.168.0.80(gateway) mascara de rede 255.255.0.0 acesso a internet
192.168.11.1 a 192.168.11.100, mascara de rede 255.255.0.0 (wireless visitantes)
192.168.0.1 a 192.168.0.100, mascara de rede 255.255.255.0 (rede interna)

Carlos_Cunha
(usa Linux Mint)

Enviado em 10/08/2022 - 18:50h

Se tudo as duas rede internas estão na mesma interface é problema.
Unica forma e por Firewall, mas mesmo assim se estiver na mesma interface física nada impede que um usuário coloque a faixa de outra rede de forma manual e tenha acessoa rede em questão.
Algo bem simples no Firewall, aonde bloqueio comunicação da rede 192.168.11.0/24 para a rede 192.168.0.02/24 e depois libera a rede 192.168.11.0

iptables -A FORWARD -s 192.168.11.0/16 -d 192.168.0.0/24 -j DROP

iptables -I FORWARD -s 192.168.11.0/16 -d 192.168.0.80 -j ACCEPT



 

Recomendações Inicias:
Separa melhor essas redes
Segmente de forma correta via mascara
Tenha Firewall

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

removido
(usa Nenhuma)

Enviado em 11/08/2022 - 01:08h

Cara,

Deixa eu ver se consigo te explicar...

Basicamente, tu tens duas redes que estão se "sobrepondo". A mascara de rede define em qual octeto do IP termina os indicadores de rede e em que ponto começam os IPs propriamente ditos. No caso da mascara 255.255.0.0 ela indica que, no seu caso, 192.168.X.X é a parte do IP que indica a rede em si e os numeros representados por X são os endereços de rede. Mais especificamente, essa sua rede vai iniciar com o endereço 192.168.0.0 como sendo o endereço de rede e vai terminar com o endereço 192.168.255.255 como sendo o endereço de broadcast. Deixando assim os IPs que ficam no intervalo entre 192.168.0.1 até 192.168.255.254 como endereços validos na rede (usados por dispositivos).

Ao mesmo tempo vc tem uma outra rede com mascara 255.255.255.0 que vai te deixar com a parte do IP, no seu caso, que indica a rede como sendo 192.168.0.X e novamente a parte do IP representada como X sendo os endereços de rede. Mais especificamente, essa segunda rede vai iniciar com o endereço 192.168.0.0 como sendo o endereço de rede e 192.168.1.255 como sendo teu endereço de broadcast. Deixando assim os IPs entre 192.168.0.1 ate 192.168.0.254 como endereços validos de rede.

Perceba que há uma sobreposição ai... a rede com mascara 255.255.0.0 engloba a 255.255.255.0 e exatamente por isso uma consegue enxergar a outra. Mas essa configuração está "errada" e pode lhe causar alguns problemas, como por exemplo: nada impede que um dispositivo da rede maior (255.255.0.0) acabe "pegando" um ip da rede menor(255.255.255.0).

A primeira coisa a se fazer, pra nao deixar a explicação ainda mais longa e confusa, seria ajeitar esse problema.

Alguma dessas redes precisa ter mais de 254 dispositivos conectados ao mesmo tempo nela? Se sim, quantos seriam?

Você dificilmente vai precisar de uma rede tão grande (255.255.0.0) a não ser que trabalhe em uma empresa com alguns milhares de computadores conectados na mesma rede.

A primeira coisa a se fazer é corrigir essas mascaras e fazer um correto dimensionamento dessas redes.

Após isso, podes criar uma rota para que os dispositivos de uma rede alcancem o gateway da outra rede.

O mais correto seria que esse gateway ficasse em uma terceira rede totalmente separada das 2 outras e que ele seja acessado somente atraves de uma rota no teu roteador.

Dessa forma conseguiras um melhor tempo de resposta na comunicação dentro das mesmas redes, economizaras trafego na tua rede evitando broadcasts muito extensos alem de desnecessarios e ainda melhoraras a segurança da tua rede como um todo já que uma rede não estará visivel para a outra.

Espero que a explicação nao tenha ficado muito confusa.

Vou anexar algumas imagens pra ver se te ajuda a entender melhor o que eu quis dizer.

abiazon
(usa Red Hat)

Enviado em 11/08/2022 - 10:54h

Obrigado pelos retornos.
O intervalo de 256 ips me atende. Então eu gostaria de acertar os ips da rede, tendo o servidor linux como roteador entre as redes. porem deixando-as separadas atraves do ip e mascara de rede. Veja se este é caminho

------Servidor Linux--------
Placa de rede 1 (enp0s3) - Conectado cabo embratel (acesso internet)
--Arquivo ifcfg-enp0s3
NAME=enp0s3
DEVICE=enp0s3
IPADDR=20.20.0.80
NETMASK=255.255.255.240
GATEWAY=20.20.0.49
DNS1=8.8.8.8
DNS2=8.8.4.4
HWADDR=00:1E:0B:79:8B:F6
TYPE=Ethernet
ONBOOT=YES
BOOTPROTO=none
USERCTL=no
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
PEERROUTES=yes

Placa de rede 2 (enp0s4) - rede interna
--Arquivo ifcfg-enp0s4
NAME=enp0s4
DEVICE=enp0s4
IPADDR=192.168.0.80
NETMASK=255.255.255.0
NETWORK=192.168.0.0
GATEWAY = qual seria meu gateway ?
HWADDR=00:22:B0:60:E3:28
TYPE=Ethernet
ONBOOT=YES
BOOTPROTO=none

NAME=enp0s4:1
DEVICE=enp0s4:1
IPADDR=192.168.11.1
NETMASK=255.255.255.0
NETWORK=192.168.11.0
HWADDR=00:22:B0:60:E3:28
TYPE=Ethernet
ONBOOT=YES
BOOTPROTO=none

--Criando Rotas
route add -host ? gw 192.168.0.80 dev eth0
route add -net 192.168.0.0 netmask 255.255.255.0 gw ? dev eth0

route add -host ? gw 192.168.11.1 dev eth1
route add -net 192.168.11.0 netmask 255.255.255.0 gw ? dev eth1

No caso quem seria o gateway da rede ?

Carlos_Cunha
(usa Linux Mint)

Enviado em 11/08/2022 - 11:29h

Como disse antes, se ambas as redes estão na mesma interface física(e pelo que vi então), vc tem uma separação de redes não 100%, apenas logicamente, o que nesse caso e bem falha, , se a pessoa mudar ip da rede vai acessar pois ambas estão fisicamente na mesma local.
Agora se isso não é algo que vc queira se preocupar(deveria, já que quer garantir que não vão se acessar), cloque mascara disttintas em cada uma:

Exemplos:


Isso seria o mais fácil e atenderia o que vc quer da forma que vc quer,mesmo não sendo o mais indicado.

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

removido
(usa Nenhuma)

Enviado em 11/08/2022 - 12:07h

É isso que o Carlos falou.
A única coisa que eu tenho a acrescentar é que, a não ser que vc precise deixar alguns IPs reservados (para impressoras ou algum servidor na rede) os IPs distribuídos pelo DHCP podem começar no .2 e ir até o .254
Te deixando assim com 253 IPs para hosts disponíveis.

abiazon
(usa Red Hat)

Enviado em 11/08/2022 - 14:36h

Tenho apenas 1 placa de rede onde tenho as duas faixas de ip 192.168.0.0(enp0s4) e 192.168.11.0(enp0s4:1). Se eu acrescentar mais 1 placa de rede no servidor, ai as redes não irão se "enxergar" ?

As configuração da rede ficou da seguinte forma:
NAME=enp0s4
DEVICE=enp0s4
IPADDR=192.168.0.80
NETMASK=255.255.255.0
NETWORK=192.168.0.0
HWADDR=00:22:B0:60:E3:28
TYPE=Ethernet
ONBOOT=YES
BOOTPROTO=none

NAME=enp0s4:1
DEVICE=enp0s4:1
IPADDR=192.168.11.1
NETMASK=255.255.255.0
NETWORK=192.168.11.0
HWADDR=00:22:B0:60:E3:28
TYPE=Ethernet
ONBOOT=YES
BOOTPROTO=none

Em nenhuma das configrações eu coloquei gateway. Porem todos os ips, tanto fixo(192.168.0.2, 192.168.0.3) quanto pegos pelo dhcp (192.168.11.2, 192.168.11.3) navegam pela internet. E ainda se "enxergam"

A configuração do dhcp eu deixei assim:
db-time-format local;
authoritative;
log-facility local7;

subnet 192.168.11.0 netmask 255.255.255.0 {
# DEFAULT GATEWAY
option subnet-mask 255.255.255.0;
option routers 192.168.11.1;

# DOMÍNIO E SERVIDORES DNS
option domain-name-servers 8.8.8.8, 8.8.4.4;

# HORÁRIO (BR)
option time-offset -10800;

# RANGE DE IP (192.168.11.2 ao 192.168.11.51)
range 192.168.11.2 192.168.11.51;
default-lease-time 21600;
max-lease-time 7200;
}
O ping entre eles funciona. Não sei o que pode estar errado

removido
(usa Nenhuma)

Enviado em 11/08/2022 - 17:36h

A comunicação em redes locais é feita em camada 2 e não camada 3. Isso significa, na prática, que as máquinas se "enxergam" e se comunicam via endereço MAC.
Portanto, se ambas as redes usarem a mesma interface física, mesmo que em faixas de IP diferentes, elas continuarão se enxergando.

Eu não tinha me atentado ao fato de estares usando a mesma placa de rede para ambas as redes. Nesse caso, a separação por faixas de IP não vai resolver teu problema.

abiazon
(usa Red Hat)

Enviado em 12/08/2022 - 15:00h

Vou adicionar uma nova placa de rede ao servidor, isolando as redes, dessa maneira gostaria de saber como faço para que alguns ips sejam vistos de uma faixa para a outra. Seria através da seguinte regra do firewall ?

iptables -I FORWARD -s 192.168.11.0/24 -d 192.168.0.80 -j ACCEPT (no caso seria a impressora da rede) ?

Carlos_Cunha
(usa Linux Mint)

Enviado em 12/08/2022 - 15:13h

Primeira coisa que passamos vc esta fazendo que e separar fisicamente as redes.
Segundo, se vc não tiver firewall configurado no Servidor as redes vão poder se enxergar desde que tenha GW.
Se vc quer que eles não se enxerguem, e como disse no outro comentário, precisa de firewall e dei duas regras de exemplos.
Depois que vc tiver um Firewall rodando e ativo ai vc poderá definir o que precisa liberar entre as redes.

Sim, a sua regra estaria correta, sendo "-s" origem e "-d" destino .

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

removido
(usa Nenhuma)

Enviado em 12/08/2022 - 16:24h

Uma dica extra.

Ao trabalhar com um firewall vc pode partir de duas premissas:

1) Liberar tudo e bloquear apenas o que não quer que aconteça.

2) Bloquear tudo e liberar apenas o que quer que aconteça.

Como decidir qual das premissas usar?

Aquela que te exijam menos regras no firewall pra atingir o objetivo necessário e que atenda completamente todos os requisitos de segurança que você necessita implantar.
Dessa forma vc diminui a quantidade de processamento necessário feito pelo firewall e consequentemente evita um gargalo na rede que pode ocasionar um delay na comunicação entre os hosts da sua rede.
Lembrando que todo dispositivo centralizador é potencialmente um gargalo pra sua rede, uma vez que praticamente todo o tráfego de rede terá que passar e ser processado por ele.

removido
(usa Nenhuma)

Enviado em 12/08/2022 - 16:38h

Eu tava relendo as informações que você tinha dito anteriormente e percebi que você tem alguns dispositivos que tem IP fixo nessa rede.

Para deixar a coisa mais organizada, veja quantos dispositivos tem IP fixo na sua rede e depois disso tente fazer uma projeção de crescimento desses dispositivos. Pra no caso de vc precisar, por exemplo, adicionar mais uma impressora que vai ter IP fixo futuramente.

De posse desse número, reserve essa quantidade de IPs deixando eles fora do escopo de distribuição do DHCP.

Por exemplo: sua rede tem atualmente 10 dispositivos que utilizam IP fixo e vc acredita que mais 15 dispositivos podem eventualmente ser necessários. Nesse caso, retire da distribuição do DHCP ou os 25 primeiros IPs ou os 25 últimos e deixe o resto para ser distribuído.
Essa prática de usar os primeiros ou os últimos facilita muito a organização e também uma eventual expansão caso necessário.

Por padrão o gateway costuma ser setado para o primeiro ou o último IP disponível na faixa da rede e os outros dispositivos com IP fixo ficam imediatamente abaixo ou acima do gateway.

Um exemplo deixando os 10 primeiros IPs reservados seria:

192.168.1.1 gateway.

192.168.1.12 a 192.168.1.254 para distribuição do DHCP (243 hosts disponíveis para o DHCP).

192.168.1.2 a 192.168.1.11 como os 10 IPs reservados para os dispositivos de IP fixo.

Isso considerando que a sua máscara de rede seja /24 (255.255.255.0).

 

O objetivo dessa organização é evitar que uma máquina que seja ligada antes de um dispositivo que tenha um IP fixo na rede acaba "pegando" esse IP, uma vez que ele está sendo ofertado pelo DHCP da forma que você está configurando atualmente.
Essa organização que sugeri impede que isso aconteça.