BFW Firewall & Router

[ney]

Olá amigos
Estou utilizando a versão 2.32.2 do Servidor BFW desde o inicio do ano, antes utilizava a versão 2.31.10 e faço controle de usuarios com IP x MAC e Easy captive ultima versão, criei uma rede falsa conforme
http://www.brazilfw.com.br/forum/viewtopic.php?f=64&t=71163, mas ao mudar pra versão 2.32.2 e seguir o mesmo esquema para criar a rede falsa aconteceu algum problema, pois;
algumas pessoas me disseram que "conseguem usar a internet sem pagar", no inicio achei que era impossível, mas de uns tempos pra cá tive várias questões que me deixaram em dúvida...
acho que de alguma forma devo ter deixado uma brecha que está sendo explorada por todos...já tentei fazer bloqueio de mac nos 3 roteadores que tenho, mas são tantos macs que está se tornando uma luta desigual...
solicito ajudada para resolver esse problema, desde já agradeço aos amigos
Abaixo coloco meu arquivo mestre para analise

Código: Selecionar todos

INETTYPE='ETHERNET_DHCP'
DNS1='208.67.222.222'
DNS2='8.8.8.8'
DNS3='68.94.156.1'
DOMAINNAME='domain.local'
HOSTNAME='brazilfw'
LOCAL_IPADDR='192.168.0.1'
LOCAL_NETMASK='255.255.255.0'
DHCPSERVER='YES'
DHCPD_START_IP='192.168.0.2'
DHCPD_END_IP='192.168.0.2'
ADMIN_AUTH='xxxxxxxxxxxxxx.'
IF_LOCAL='eth0'
IF_INET='eth1'
TZ='EST4'
TIMESERVER='nist1-la.ustiming.org'
USE_DNS_CACHE='YES'
ENABLE_CRON='YES'
ENABLE_EXTERNAL_PING='NO'
ENABLE_EXTERNAL_SSH='YES'
ENABLE_WEBADMIN='YES'
WEBADMIN_PORT='8180'
SSH_PORT='22'
DISABLE_NAT='on'
QOS_TYPE='SUBNET'
QOS_UPSTREAM='10240'
QOS_DOWNSTREAM='102400'
QOS_FUP_BURST='8'
QOS_NUP_BURST='4'
QOS_SUP_BURST='2'
QOS_FDOWN_BURST='16'
QOS_NDOWN_BURST='8'
QOS_SDOWN_BURST='4'
QOS_DOWNSTREAM_INDIVIDUAL='50'
QOS_UPSTREAM_INDIVIDUAL='50'
QOS_DOWNSTREAM_JUNK='50'
QOS_UPSTREAM_JUNK='50'
QOS_UPFW_STREAM='10'
QOS_HIGH_PRI_PER='50'
QOS_NORM_PRI_PER='35'
QOS_SLOW_PRI_PER='15'
DEFAULT_USERS_FILTER='BLOCK_ALL'
DEFAULT_SERVICES_FILTER='BLOCK_ALL'
LOG_ATTEMPTS='on'
LOG_INCOMING_ACCESS='on'
LOG_OUTGOING_ACCESS='on'
DEBUG='on'
LANGUAGE_WEBADMIN='BRZ'
QOS_ZPH='4096'
SQSTAT_ENABLEDNS='1'
SQUID_ENABLE='1'
SQUID_PORT='8080'
SQUID_PROXY_TYPE='1'
SQUID_POLICY='ALL'
SQUID_DISK_CACHE_ENABLE='1'
SQUID_DISK_CACHE_SIZE='10240'
SQUID_MEM_CACHE_SIZE='1024'
SQUID_MAX_OBJ_SIZE='50000'
SQUID_MIN_OBJ_SIZE='4'
MAXCONN='20'
SQUID_LOG_ACCESS='1'
ERROR_LINGUAGE='Portuguese'
SQUID_URLB_ENABLE='0'
SQUID_WRDB_ENABLE='1'
SQUID_EWRD_ENABLE='0'
SQUID_EXTB_ENABLE='1'
SQUID_CACHE_ENABLE='1'
SQUID_PRIV_USER='1'
SQUID_NO_CONF='0'


[Paulo2]

Olá ney , li o tópico que vc indicou mas não li tudo, não tenho conhecimento do funcionamento do EC.
Mas posso dar uns palpites no teu arquivo-mestre, talvez ajude

O link de download é realmente 100Mb? queria ter um desse

Código: Selecionar todos

QOS_UPSTREAM='10240'
QOS_DOWNSTREAM='102400'

Pode ser que o problema esteja no junk do QOS, porque acho que a rede dos intrusos cai no junk.
Vc configurou o junk como 50% da banda disponível

Código: Selecionar todos

QOS_DOWNSTREAM_JUNK='50'
QOS_UPSTREAM_JUNK='50'

configure como 1% ou até mesmo menos, 0,5% ou 0,1%
dependendo se vc quer que o pessoal do junk navegue ou não navegue.
Note que número decimal no junk tem que ser com vírgula e não ponto.

Eu tinha configurado no junk 0,1% , e não conseguia conectar no roteador wireless em bridge
que fica atrás do BFW. Ficava carregando, carregando o webadmin do router mas não mostrava nada, até
que um dia me lembrei do junk. Mudei a configuração pra 1% e bingo, passou a carregar.


Outro palpite se vc não usa a rede principal do BFW, pode mudar a máscara de 255.255.255.0 pra 255.255.255.252
diminuindo muito a faixa de ips que alguém pode configurar manualmente.
Vc configurou o DHCP pra distribuir apenas um ip, mas isso não impede alguém de configurar na mão
e conseguir entrar no junk.

Código: Selecionar todos

LOCAL_IPADDR='192.168.0.1'
LOCAL_NETMASK='255.255.255.0'
DHCPSERVER='YES'
DHCPD_START_IP='192.168.0.2'
DHCPD_END_IP='192.168.0.2'

os outros ips 192.168.0.3-254 estão disponíveis, mesmo que o DHCP não distribua.

[ney]

Bom dia a todos
Obrigado pela ajuda Paulo2, segui sua dica e já corrigi meu link de download, estava errado mesmo

O link de download é realmente 100Mb? queria ter um desse

Código: Selecionar todos

QOS_UPSTREAM='10240'
QOS_DOWNSTREAM='102400'

Mudei tambem aqui

QOS_UPSTREAM='10240'
QOS_DOWNSTREAM='102400'

Código: Selecionar todos

QOS_DOWNSTREAM_JUNK='50'
QOS_UPSTREAM_JUNK='50'

agora está em 1%, tenho um pouco de dificuldade pra acessar o webadmin dos roteadores atras do BFW, mas nada preocupante

configure como 1% ou até mesmo menos, 0,5% ou 0,1%
dependendo se vc quer que o pessoal do junk navegue ou não navegue.
Note que número decimal no junk tem que ser com vírgula e não ponto.

Eu tinha configurado no junk 0,1% , e não conseguia conectar no roteador wireless em bridge
que fica atrás do BFW. Ficava carregando, carregando o webadmin do router mas não mostrava nada, até
que um dia me lembrei do junk. Mudei a configuração pra 1% e bingo, passou a carregar.

Mudei tambem a mascara da minha rede principal conforme vc indicou

Outro palpite se vc não usa a rede principal do BFW, pode mudar a máscara de 255.255.255.0 pra 255.255.255.252
diminuindo muito a faixa de ips que alguém pode configurar manualmente.
Vc configurou o DHCP pra distribuir apenas um ip, mas isso não impede alguém de configurar na mão
e conseguir entrar no junk.

Código: Selecionar todos

LOCAL_IPADDR='192.168.0.1'
LOCAL_NETMASK='255.255.255.0'
DHCPSERVER='YES'
DHCPD_START_IP='192.168.0.2'
DHCPD_END_IP='192.168.0.2'

agora uso 255.255.255.252
Valeu Pauo2,
Ainda não vou dar o topico por encerrado pois não sei se com isso acabaram as invasões na rede
A Rede que os clientes usam é esssa

Código: Selecionar todos

# SubNetting Configuration File
#
# This file contains entries in the following formats:
# subnet active number ip mask use_dhcp use_qos down_rate down_ceil up_rate up_ceil lan lan_id connlimit
#Example:
subnet y 2 10.12.2.1 30 y y $ $ $ $ LAN1  2 0 # CELULARNEY02
subnet y 3 10.12.3.1 30 y y 1000 1200 1000 1200 LAN1  3 0 #TABLETLEVI03
subnet y 4 10.12.4.1 30 y y 1000 1200 1000 1200 LAN1  4 0 # LILIAN04
subnet y 5 10.12.5.1 30 y y 1000 1200 1000 1200 LAN1  5 0 # NEIDE05
subnet y 6 10.12.6.1 30 y y 1000 1200 1000 1200 LAN1  6 0 # BRANCA
subnet y 7 10.12.7.1 30 y y 1000 1200 1000 1200 LAN1  7 0 # EBER07
subnet y 8 10.12.8.1 30 y y 1000 1200 1000 1200 LAN1  8 0 # 08
subnet y 9 10.12.9.1 30 y y1000 1200 1000 1200 LAN1  9 0 # MAURA09
subnet y 10 10.12.10.1 30 y y 1000 1200 1000 1200 LAN1  10 0 # CLEUTO10
subnet y 11 10.12.11.1 30 y y 1000 1200 1000 1200 LAN1  11 0 # CLAUDETE11
subnet y 12 10.12.12.1 30 y y 1000 1200 1000 1200 LAN1  12 0 # CLAUDETE12
subnet y 13 10.12.13.1 30 y y 1000 1200 1000 1200 LAN1  13 0 # SHEYLA13
subnet y 14 10.12.14.1 30 y y 1000 1200 1000 1200 LAN1  14 0 # 14
subnet y 15 10.12.15.1 30 y y 1000 1200 1000 1200 LAN1  15 0 # ELAINE15
subnet y 16 10.12.16.1 30 y y $ $ $ $ LAN1  16 0 # NEYADM16
subnet y 17 10.12.17.1 30 y y 1000 1200 1000 1200 LAN1  17 0 # SUZYCEL17
subnet y 18 10.12.18.1 30 y y 1000 1200 1000 1200 LAN1  18 0 # KARINECEL18
subnet y 19 10.12.19.1 30 y y 1000 1200 1000 1200 LAN1  19 0 # KARINEWIFI19
subnet y 20 10.12.20.1 30 y y 1000 1200 1000 1200 LAN1  20 0 # EUZEBIONOTE20

E essa é a rede que está aberta pra que os visitantes possar ver uma pagina como se fosse um Hotspot com propagandas e um formulario de contato
com valores e numeros de contato caso alguem se interesse...

Código: Selecionar todos

subnet y 101 172.10.200.254 24 y n $COMP_DOWN $CLEAR_DOWNSTREAM $COMP_UP $CLEAR_UPSTREAM LAN1  101 0 #Para intrusos


quando vejo em Configurações do DHCP e DNS vejo uma imagem assim :

Isso mostra que os "Intrusos" estão pegando IP da rede falsa, e isso é bom, é assim mesmo que deve ser, Eles ficam apenas na pagina de propaganda...
Quando vejo em Ferramentas de Diagnostico/Tabela ARP vejo essa imagem :

não sei se é em tempo real, como disse no primeiro post os garotos da rua me disseram que conseguem usar a Internet sem pagar
e isso me deixou intrigado...se alguem mais tiver alguma ideia para melhorar ainda mais a segurança eu agradeço muito

[Paulo2]

O problema deve ser esse aqui no arquivo de subredes o QOS está desabilitado "n"

Código: Selecionar todos

subnet y 101 172.10.200.254 24 y n $COMP_DOWN $CLEAR_DOWNSTREAM $COMP_UP $CLEAR_UPSTREAM LAN1  101 0 #Para intrusos

esses são os intrusos, mas vc configurou como teto de dl e teto de ul o máximo do link
nesse caso é melhor vc colocar um número no QOS.
Se vc quiser que os intrusos naveguem o mínimo necessário pra ver alguma página de informações,
pode configurar 40 40 40 40 , isso é como uma conexão discada.

Se vc não quiser que os intrusos naveguem então pode ser 8 8 8 8 (ou menos) dá 1kByte de conexão

Mude os valores, habilite o QOS na subrede dos intrusos, reload nas subredes e reload no QOS.
Dando reload no QOS vc vai ver as novas taxas pra cada ip.

Se vc não leu, dê uma olhada nesse tutorial do QOS, explica toda a configuração
http://www.brazilfw.com.br/forum/viewtopic.php?f=39&t=63011


Essas linhas de subrede
subnet y 2 10.12.2.1 30 y y $ $ $ $ LAN1 2 0 # CELULARNEY02
subnet y 16 10.12.16.1 30 y y $ $ $ $ LAN1 16 0 # NEYADM16
não sei qual o resultado de colocar apenas o $ nos campos do QOS, pode ser interessante
configurar algum valor numérico ali.

E essa " subnet y 9 10.12.9.1 30 y y1000 1200 1000 1200 LAN1 9 0 # MAURA09"
não sei se foi erro ao colar, mas a falta de espaço entre o y e 1000 pode gerar erro,
já que o delimitador é o espaço.

Quanto à dificuldade de acessar os roteadores, vc pode aumentar o junk pra ter mais
facilidade de acesso, mas não tanto que alguém não-autorizado consiga navegar com o link do junk.

[ney]

Amigos bom dia,
Atualmente minha classe de QOS está assim:

Código: Selecionar todos

# Coyote Classes configuration file
################################################
#  rootid    - id of parent class, root classes have parent id 1:1
#  clsid     - id of class, use class id between 10-90
#  down_rate - minimal guaranteed downstream rate (kbit)
#  down_ceil - maximum downstream rate (kbit)
#  up_rate   - minimal quaranteed upstream rate (kbit)
#  up_ceil   - maximum upstream  rate (kbit)
#  matchip   - class filter ip specification
#
# Supported classes types:
#   define_class rootid clsid down_rate down_ceil up_rate up_ceil matchip
#   define_class_sfq rootid clsid down_rate down_ceil up_rate up_ceil matchip
#   define_class_qos rootid clsid down_rate down_ceil up_rate up_ceil matchip
################################################

define_class_qos "1:1" "1:10" $COMP_DOWN $CLEAR_DOWNSTREAM $COMP_UP $CLEAR_UPSTREAM 192.168.0.10 #Example - With Filters
define_class_sfq "1:1" "1:11" $COMP_DOWN $CLEAR_DOWNSTREAM $COMP_UP $CLEAR_UPSTREAM 192.168.0.11 #Exemple - Without Filters
define_class_sfq "1:1" "1:15" 5 10 5 10 192.168.0.12 #Example - 5 Kbits Up/Down - Max 10 Kbits
define_class_sfq "1:1" "1:16" 5 5 5 5 192.168.0.13 #Exemple - 5 Kits Up/Down - Max 5 Kbits

ou seja original desde a instalação do BFW 2.32.2
Paulo2 , mais uma vez obrigado pela ajuda, lí o tutorila de QOS que você postou, mas ainda não entendí bem...
considerando que minha rede tem 20 usuarios, seria correto colocar assim :

Código: Selecionar todos

define_class_sfq "1:1" "1:13" 500 1000 600 1000 10.12.03.2 #TABLETLEVI03
define_class_sfq "1:1" "1:14" 500 1000 600 1000 10.12.04.2 #LILIAN04
define_class_sfq "1:1" "1:15" 500 1000 600 1000 10.12.05.2 #NEIDE05
define_class_sfq "1:1" "1:16" 500 1000 600 1000 10.12.06.2 #BRANCA
define_class_sfq "1:1" "1:17" 500 1000 600 1000 10.12.07.2 #EBER07
define_class_sfq "1:1" "1:18" 500 1000 600 1000 10.12.08.2 #08
define_class_sfq "1:1" "1:19" 500 1000 600 1000 10.12.09.2 #MAURA09
define_class_sfq "1:1" "1:20" 500 1000 600 1000 10.12.10.2 #CLEUTO10
define_class_sfq "1:1" "1:21" 500 1000 600 1000 10.12.11.2 #CLAUDETE11
define_class_sfq "1:1" "1:22" 500 1000 600 1000 10.12.12.2 #CLAUDETE12
define_class_sfq "1:1" "1:23" 500 1000 600 1000 10.12.13.2 #SHEILA13
define_class_sfq "1:1" "1:24" 500 1000 600 1000 10.12.14.2 #14
define_class_sfq "1:1" "1:25" 500 1000 600 1000 10.12.15.2 #ELAINE15
define_class_sfq "1:1" "1:26" 500 1000 600 1000 10.12.16.2 #NEYADM16
define_class_sfq "1:1" "1:27" 500 1000 600 1000 10.12.17.2 #SUZYCEL17
define_class_sfq "1:1" "1:28" 500 1000 600 1000 10.12.18.2 #KARINECEL18
define_class_sfq "1:1" "1:29" 500 1000 600 1000 10.12.19.2 #KARINEWIFI19
define_class_sfq "1:1" "1:30" 500 1000 600 1000 10.12.20.2 #EUZEBIONOTE20


ou poderia criar uma classe pra atender toda minha subrede assim :

Código: Selecionar todos

define_class_sfq "1:1" "1:13" 5120 10240 5120 10240 10.12.2.0/24 #TODAREDE

Paulo2, só pra esclarecer, a rede dos "Intrusos" está com "n" no QOS, conforme o tutorial que o amigo daniel.uramg postou em
http://www.brazilfw.com.br/forum/viewtopic.php?f=64&t=71163
já corrigi os erros de digitação , tirei todos os $, e coloquei valores numéricos...
outra questão minha rede falsa pode ser assim :

Código: Selecionar todos

define_class_sfq "1:1" "1:80" 40 40 40 40 172.10.200.0/24 #REDEFALSA

Desde já agradeço a imensa ajuda...bom Domingo à Todos.

[Paulo2]

Amigos bom dia,
Atualmente minha classe de QOS está assim:

Código: Selecionar todos

# Coyote Classes configuration file
################################################
#  rootid    - id of parent class, root classes have parent id 1:1
#  clsid     - id of class, use class id between 10-90
#  down_rate - minimal guaranteed downstream rate (kbit)
#  down_ceil - maximum downstream rate (kbit)
#  up_rate   - minimal quaranteed upstream rate (kbit)
#  up_ceil   - maximum upstream  rate (kbit)
#  matchip   - class filter ip specification
#
# Supported classes types:
#   define_class rootid clsid down_rate down_ceil up_rate up_ceil matchip
#   define_class_sfq rootid clsid down_rate down_ceil up_rate up_ceil matchip
#   define_class_qos rootid clsid down_rate down_ceil up_rate up_ceil matchip
################################################

define_class_qos "1:1" "1:10" $COMP_DOWN $CLEAR_DOWNSTREAM $COMP_UP $CLEAR_UPSTREAM 192.168.0.10 #Example - With Filters
define_class_sfq "1:1" "1:11" $COMP_DOWN $CLEAR_DOWNSTREAM $COMP_UP $CLEAR_UPSTREAM 192.168.0.11 #Exemple - Without Filters
define_class_sfq "1:1" "1:15" 5 10 5 10 192.168.0.12 #Example - 5 Kbits Up/Down - Max 10 Kbits
define_class_sfq "1:1" "1:16" 5 5 5 5 192.168.0.13 #Exemple - 5 Kits Up/Down - Max 5 Kbits

ou seja original desde a instalação do BFW 2.32.2
Paulo2 , mais uma vez obrigado pela ajuda, lí o tutorila de QOS que você postou, mas ainda não entendí bem...
considerando que minha rede tem 20 usuarios, seria correto colocar assim :

Código: Selecionar todos

define_class_sfq "1:1" "1:13" 500 1000 600 1000 10.12.03.2 #TABLETLEVI03
define_class_sfq "1:1" "1:14" 500 1000 600 1000 10.12.04.2 #LILIAN04
define_class_sfq "1:1" "1:15" 500 1000 600 1000 10.12.05.2 #NEIDE05
define_class_sfq "1:1" "1:16" 500 1000 600 1000 10.12.06.2 #BRANCA
define_class_sfq "1:1" "1:17" 500 1000 600 1000 10.12.07.2 #EBER07
define_class_sfq "1:1" "1:18" 500 1000 600 1000 10.12.08.2 #08
define_class_sfq "1:1" "1:19" 500 1000 600 1000 10.12.09.2 #MAURA09
define_class_sfq "1:1" "1:20" 500 1000 600 1000 10.12.10.2 #CLEUTO10
define_class_sfq "1:1" "1:21" 500 1000 600 1000 10.12.11.2 #CLAUDETE11
define_class_sfq "1:1" "1:22" 500 1000 600 1000 10.12.12.2 #CLAUDETE12
define_class_sfq "1:1" "1:23" 500 1000 600 1000 10.12.13.2 #SHEILA13
define_class_sfq "1:1" "1:24" 500 1000 600 1000 10.12.14.2 #14
define_class_sfq "1:1" "1:25" 500 1000 600 1000 10.12.15.2 #ELAINE15
define_class_sfq "1:1" "1:26" 500 1000 600 1000 10.12.16.2 #NEYADM16
define_class_sfq "1:1" "1:27" 500 1000 600 1000 10.12.17.2 #SUZYCEL17
define_class_sfq "1:1" "1:28" 500 1000 600 1000 10.12.18.2 #KARINECEL18
define_class_sfq "1:1" "1:29" 500 1000 600 1000 10.12.19.2 #KARINEWIFI19
define_class_sfq "1:1" "1:30" 500 1000 600 1000 10.12.20.2 #EUZEBIONOTE20


O problema disso é que vc usa o QOS baseado nas subredes, então a configuração do QOS deve ser feita na página das subredes.
Não sei qual o resultado de fazer essa configuração pelas classes do QOS.

Paulo2, só pra esclarecer, a rede dos "Intrusos" está com "n" no QOS, conforme o tutorial que o amigo daniel.uramg postou em
http://www.brazilfw.com.br/forum/viewtopic.php?f=64&t=71163

vc tem total razão lendo melhor o tópico, a rede intrusos não passa no QOS,
mas também não consegue conexão com a internet. Os intrusos recebem ip daquela subrede e conseguem
acesso ao servidor web do EC, assim vc pode mostrar uma página com informações sobre o teu provedor.

Por isso que a subrede aparece com o QOS no máximo, apesar de não ser controlada.
Aqui no meu webadmin a subrede aparece com QOS ilimitado,
mas isso não importa pois os ips dessa subrede não acessam a internet.
Yes 80 172.10.200.254 24 Yes No Ilimitado Ilimitado Ilimitado Ilimitado LAN1 0 intrusos

Vc fez a configuração de acordo com esse passo a passo do Danilel?
http://www.brazilfw.com.br/forum/viewtopic.php?f=64&t=71163#p191349
já que vc usa o EC, pode fazer o esquema de mostrar uma página para os intrusos.


Talvez o que esteja acontecendo é o uso daqueles ips extras da rede principal do BFW, de 192.168.0.3 até 254.
Como vc diminuiu a rede para apenas um ip vago 192.168.0.2 , esses ips não podem mais ser usados.
Amarre esse ip no teu mac, assim ninguém mais recebe.

[ney]

Agreço aos amigos do BFW e em especial ao Paulo2, suas dicas e orientações foram de imensa ajuda irmão...tenho certeza que com essas mudanças minha rede ficou bem mais segura...
ainda não tenho certeza se os problemas acabaram,isso só o tempo e os testes que iniciarei é que vão me dizer...vou dar o tópico por encerrado, agradecendo à Deus e aos amigos do forum por toda ajuda...
Abraços em todos e que Deus possa continuar nos abençoando...