Como hacer que los usuarios de mi red no se vean entre ellos??

Imagen de damage

Forums: 

Hola amigos, una consulta algo especial, tengo la necesidad imperiosa de impedir que los usuarios de la mi red WLAN no puedan "verse" entre si.
Tengo un server proxy-firewall (squid-iptables, etc.), el cual brinda acceso a internet a un numero n de usuarios (con windows) y no quiero que ellos se vean por cuestiones de privacidad, seguridad, etc.

He tratado adicionando varias cadenas para denegar el FORWARD de la red interna haci y desde la misma red, pero no me ha dado resultado ( Raza no dio resultado el tip que me pasaste :( ).

Lo que he hecho es lo siguiente:
$IPTABLES -I FORWARD -s ip.de.mi.redinterna/xx -d ip.de.mi.redinterna/xx -j DROP
otras cosas que he probado es:
$IPTABLES -A FORWARD -i eth1 -d ip.de.mi.redinterna/xx -p udp --dport 135:139 -j DROP
$IPTABLES -A FORWARD -i eth1 -s ip.de.mi.redinterna/xx -p udp --sport 135:139 -j DROP

Bueno asi como las anteriores he probado de mil formas con forward, con input y output, tanto para los puertos mencionado como tambien para el 445, no he tenido resultado.

Si me dan la mano mil gracias.

Eso lo solucionas con vlans

Imagen de deathUser

No podrás bloquear el acceso con reglas en tu firewall ya que ips del mismo segmento de red no necesitan ser ruteadas y no pasan por el firewall (si no pon un snifer para que lo verifiques) lo que si deben pasar es por el AP de tu WLAN, así que si tu AP soporta lo que tu quieres hacer es ahí donde tienes que hacerlo, si fuera una red WIRED, deberías hacerlo a nivel de switch si este soportara vlans.

Modeo OSI nuevamente ....

bye
:)

Tiene razon DeathUser, lo

Imagen de RazaMetaL

Tiene razon DeathUser, lo que puedes hacer es entregar a tus usuarios subredes /30 para obligarlos a utlizar gateway .... :?

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Si pense en realizarlo a

Imagen de damage

Si pense en realizarlo a nivel de AP Deathuser, ya que los que uso tiene un kernel linux y usan iptables, iproute, etc. :cool:, pero igual queria salir de dudas si se lo podia hacer a nivel del server, ahora, dar subredes /30, no lo tengo muy claro :?, si me ilustras algo más Raza te lo agradecería :).

Mil gracias una vez más a todos.

Keep The Fire Burning.....
Stryper 1988

-------------------------

Imagen de RazaMetaL

Creas tantas interfaces virtuales para tantos usuarios tengas y luego impides que estas redes se vean entre sí. Te ilustro un ejemplo:

Tengo 5 usuarios, a cada uno le asigno un segmento de red, lo minimo que puedo crearles es un segmento de 4 ips donde una ip sería el indicador de red, una ip iría en la interfaz virtual y sería a su vez la puerta de enlace para el usuario, una ip para el usuario y finalmente una ip para broadcast. Como son 5 usuarios deberé hacer esto 5 veces:


# para el usuario 1 la red 192.168.1.0/30
ifconfig eth1:1 192.168.1.1 netmask 255.255.255.252 broadcast 192.168.1.3

# para el usuario 2 la red 192.168.1.4/30
ifconfig eth1:2 192.168.1.5 netmask 255.255.255.252 broadcast 192.168.1.7

# para el usuario 3 la red 192.168.1.8/30
ifconfig eth1:3 192.168.1.9 netmask 255.255.255.252 broadcast 192.168.1.11

# para el usuario 4 la red 192.168.1.12/30
ifconfig eth1:4 192.168.1.13 netmask 255.255.255.252 broadcast 192.168.1.15

# para el usuario 5 la red 192.168.1.16/30
ifconfig eth1:5 192.168.1.17 netmask 255.255.255.252 broadcast 192.168.1.19

El usuario 1 configurará su adaptador de red con la ip 192.168.1.2, mascara de subred 255.255.255.252 y con puerta de enlace 192.168.1.1

El usuario 2 configurará su adaptador de red con la ip 192.168.1.6, mascara de subred 255.255.255.252 y con puerta de enlace 192.168.1.5

El usuario 3 configurará su adaptador de red con la ip 192.168.1.10, mascara de subred 255.255.255.252 y con puerta de enlace 192.168.1.9

El usuario 4 configurará su adaptador de red con la ip 192.168.1.14, mascara de subred 255.255.255.252 y con puerta de enlace 192.168.1.13

El usuario 5 configurará su adaptador de red con la ip 192.168.1.18, mascara de subred 255.255.255.252 y con puerta de enlace 192.168.1.17

Ahora como los usuarios estan obligados a utilizar gateway lo que sigue solo es setear el firewall para que estas redes no se vean.

-------------------------

Antes de preguntar visita esta dirección :evil:

 

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

No es importante que el

Imagen de RazaMetaL

No es importante que el access point tenga firewall. QUien debe tener un firewall y negar explicitamente el trafico entre subredes es la caja linux. Por lo tanto la respuesta es si.

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Disculpa el abuso de mi

Disculpa el abuso de mi parte y la preguntadera fastidiosa, podrias, por favor si no es molestia, expandir un poco mas el tema? estoy pensando en mi actual trabajo, como administrador de redes junior en un suplidor de internet, esto se ve genial para la configuracion de los clientes, me encantaria, si es posible, que ya que colocaste la configuracion ethernet (que funciona muy bien) colocar aqui algunos ejemplos de la configuracion del firewall para esta propuesta que has dado.

Agradecido de antemano.

Lo anterior, con pocos

Imagen de damage

Lo anterior, con pocos usuarios resulta facil de implementar, es más tengo creada una eth1:0, pero con más se complica la cosa, creia que quizas conocian alguna otra manera de hacerlo, al menos para mi se me complica administrar la red así, ya que mi carga de responsabilidades van más alla que solamente la parte técnica, igual mil grácia por responder, voy a intentar y ver si esa solución se acomoda a lo que necesito o si no ni modo toca acomódarce a ella.

Grácias un vez más.

Keep The Fire Burning.....
Stryper 1988

Listo, solucionado el

Imagen de damage

Listo, solucionado el problema, realice el drop del forward de la red Wlan a nivel de los AP y funciona al pelo.

Por eso compre estas radio ya que tiene Linux enmdebido y ayuda de mucho, gracias a Deathuser y a Razametal por sus comentarios e ilustraciones, fueròn de gran ayuda.

Keep The Fire Burning.....
Stryper 1988

Páginas