Usar NAT ou UPnP ou Abrir Portas? Clonar MAC Físico entre Aparelhos? [RESOLVIDO]

Buckminster escreveu:

Não é recomendado habilitar UPnP e o redirecionamento de portas ao mesmo tempo, pode dar conflito.
Como é num roteador residencial, geralmente é melhor abrir manualmente as portas (redirecionamento) por questão de controle e segurança. Principalmente se for para jogos.
Caso fosse num servidor de redes daí você faria isso (controle de portas) no firewall (Iptables ou outro), no Squid, etc.
NAT (Network Address Translation - Tradução de Endereços de Rede) tu sabe que é o popular "roteamento".
UPnP (Universal Plug and Play) é o multicast ou encaminhamento automático de portas. A única vantagem do UPnP sobre o redirecionamento manual é a configuração em si, pois é só jogar o número da porta e o UPnP faz a configuração de segurança. Claro que isso muda de acordo com a marca e o modelo do roteador.

Buckminster escreveu:

No redirecionamento manual você mesmo tem que configurar os parâmetros de entrada e saída.
Entre o NAT e o UPnP, vamos dizer assim, o NAT engloba o UPnP, porém, o tipo de NAT é diretamente afetado pelas configurações de UPnP e redirecionamento de portas, ou seja, curto e grosso: o NAT faz o roteamento geral, o UPnP e o redirecionamento trabalham somente com as portas.
Eu, particularmente, nunca usei UPnP, prefiro redirecionar manualmente, pois nunca temos tantas portas assim para abrir que não possa ser feito manualmente.

Buckminster escreveu:

"Nesse caso, a porta aberta fica aberta só para a máquina em questão que está com o IP interno atrelado a essa porta, ou fica para todas as máquinas na rede?"
A porta fica aberta de acordo com as configurações feitas, caso tu abrir uma porta no roteador para um determinado IP ela ficará aberta somente para esse IP. Lembrando que sempre tem as configurações de entrada e de saída da porta.

Buckminster escreveu:

Com relação ao MAC:
É possível sim, em qualquer sistema operacional.
No Linux:
ifconfig eth0 down
ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX
ifconfig eth0 up
Em eth0 coloque o nome da interface a ter o MAC mudado. Em XX tu coloca o MAC que tu quer.
Caso queira processo manual você pode editar o arquivo: /etc/sysconfig/network <<< muda um pouco de acordo com a distribuição Linux.
nano /etc/sysconfig/network
ou pode ir diretamente no arquivo que gerencia a interface
/etc/sysconfig/network-scripts/ifcfg-eth0 <<< coloque o nome da interface e daí dentro do arquivo tu coloca o MAC que tu quer.

Ou use esta ferramenta.
https://www.edivaldobrito.com.br/instale-a-ferramenta-macchanger-para-mudar-endereco-mac-no-linux/

Lembrando que o MAC é o endereço físico, ou seja, é uma espécie de número de série da placa, pois o número é único e vem definido pela fábrica. Tal número vem gravado no chip (ROM) com as informações da placa e pode ser falseado via software com os comandos ali.
Caso tu esteja querendo mudar o MAC de alguma interface do roteador daí tu deverá ver nas configurações do próprio roteador, se for possível. A maioria dos roteadores atuais não permitem mais o acesso via prompt, mas não vejo necessidade de mudar o MAC de alguma interface do roteador. A mudança de MAC é interessante para placas de rede de PC, servidores, notebooks, etc e somente em alguns casos específicos.

Buckminster escreveu:

Bom, são quatro "quotes", seguem abaixo.

Geralmente o UPnP abre e fecha a porta depois que a máquina sai (depende das configurações). O problema é que em uma rede tem várias máquinas, então pode acontecer que determinada porta fique sempre em uso por máquinas diferentes e isso pode dar um problema de segurança caso você não atrelar a máquina pelo IP e/ou pelo MAC. O problema de atrelar pelo MAC ou pelo IP com o UPnP é que alguém pode mudar o MAC da placa do PC ou mudar o IP e aí dá cáca.
Sim, o lance é abrir manualmente porque mesmo que tu tenha uma rede grande, ainda assim tu dividirá ela internamente em sub-redes colocando switchies, outros servidores, etc.
No teu caso é no roteador residencial, então o melhor é abrir manualmente, pois assim tu tem controle das regras.

Buckminster escreveu:

Sim, "regras de abertura de portas" como tu fala é o que se chama tecnicamente de "redirecionamento de portas".
Geralmente as regras em si não variam muito de fabricante para fabricante. O que varia é a interface gráfica de cada roteador de acordo com a marca e o modelo, mas, basicamente, todo roteador, não importando a marca e o modelo, tem DHCP, redirecionamento, NAT, etc.

Buckminster escreveu:

Tu atrela uma determinada máquina da rede pelo IP dela, pode atrelar também pelo MAC.
Para essa máquina "teste", abra a porta que tu quer e atrele pelo IP dela e/ou pelo MAC, pode atrelar pelos dois já que é somente interno para você mesmo, isso se o roteador permitir.
A máquina "teste" configurada manualmente, ao deslogar da rede, a porta no roteador fica fechada para os outros e aberta somente para essa máquina. Quando a máquina logar de novo o roteador "sabe" pelas configurações e abre a porta somente para essa máquina.
Por isso falei antes, tem que verificar no roteador as configurações de entrada e saída da porta. Geralmente na interface gráfica do roteador estão bem explícitos os campos de entrada e saída.

Buckminster escreveu:

Bom, alterar o MAC de uma placa de rede de um PC ou notebook é simples, como já visto. Mas alterar o MAC do roteador somente se tiver essa configuração no roteador, o que geralmente não tem.
Quanto à ligação na "placa mãe" do roteador, na placa de circuito eletrônico dele, aí já envolve conhecimentos de eletrônica, solda, etc.
Algumas vezes, já faz tempo isso, mudei alguns componentes de placas-mãe, mas de placas-mãe de PC, de roteador nunca fiz. E mudei para testes, algumas placas-mãe não deram certo, estraguei elas, mas faz parte. Outras tive sucesso.
Pois é, vá anotando, isso é importante. Eu não anotei nada. Caso hoje fosse mexer em componentes de placas-mãe teria que fazer tudo de "cabeça", começar do zero de novo ou baseado na memória.
Mas nada que pesquisas na internet não resolvam.
Não desista.

Buckminster escreveu:

"É bem chatinho de fazer essa ligação nas placas.
Sei que todas as placas, desde um mp3 fuleiro a uma placa lógica a uma placa mãe, tem uma sequência de ligação de cabos, que permite acesso ao firmware da mesma com todas as informações, detalhe, é possível realizar alterações nesse caso. É possível salvar esse firmware caso de problemas e precise reinstalar, por exemplo. A ideia é alterar o MAC físico direto na própria placa e ai e testar e ver se uma instalação de firmware altera o mac, e etc...
Mas...
Eu tenho que rever tudo de novo e vai demorar um pouco. Só lembro que é possível, mas dá trabalho.
Tanto que irei comprar uma estação de solda e retrabalho, pra não fritar nada. Minha "sucata" aqui é limitada, então, não posso me dar ao luxo de fritar tudo não hahaha.
Já tentei usar ferro de solda comum, aqueles que parecem uma caneta, e fritei duas placas e destruí os circuitos em volta."

Já pensou em usar uma estação de solda e retrabalho?

Buckminster escreveu:

"Resumidamente, o port foward fica aberto pra geral, posso direcionar o ip interno da máquina para a porta desejada, que mesmo após sair, ela fica aberta."

Não necessariamente. Basta você configurar o roteador para fechar a porta após a máquina sair.

Buckminster escreveu:

"Já o port triggering, a porta amarrada ao ip interno, fica aberta enquanto a máquina fica logada na rede e durante o uso da porta. Parou de usar a porta ou a máquina com o ip amarrada a essa porta saiu da rede, a porta é fechada."

Depende. Tanto um como o outro dependem das configurações feitas.
Não dá para dizer qual é melhor. Vai do uso que se pretende, vai das configurações, etc.

Buckminster escreveu:

Para tu fechar as portas com maior segurança como tu quer tem que ser um conjunto.
Para fechar a máquina teste seria melhor então uma VPN junto com as configurações de portas do roteador e um bom firewall (filtro de pacotes).
Dependendo das tuas condições financeiras aconselho um firewall de hardware junto com uma máquina com Iptables, caso tu for paranóico com esse negócio de segurança na internet.

Depende também da qualidade da marca, do modelo do modem/roteador, depende das configurações de cada marca e modelo, etc.
Para fechar a máquina teste como tu quer só fazendo uma VPN com acesso entre dois pontos somente.
Segurança total na internet (www) é meio que uma ilusão.

Buckminster escreveu:

Aqui tenho um Cisco com Aplicações & jogos > Reencaminhamento de porta única:
daí tem o nome da aplicação para configurar (FTP, DNS, HTTP, etc), configuração de porta externa e porta interna (o número da porta), protocolos TCP ou UDP ou ambos e fixa-se pelo IP interno (192.168.x.x).
Pode-se criar uma DMZ também.

https://www.linksys.com/br/support-article?articleNum=132863
https://www.linksys.com/br/support-article/?articleNum=136656
https://www.thc.org/
https://packetstormsecurity.com/wardialers/page2/

No manual não tem nada desse tipo de configuração no port forward, pra fechar a porta depois de usar. Vou até pentelhar o representante da marca e ver, as acho que eles deixam pra fechar a porta depois de usar, no port triggering mesmo.
Isso no firmware padrão deles. Se colocar um OpenWRT acho que a coisa muda, mas por hora, não irei alterar nada, ainda hehehe.

O problema nas redes hoje em dia, são os celulares...
Catei um celular com android e fiquei fuçando e nas regras do firewall dele. Resumidamente estava assim (vou colocar o que lembro de cabeça, pois faz um tempo já): Forward, Input, Output e estava tudo permitido.
O usuário não te controle nenhum sobre as configurações de segurança desses aparelhos, vem tudo em um lote fechado e jogado no colo do cliente/usuário.

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente. 

Buckminster escreveu:



Os modens/roteadores estão vindo com poucas opções de configuração, estão saindo assim de fábrica.
Os da Cisco ainda são uma boa opção nesse sentido, mas tem a desvantagem de terem um preço elevado, mas tem alguns aparelhos da Cisco que não são tão caros.
Esse Cisco que eu tenho é o único aqui em casa e já tem uns 6 anos e ainda é atual. No fim acaba sendo uma economia.

Eu deveria ter pegado um cisco ou mikrotik mesmo...
Eu entrei em contato com o fabricante do roteador que eu comprei, sobre o fato do port triggering não ter a opção de amarrar o ip da máquina e permitir que só uma máquina tenha acesso a essa porta. A resposta que foi me passada, que eu tinha que abrir a porta no roteador deles e fazer DMZ pelo aparelho da operadora. Ou seja, querem que eu tenha duplo NAT na rede (> < ).
O roteador que eu comprei, não tem a opção de mexer no NAT ao ser jogado como AP, só como modo router. E o mesmo com o aparelho da operadora, sendo que eu tenho umas 3 ONTs aqui ainda pra testar que só pegam e convertem o sinal e não fazem mais nada do que isso. O aparelho da operadora está na mesma, só pega o sinal e pronto.
O meu problema são os celulares, que não tenho controle sobre as configurações deles, eles simplesmente permitem muito pouca coisa.
E a porta fica lá e se algum app fica caçando portas na faixa da porta que eu preciso usar e ele acha ela, ai dependendo que o app faz (já que são muito obscuros) pode mandar tudo pro brejo, pois nem o isolamento deles vá ajudar...
Já pelo port forward, a porta fica eternamente aberta... O mesmo problema do port triggering terei aqui com outros aparelhos nessa rede...

Tem ideia de uma faixa de preço e modelos de roteadores da cisco pra uso doméstico, que não sejam tão capados como d-links, tp-link & cia? Eles tem muita coisa, deixa a gente perdido rsrs. Tô quase tacando um OpenWRT nesse aqui viu... Vou até dar uma olhada nas opções que poderei ter com esse firmware essa semana.

Tinha pensando em uma coisa... Desabilitar o wifi desse roteador, e comprar um AP e jogar o cabo do roteador pro AP e o AP é quem vai distribuir o wifi. Em teoria, eu tiraria o wifi de um aparelho e o concentraria em outro e teria um melhor controle sobre isso, separando fisicamente dispositivos "burros" da rede concentradora. Ai o resto vai via cabo pelo switcher. Não é elegante, mas é uma possibilidade, não?



Isso é verdade. O bloqueio de certos sites para wi-fi ainda é uma dor de cabeça.
Geralmente em redes corporativas coloca-se servidores (Web com Apache, DHCP, Firewall, Hotspot, DMZ, etc) para concentrar o controle, ou um data center interno, uma dessas "soluções" que já vem prontas desde o hardware até o software.
Não sou muito fã dessas "soluções" prontas porque o cara fica encalacrado por um bom tempo com a empresa fornecedora, mas para quem não quer se incomodar com isso, quem não tem um setor de TI na empresa daí é uma opção válida.

Eu estou a umas 3 semanas pensando em como melhorar a segurança da rede aqui por causa dos celulares e demais dispositivos "burros", ou seja, que não permitem a configuração de firewall, regras e etc... Como os celulares. Pensei em marretadas, mas não é uma opção rsrsrsrs.
Não gosto de usar o DMZ, pelo que li, o protocolo que ele usa, assim como o UnPn é fraco e cheio de falhas...Bem, pelo que eu li...

Falando em protocolos fracos e aparelhos "burros", olha isso:

https://tecnoblog.net/483347/cloudflare-diz-que-brasil-foi-base-para-maior-ataque-ddos-da-historia/

De acordo com a matéria, vários roteadores que são configurados com segurança de bichinho virtual e sem atualização, fizeram parte desse ataque. Conheço várias pessoas que tem roteadores assim. Não adianta falar, já desisti rsrs. Mas é impressionante o poder de fogo que teve esse ataque, mais de 17 milhões de tentativas por segundo para conexões... Vai saber se esses rotadores não estão em modo latente, esperando...
Por isso vou ter que acabar separando fisicamente o wifi aqui pelo jeito...
Que saudades dos roteadores sem wifi... Só achei com wifi...
Antes tinham tantas opções, eu me assustei quando eu vi as opções desses aparelhos novos...




Escolha um switch gerenciável. O preço também depende do tamanho dele, quanto mais portas tiver mais caro é em relação a um switch com 8 portas por exemplo.
Os switchies gerenciáveis geralmente tem de 24 portas para cima, mas se encontra switch gerenciável com 4 ou 8 portas.
Os da marca TP-link são bons.
Terá que dar uma pesquisada.
Eu não saberia te indicar um modelo em específico atualmente.
A Dell também fabrica bons switch, mas é claro que em cada marca tem os modelos bons e os modelos ruins.
A única empresa que eu sei que ainda dá para confiar na qualidade dos produtos de rede (modem, switch, etc) é a Cisco.
A Mikrotik também faz switch, mas não saberia te dizer se são bons.
Os switchies da marca Juniper também são bons, mas também são caros.


________________________________________________
Sanou tua dúvida, resolveu teu problema?
Então marque como Resolvido e escolha a Melhor Resposta.
Ou então execute:

# chown -R root:root /

# mount -o remount,rw /

# reboot



e veja o sistema derreter na sua frente.