[FUG-BR] PPPOE: um cliente enxergando o outro

Qua Jul 27 09:40:08 BRT 2005

Prezados,

Instalei um servidor PPPOE há algum tempo, e tudo tem funcionando
perfeitamente (autenticacao no radius, criacao das regras de ipfw de
liberacao e de limitacao de banda e etc). Só que um cliente enxerga o outro
(ambiente de rede), e por conseguinte, tem acesso as pastas e impressoras de
alguns desavisados.
Como contornar isso?
Existe algo que se faça no gateway para resolver ou a solucao seria partir
pra wipfw nos clientes?
Segue minhas regras de firewall iniciais, as de cada cliente (liberacao e
limitacao, sao incluidas dinamicamente)

-=-=-=--
#!/bin/sh

ipfw -f flush

ifconfig sk0 $IP_VALIDO netmask $MASK
route add default $GATEWAY_REAL

#placa rl0, do pppoe, sem ip.

# liberacao de caixa economica !

/sbin/ipfw add 5 skipto 500 ip from any to 200.201.174.0/24
/sbin/ipfw add 5 skipto 500 ip from any to 200.201.166.0/24
/sbin/ipfw add 5 skipto 500 ip from any to 200.201.173.0/24

# Bloqueio portas virus conhecidos
ipfw add 10 drop tcp from any to any 135-139
ipfw add 10 drop tcp from any to any 445,5554,9996,593,1080
ipfw add 10 drop tcp from any to any 1900,3127,4444,5249,6777,8866
ipfw add 20 drop tcp from any 135-139 to any
ipfw add 20 drop tcp from any 445,5249,5554,9996,593 to any
ipfw add 20 drop tcp from any 1080,1900,3127,4444,6777,8866 to any
ipfw add 30 drop udp from any to any 135-139
ipfw add 30 drop udp from any to any 69,445,1433,1434,1900,5249,8998
ipfw add 40 drop udp from any 69,445,1433,1434,1900,5249,8998 to any
ipfw add 40 drop udp from any 135-139 to any

# Interface de Loopback
ipfw add 100 allow ip from any to any via lo0
ipfw add 110 drop ip from any to 127.0.0.0/8
ipfw add 120 drop ip from 127.0.0/8 to any

# Permitir tráfego entre clientes e Gateway
ipfw add 200 skipto 500 ip from any to me
ipfw add 210 skipto 500 ip from me to any

# negar pacotes entre os clientes da rede
ipfw add 300 drop ip from 192.168.11.0/24 to 192.168.11.0/24 #ip dos
clientes dado pelo ppp

# Fazer NAT
/sbin/ipfw add 500 divert natd all from any to $IP_REAL/32 via sk0 in
/sbin/ipfw add 500 divert natd all from 192.168.11.0/24 to any via sk0 out

#roda o natd
natd -m -s -n sk0

ifconfig rl0 up

=-=-=-=-

Alguma solucao ?
Meu kernel (o firewall, na realidade) está default_to_accept.

_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br