(28/02/2025, 21:43)rapier Escreveu: Tem como remover essas coisas dos TV box ou bloqueá-las de alguma forma no roteador? Tem como saber se o TV box está afetado por isso daí?
Eu uso TV box há eras e pretendo continuar a usar por todo o eterno sempre e além, e sempre quem falava mal deles era a Anatel (vendida) e sites comprados logo nunca dei trela, mas vindo de você eu confio nisso daí.
basta apenas criar VLAN separadamente.... eu uso algo como abaixo separando a rede do "local server" (onde está hospedado esse fórum) com todo o resto.
ter server local é suscetível a ataque, então mesmo que tenha sucesso em hackear o meu server local, o resto da rede n será afetada pq a rede é separada via VLAN.
(28/02/2025, 22:15)martec Escreveu: basta apenas criar VLAN separadamente.... eu uso algo como abaixo separando a rede do "local server" (onde está hospedado esse fórum) com todo o resto.
ter server local é suscetível a ataque, então mesmo que tenha sucesso em hackear o meu server local, o resto da rede n será afetado pq a rede é separado via VLAN.
VLAN só serve pra isolar o layer2 das redes, ou seja, a camada MAC que vem acima do IP. Se do teu servidor você conseguir pingar sua rede interna, você tá suscetível a quase todos os problemas que pode e não pode imaginar. A única coisa que estará devidamente isolada são ataques/invasões em camada 2, tipo ARP poisoning.
Já pra pergunta do rapier, VLAN resolve um total de 0 problema.
(28/02/2025, 22:19)jihox Escreveu: VLAN só serve pra isolar o layer2 das redes, ou seja, a camada MAC que vem acima do IP. Se do teu servidor você conseguir pingar sua rede interna, você tá suscetível a quase todos os problemas que pode e não pode imaginar. A única coisa que estará devidamente isolada são ataques/invasões em camada 2, tipo ARP poisoning.
Já pra pergunta do rapier, VLAN resolve um total de 0 problema.
pingar a rede interna? vc fala gateway do roteador?
(28/02/2025, 22:25)martec Escreveu: pingar a rede interna? vc fala gateway do roteador?
Se eu entendi direito, a topologia da sua rede é a seguinte:
Sua rede interna (seu PC e coisas do tipo) está numa porta embaixo do switch gerenciável isolado numa VLAN, enquanto o servidor do fórum tá embaixo de outra porta em outra VLAN. Porém, esse switch tem que estar ligado a um roteador. Sendo esse roteador o mesmo pra sua rede interna e pro servidor do fórum, então sua rede interna tá exposta pro servidor caso não haja regra de firewall explícita pra impedir isso.
Se eu acertei a topologia, vai no seu servidor e tenta pingar o seu PC. Se for windows, desativa o firewall por 1 minuto pra realizar o teste. Se tiver ruim de ter certeza (porque tem antivírus ou sei lá), então pinga o gateway da sua rede interna. Se responder, toda sua rede interna tá exposta.
(28/02/2025, 22:33)jihox Escreveu: Se eu entendi direito, a topologia da sua rede é a seguinte:
Spoiler: Imagem
Sua rede interna (seu PC e coisas do tipo) está numa porta embaixo do switch gerenciável isolado numa VLAN, enquanto o servidor do fórum tá embaixo de outra porta em outra VLAN. Porém, esse switch tem que estar ligado a um roteador. Sendo esse roteador o mesmo pra sua rede interna e pro servidor do fórum, então sua rede interna tá exposta pro servidor caso não haja regra de firewall explícita pra impedir isso.
Se eu acertei a topologia, vai no seu servidor e tenta pingar o seu PC. Se for windows, desativa o firewall por 1 minuto pra realizar o teste. Se tiver ruim de ter certeza (porque tem antivírus ou sei lá), então pinga o gateway da sua rede interna. Se responder, toda sua rede interna tá exposta.
n pinga de server pra meu pc.... eu n sou tão leigo e n ter feito um teste desse....
pingar pra gateway tem que pingar... vai ficar sem net....
(28/02/2025, 22:39)martec Escreveu: n pinga de server pra meu pc.... eu n sou tão leigo e n ter feito um teste desse....
pingar pra gateway tem que pingar... vai ficar sem net....
Gateway é apenas um IP, não é um equipamento. Seu servidor tem um gateway, sua rede interna tem outro gateway. Ambos podem estar no mesmo equipamento, mesmo sendo gateways diferentes. Se o servidor conseguir pingar o gateway da rede interna, então ele tem acesso à rede interna via roteamento a não ser que seja explicitamente negado via firewall.
Mas eu só chutei sua topologia. Se o seu isolamento de VLAN leva suas redes até roteadores diferentes, então tá tudo bem.
(28/02/2025, 22:41)jihox Escreveu: Gateway é apenas um IP, não é um equipamento. Seu servidor tem um gateway, sua rede interna tem outro gateway. Ambos podem estar no mesmo equipamento, mesmo sendo gateways diferentes. Se o servidor conseguir pingar o gateway da rede interna, então ele tem acesso à rede interna via roteamento a não ser que seja explicitamente negado via firewall.
Mas eu só chutei sua topologia. Se o seu isolamento de VLAN leva suas redes até roteadores diferentes, então tá tudo bem.
n tem roteadores diferentes... n vou assinar conexão de internet separadamente só pra fórum, n faz menor sentido.
qdo configurei essas coisas, foram feitos testes seguintes...
meu pc e server no mesmo VLAN: pinga em ambas as direções....
meu pc e server nos diferentes VLAN: n pinga em ambas as direções (independente de firewall).
alías o serviço de VLAN é exatamente isso, evitar o acesso de segmentos separados.
(28/02/2025, 22:58)martec Escreveu: n tem roteadores diferentes... n vou assinar conexão de internet separadamente só pra fórum, n faz menor sentido.
qdo configurei essas coisas, foram feitos testes seguintes...
meu pc e server no mesmo VLAN: pinga em ambas as direções....
meu pc e server nos diferentes VLAN: n pinga em ambas as direções (independente de firewall).
alías o serviço de VLAN é exatamente isso, evitar o acesso de segmentos separados.
Então sua rede interna e o servidor ambos estão na mesma rede (têm exatamente o mesmo IP de gateway), mas isolando em vlan você quebrou o comportamento esperado de camada 2 pra redes diretamente conectadas. Funciona, mas se um analista meu faz isso, leva bronca, porque é gambiarra pesada
Mas você tem firewall sim! Ele se chama NAT, e é o melhor firewall do mundo. Você da rede interna certamente acessa o servidor por redirecionamento de ip/porta, e pra isso funcionar como esperado, tem que ter um hairpin NAT configurado no seu roteador além do redirecionamento. O hairpin faz a magia acontecer.
Juntando tudo, é um jeito convoluto de isolar as redes, porque você tá literalmente quebrando o design esperado da stack de rede.
Aliás, o jeito menos gambiarra de fazer isso que você fez é usando o recurso de "port isolate" do switch gerenciável. Você ainda vai estar quebrando o funcionamento da stack de rede e vai levar bronca de todo analista de redes sênior, mas pelo menos a gambiarra vai ser mais limpa. Só que vai ter que mudar outras configurações no seu roteador pra eliminar a gambiarra das vlans.
(28/02/2025, 23:17)jihox Escreveu: Então sua rede interna e o servidor ambos estão na mesma rede (têm exatamente o mesmo IP de gateway), mas isolando em vlan você quebrou o comportamento esperado de camada 2 pra redes diretamente conectadas. Funciona, mas se um analista meu faz isso, leva bronca, porque é gambiarra pesada
Mas você tem firewall sim! Ele se chama NAT, e é o melhor firewall do mundo. Você da rede interna certamente acessa o servidor por redirecionamento de ip/porta, e pra isso funcionar como esperado, tem que ter um hairpin NAT configurado no seu roteador além do redirecionamento. O hairpin faz a magia acontecer.
Juntando tudo, é um jeito convoluto de isolar as redes, porque você tá literalmente quebrando o design esperado da stack de rede.
Aliás, o jeito menos gambiarra de fazer isso que você fez é usando o recurso de "port isolate" do switch gerenciável. Você ainda vai estar quebrando o funcionamento da stack de rede e vai levar bronca de todo analista de redes sênior, mas pelo menos a gambiarra vai ser mais limpa. Só que vai ter que mudar outras configurações no seu roteador pra eliminar a gambiarra das vlans.
mas já uso Port based VLAN no switch se for isso que vc ta referindo.
Ps. a imagem abaixo é oq obtive na net, nessa parte que eu fiz a configuração.
(28/02/2025, 22:07)jihox Escreveu: Todo roteador é pra ser capaz de descartar origem spoofada, porém roteadores domésticos costumam ser muito capados. Mas há duas configurações que permitem isso.
1. Reverse Path Filtering, ou RP-Filter: se tiver isso em algum canto do roteador, só colocar no modo "strict".
2. Via firewall: tem que criar uma regra na chain forward, origem "diferente" da sua rede LAN (ex.: se sua rede LAN for 192.168.0.0/24, a regra tem que ser src-address!=192.168.0.0/24), interface de saída WAN (ou então interface de entrada LAN) e action drop/discard.
Gostei, depois verei se tem como fazer isso no meu roteador.
![[Imagem: mL7iTRZ.png]](https://i.imgur.com/mL7iTRZ.png)
![[Imagem: La6IhjV.png]](https://i.imgur.com/La6IhjV.png)
