Шлюз на ubuntu

[DasTPID]

Добрый день!

В соответствие с http://howitmake.ru/blog/ubuntu/86.html сделал шлюз для раздачи трафика от провайдера по локалке в маленьком офисе, и заметил такую интересную вещь: в сети все компы на windows7, открываешь там папку "сеть", и кроме тех компов, которые на самом деле есть в сети там появляется ещё штук шесть, которых на самом деле нету. Судя по названиям там не только компы (PC1, PC2) но есть и keenetic, т.е. наверное роутер, и ещё что-то кракозябрами написаное, не поймешь что. Вынимаешь шнурок, который приходит от провайдера, из шлюза - и все левые устройства пропадают. Ни одно из этих устройств не открывается (ресурсы не показывает).
Ну то что провайдеру я пожалуюсь - это понятно , если я что-то не своё вижу, то может и кто-то другой рядом мои шары или общие принтеры видит. У меня вопрос - как они вообще добились такого эффекта? Где можно почитать-просветиться по поводу как работает такой механизм сетевого обнаружения? Возможно ли на шлюзе поставить фильтр чтобы кроме интернета больше ничего не проходило?

Заранее спасибо!

[fisher74]

Ничего странного не вижу. Вы создали шлюз, а не файерволл. С чего это он должен что-то перекрывать?

[DasTPID]

Ну я странное всё-таки вижу, у провайдера заказывался и оплачивался доступ в интернет, а не к соседу в сеть.

[Yuriy_Y]

Ну я странное всё-таки вижу, у провайдера заказывался и оплачивался доступ в интернет, а не к соседу в сеть.

То, что ваша локалка видит компы и шары соседа-валенка вовсе не означает, что глючит пров. Это означает, что у соседа аццкий одмин и неправильно настроен роутер.
Я бы вычислил его и отослал бы ему по мылу его же документов парочку.

[fisher74]

Ни одно из этих устройств не открывается (ресурсы не показывает).

Я бы вычислил его и отослал бы ему по мылу его же документов парочку.

То есть взломали бы ресурсы... А это уже противозаконно.

[Yuriy_Y]

То есть взломали бы ресурсы... А это уже противозаконно.

Кто бы спорил. Если они сами их публикуют. Если не видно - другой вопрос.
Но всё равно, роутер неправильно настроен.

[DasTPID]

Поставил gufw, потыкал там немножко наобум... не подскажете как его правильно нужно настраивать, чтобы соседских устройств не было видно? Если я правильно понимаю, то на интерфейсе, который смотрит наружу из сети нужно отключить пакеты протокола smb, но как это сделать - не знаю.
Пользователь решил продолжить мысль 21 Апреля 2014, 22:46:15:Вот такая картинка поможет чем-нибудь?

192,168 это внутренняя сеть
172,20 этот адрес получает устройство по dhcp от провайдера.

[koshev]

Не поможет.
sudo iptables-save показывайте, текстом.
gufw можете удалять.

[meinung]

DasTPID, ifconfig  показали бы хоть. PS>  если  разные сетевые карты, и  мостом   не  объеденено, то   не должны появляться чужие компьютеры в  разделе   сеть.

[DasTPID]

rd@rdproject:~$ sudo iptables-save
# Generated by iptables-save v1.4.18 on Wed Apr 23 18:21:11 2014
*nat
:PREROUTING ACCEPT [156989:18593933]
:INPUT ACCEPT [13503:2192411]
:OUTPUT ACCEPT [8063:667283]
:POSTROUTING ACCEPT [6473:494038]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 23 18:21:11 2014
# Generated by iptables-save v1.4.18 on Wed Apr 23 18:21:11 2014
*filter
:INPUT ACCEPT [354386:139119159]
:FORWARD ACCEPT [2067303:1097504166]
:OUTPUT ACCEPT [501647:517604161]
COMMIT
# Completed on Wed Apr 23 18:21:11 2014

Пользователь решил продолжить мысль 23 Апреля 2014, 18:24:42:rd@rdproject:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 78:54:2e:70:a4:7d 
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::7a54:2eff:fe70:a47d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1409972 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1582021 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:346305942 (346.3 MB)  TX bytes:1450200913 (1.4 GB)

eth1      Link encap:Ethernet  HWaddr d8:50:e6:d3:9f:54 
          inet addr:172.20.122.100  Bcast:172.20.127.255  Mask:255.255.192.0
          inet6 addr: fe80::da50:e6ff:fed3:9f54/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1371923 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1038603 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:960758305 (960.7 MB)  TX bytes:203746446 (203.7 MB)

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:22950 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22950 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1673128 (1.6 MB)  TX bytes:1673128 (1.6 MB)



Здесь eth0 смотрит в локальную сеть, IP-адрес назначен вручную; eth1 - подключен к интернету, IP-адрес получается по DHCP от провайдера.
Пользователь решил продолжить мысль 23 Апреля 2014, 18:25:05:gufw удалил

[koshev]

Гхм, ну как бэ ничего удивительного.
Вам сюда http://www.opennet.ru/docs/RUS/iptables/
сюда http://www.opennet.ru/man.shtml?topic=iptables-save&category=8&russian=0
и сюда  https://wiki.debian.org/ru/NetworkConfiguration

(Нажмите, чтобы показать/скрыть)

/etc/network/interfaces

Код: (text) [Выделить]

auto lo eth0 eth1
iface lo inet loopback
      post-up iptables-restore /etc/iptables.rules
iface eth0 inet static
      address 192.168.10.1
      netmask 255.255.255.0
iface eth1 inet dhcp/etc/iptables.rules

Код: (text) [Выделить]

# Generated by iptables-save v1.4.18 on Wed Apr 23 18:21:11 2014
*nat
:PREROUTING ACCEPT [156989:18593933]
:INPUT ACCEPT [13503:2192411]
:OUTPUT ACCEPT [8063:667283]
:POSTROUTING ACCEPT [6473:494038]
-A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE
COMMIT
# Completed on Wed Apr 23 18:21:11 2014
# Generated by iptables-save v1.4.18 on Wed Apr 23 18:21:11 2014
*filter
:INPUT DROP [354386:139119159]
:FORWARD DROP [2067303:1097504166]
:OUTPUT ACCEPT [501647:517604161]
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -i eth0 -o eth1 -j ACCEPT
COMMIT
# Completed on Wed Apr 23 18:21:11 2014

[AnrDaemon]

-A INPUT -i lo -j ACCEPT
где забыли?

[koshev]

Спасибо, поправил.

[DasTPID]

Всё равно "лишние" компьютеры присутствуют...