блокирование dhcp серверов из сети провайдера
18 views
Skip to first unread message
Владимир Скубриев
Mar 11, 2013, 1:28:45 PM3/11/13
to debian-...@lists.debian.org
Добрый день.
Столкнулся с проблемой при работе мобильных устройств в локальной сети,
которые получают настройки по DHCP.
Подключение к Интернет через pppoe (ppp0) через eth1. Интерфейс ppp0
получает настройки от DHCP сервера провайдера.
Клиенты подключающиеся к локальной сети по wifi посылая запрос
*DHCPDISCOVER *получают ответы
*DHCPOFFER*не только от DHCP расположенного на шлюзе и обслуживающего
внутреннюю подсеть 192.168.0.0, но и от серверов из дургих подсетей
например 10.2.2.0, 172.16.0.0.
Трассировка маршрута говорит, что они находятся за шлюзом провайдера (ip
шлюза взял из настроек ppp0)
Сегодня целый день пытался написать правило, чтобы отсечь DHCP сервер за
шлюзом провайдера, но увы без это не привело меня к решению проблемы.
Проблема обостряется(усложняется) еще следующими факторами:
1. Шлюз и DHCP сервер - это одна и та же машина.
2. Шлюз настраивает ppp0 через DHCP провайдера - так бы и хотелось пока
оставить.
3. На внутреннем интерфейсе eth0 работает местный DHPCD обслуживающий
локальную сеть.
4. На шлюзе работает NAT да и к тому же и правила iptables писал не я. У
меня есть доступ только к iptables-save и root доступ. Посмотреть какие
правила добавляются я могу, но вот списочек там конечно не маленький. Их
просили не трогать, а добавить блокирующие правила исключительно для
решения насущной проблемы.
5. Правил iptables очень много, доступа к интерфейсу настроки firewall я
не имею.
Сегодня я перепробывал много различных правил, но пока не смог добиться
хоть какой нибудь блокировки внешних DHCP серверов, ответов от них,
запросов к ним и т.д.
Единственное, что мне понятно, так это то, что мне надо:
1. Блокировать широковещательные запросы от тех, кто за eth0 (local area
network), т.е. запросы к 255.255.255.255 от 0.0.0.0 (tcpdump'ом смотрел
какие ip фигурируют в процессе и порты) к порту 67.
Но опять же не локальному т.е.
! --destination 192.168.0.5 --dport 67
192.168.0.5 - внутрений ip шлюза.
2. Блокировать ответы DHCP серверов (широковещательные ?), точнее
наверное их пересылки через шлюз во внутреннюю сеть.
3. Не блокировать внутренний dhcpd. Но поидее ведь его через iptables не
заблокируешь, т.к. он работает минуя его. см: dhcpd uses the raw socket,
bypassing netfilter.Я правильно понимаю ?
Может как то по другому правильно? Но мне хотя бы так пока.
Если бы это были мои самописные скрипты(/etc/init.d/fw) у меня бы не
возникло вопросов. Но тут самописная gui для правил используется которая
очень замороченная. Да и к тому же строго велено в не чего не менять,
т.к. очень много клиентов и компов завязаны на сервер. Очень много
разрешающих в ней правил, которые я не хочу трогать: "мне бы drop в
самом начале прописать, через iptables -I INPUT 1 ... или iptables -I
FORWARD 1 ...".
Сегодня я проверял кучу правил, но как об стенку горох.
Есть предположение, что проблема в NAT, который может работать до FILTER
и правила для FILTER нужно просчитывать исходя из правил из NAT,
PREROUTING и может POSTROUTING.
Есть также предположение, что пакеты средствами iptables тут не
обойтись, хотя то ведь в DHCP все просто 68 порт клиента, 67 порт
сервера, протокол UDP - пиши не хочу.
Прошу помочь уважаемое сообщество.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513E144D...@skubriev.ru
Столкнулся с проблемой при работе мобильных устройств в локальной сети,
которые получают настройки по DHCP.
Подключение к Интернет через pppoe (ppp0) через eth1. Интерфейс ppp0
получает настройки от DHCP сервера провайдера.
Клиенты подключающиеся к локальной сети по wifi посылая запрос
*DHCPDISCOVER *получают ответы
*DHCPOFFER*не только от DHCP расположенного на шлюзе и обслуживающего
внутреннюю подсеть 192.168.0.0, но и от серверов из дургих подсетей
например 10.2.2.0, 172.16.0.0.
Трассировка маршрута говорит, что они находятся за шлюзом провайдера (ip
шлюза взял из настроек ppp0)
Сегодня целый день пытался написать правило, чтобы отсечь DHCP сервер за
шлюзом провайдера, но увы без это не привело меня к решению проблемы.
Проблема обостряется(усложняется) еще следующими факторами:
1. Шлюз и DHCP сервер - это одна и та же машина.
2. Шлюз настраивает ppp0 через DHCP провайдера - так бы и хотелось пока
оставить.
3. На внутреннем интерфейсе eth0 работает местный DHPCD обслуживающий
локальную сеть.
4. На шлюзе работает NAT да и к тому же и правила iptables писал не я. У
меня есть доступ только к iptables-save и root доступ. Посмотреть какие
правила добавляются я могу, но вот списочек там конечно не маленький. Их
просили не трогать, а добавить блокирующие правила исключительно для
решения насущной проблемы.
5. Правил iptables очень много, доступа к интерфейсу настроки firewall я
не имею.
Сегодня я перепробывал много различных правил, но пока не смог добиться
хоть какой нибудь блокировки внешних DHCP серверов, ответов от них,
запросов к ним и т.д.
Единственное, что мне понятно, так это то, что мне надо:
1. Блокировать широковещательные запросы от тех, кто за eth0 (local area
network), т.е. запросы к 255.255.255.255 от 0.0.0.0 (tcpdump'ом смотрел
какие ip фигурируют в процессе и порты) к порту 67.
Но опять же не локальному т.е.
! --destination 192.168.0.5 --dport 67
192.168.0.5 - внутрений ip шлюза.
2. Блокировать ответы DHCP серверов (широковещательные ?), точнее
наверное их пересылки через шлюз во внутреннюю сеть.
3. Не блокировать внутренний dhcpd. Но поидее ведь его через iptables не
заблокируешь, т.к. он работает минуя его. см: dhcpd uses the raw socket,
bypassing netfilter.Я правильно понимаю ?
Может как то по другому правильно? Но мне хотя бы так пока.
Если бы это были мои самописные скрипты(/etc/init.d/fw) у меня бы не
возникло вопросов. Но тут самописная gui для правил используется которая
очень замороченная. Да и к тому же строго велено в не чего не менять,
т.к. очень много клиентов и компов завязаны на сервер. Очень много
разрешающих в ней правил, которые я не хочу трогать: "мне бы drop в
самом начале прописать, через iptables -I INPUT 1 ... или iptables -I
FORWARD 1 ...".
Сегодня я проверял кучу правил, но как об стенку горох.
Есть предположение, что проблема в NAT, который может работать до FILTER
и правила для FILTER нужно просчитывать исходя из правил из NAT,
PREROUTING и может POSTROUTING.
Есть также предположение, что пакеты средствами iptables тут не
обойтись, хотя то ведь в DHCP все просто 68 порт клиента, 67 порт
сервера, протокол UDP - пиши не хочу.
Прошу помочь уважаемое сообщество.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513E144D...@skubriev.ru
Mikhail A Antonov
Mar 11, 2013, 2:32:56 PM3/11/13
to debian-...@lists.debian.org
11.03.2013 21:28, Владимир Скубриев пишет:
> Добрый день.
>
> Столкнулся с проблемой при работе мобильных устройств в локальной
> сети, которые получают настройки по DHCP.
>
<....>
1. ppp не использует dhcp. Там ppp-сервер выдаёт адреса.
2. бродкасты (коими являются dhcp-запросы) не маршрутизируются.
Единственный вариант - бриджевание интерфейсов.
Через eth1 у тебя идёт только ppp до сервера? Я надеюсь у тебя там нет
бриджа с eth0?
dhcp-сервер у тебя точно _сервер_? Нет ли там dhcp-relay?
Покажи:
iptables-save (если там реально дофига - можешь в gz пожать)
ip a l
brctl show
> Добрый день.
>
> Столкнулся с проблемой при работе мобильных устройств в локальной
> сети, которые получают настройки по DHCP.
>
1. ppp не использует dhcp. Там ppp-сервер выдаёт адреса.
2. бродкасты (коими являются dhcp-запросы) не маршрутизируются.
Единственный вариант - бриджевание интерфейсов.
Через eth1 у тебя идёт только ppp до сервера? Я надеюсь у тебя там нет
бриджа с eth0?
dhcp-сервер у тебя точно _сервер_? Нет ли там dhcp-relay?
Покажи:
iptables-save (если там реально дофига - можешь в gz пожать)
ip a l
brctl show
--
Best regards,
Mikhail
-
WWW: http://www.antmix.pp.ru/
XMPP: ant...@stopicq.ru
Скубриев Владимир
Mar 12, 2013, 1:53:17 AM3/12/13
to debian-...@lists.debian.org
11.03.2013, 22:33, "Mikhail A Antonov" <ba...@solarnet.ru>:
> 1. ppp О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ dhcp. О©╫О©╫О©╫ ppp-О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫
> 2. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ (О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ dhcp-О©╫О©╫О©╫О©╫О©╫О©╫О©╫) О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ - О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫ eth1 О©╫ О©╫О©╫О©╫О©╫ О©╫дёО©╫ О©╫О©╫О©╫О©╫О©╫О©╫ ppp О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫? О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ eth0?
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫
> dhcp-О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ _О©╫О©╫О©╫О©╫О©╫О©╫_? О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ dhcp-relay?
О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ dhcpd.conf О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ "dhcpd relay" О©╫О©╫О©╫О©╫О©╫ - О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫
/home/srvadm/sbin# aptitude show dhcp3-relay
Package: dhcp3-relay
New: yes
State: not installed
О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ dhcpd - О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫ О©╫О©╫О©╫
> О©╫О©╫О©╫О©╫О©╫О©╫:
> iptables-save (О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ - О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ gz О©╫О©╫О©╫О©╫О©╫О©╫)
> ip a l
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether f4:6d:04:3c:72:90 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.5/24 brd 192.168.0.255 scope global eth0
inet6 fe80::f66d:4ff:fe3c:7290/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:21:91:ef:88:cf brd ff:ff:ff:ff:ff:ff
inet6 fe80::221:91ff:feef:88cf/64 scope link
valid_lft forever preferred_lft forever
5: virbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
link/ether 8a:60:9e:c5:49:a8 brd ff:ff:ff:ff:ff:ff
inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
inet6 fe80::8860:9eff:fec5:49a8/64 scope link
valid_lft forever preferred_lft forever
7: tap1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/ether 7a:e0:3a:35:0e:3d brd ff:ff:ff:ff:ff:ff
inet 192.168.160.1/24 brd 192.168.160.255 scope global tap1
inet6 fe80::78e0:3aff:fe35:e3d/64 scope link
valid_lft forever preferred_lft forever
8: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/ether a6:49:f5:91:d2:91 brd ff:ff:ff:ff:ff:ff
inet 10.202.1.141/20 brd 10.202.15.255 scope global tap0
inet6 fe80::a449:f5ff:fe91:d291/64 scope link
valid_lft forever preferred_lft forever
1066: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
link/ppp
inet 85.52.196.228 peer 80.68.8.17/32 scope global ppp0
> brctl show
/home/srvadm/sbin# brctl show
bridge name bridge id STP enabled interfaces
virbr0 8000.000000000000 yes
О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ brctl О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ ?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/5550213...@web15f.yandex.ru
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Скубриев Владимир
Mar 12, 2013, 4:25:03 AM3/12/13
to debian-...@lists.debian.org
О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫
tshark -i ppp0 port 67 or port 68
О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
tshark -i eth0 port 67 or port 68
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
0.002368 192.168.0.5 -> 192.168.0.62 DHCP DHCP ACK - Transaction ID 0xecb75e3f
4.732998 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request - Transaction ID 0x87ba5a81
4.750155 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
4.766011 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
4.773167 192.168.0.5 -> 192.168.0.173 DHCP DHCP ACK - Transaction ID 0x87ba5a81
4.934345 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0x87ba5a82
4.934653 192.168.0.5 -> 192.168.0.173 DHCP DHCP Offer - Transaction ID 0x87ba5a82
5.964758 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request - Transaction ID 0x87ba5a82
5.970703 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a82
5.970760 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a82
5.997087 192.168.0.5 -> 192.168.0.173 DHCP DHCP ACK - Transaction ID 0x87ba5a82
7.427253 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xd0cb55e3
7.663504 192.168.0.5 -> 192.168.0.183 DHCP DHCP Offer - Transaction ID 0xd0cb55e3
7.756495 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request - Transaction ID 0xd0cb55e3
7.762104 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0xd0cb55e3
7.762177 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0xd0cb55e3
7.829244 192.168.0.5 -> 192.168.0.183 DHCP DHCP ACK - Transaction ID 0xd0cb55e3
67.979901 192.168.0.22 -> 192.168.0.5 DHCP DHCP Request - Transaction ID 0x9554d248
67.981642 192.168.0.5 -> 192.168.0.22 DHCP DHCP ACK - Transaction ID 0x9554d248
192.168.0.5 - О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫.О©╫. О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ INPUT О©╫ OUTPUT, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ /tmp/iptables-saved О©╫О©╫О©╫О©╫О©╫О©╫О©╫ FORWARD.
О©╫.О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫
iptables -A FORWARD -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j DROP
iptables -A FORWARD -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j DROP
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ - О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫.О©╫. О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ FORWARD
...
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j idrop
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 3 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 4 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 11 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 12 -m state --state NEW -j ACCEPT
-A INPUT -j idrop
О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫
-A FORWARD -m state --state INVALID -j fdrop
...
О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ 10.0.2.52 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ ppp0 О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ ppp О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
1. tcpdump О©╫ tshark О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ iptables О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ iptables О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ filter tcpdump О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫/О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ ?
О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ ?
2. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ FORWARD О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ filter О©╫О©╫О©╫О©╫О©╫О©╫О©╫ FORWARD ?
О©╫О©╫О©╫О©╫ tcpdump О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ - О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫ ?
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ -j LOG ? О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ eth0 О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ ?
О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫ О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ ?
3. О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫
4.750155 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
4.766011 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ 10.0.2.52 О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ ?
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Peter Teslenko
Mar 12, 2013, 4:33:08 AM3/12/13
to Debian-russian
Покажите-ка вот это
iptables -t filter -L -n -v --line-numbers
iptables -t nat -L -n -v --line-numbers
iptables -t mangle -L -n -v --line-numbers
iptables -t mangle -L -n -v --line-numbers
И какой интерфейс слушает dhcpd, если у вас isc-dhcp-server, то что прописано в /etc/default/
--
Peter Teslenko
skype: smartchecker
alexander barakin
Mar 12, 2013, 6:20:35 AM3/12/13
to debian-...@lists.debian.org
On Mon, Mar 11, 2013 at 09:28:45PM +0400, Владимир Скубриев wrote:
> Прошу помочь уважаемое сообщество.
на шлюзе:
$ tail /proc/sys/net/*/conf/*/proxy_arp
?
--
wbr, alexander barakin aka sash-kan.
--
i will be very thankful to you if you will use natural for the human order:
first question, then the answer.
> Прошу помочь уважаемое сообщество.
на шлюзе:
$ tail /proc/sys/net/*/conf/*/proxy_arp
?
--
wbr, alexander barakin aka sash-kan.
--
i will be very thankful to you if you will use natural for the human order:
first question, then the answer.
Владимир Скубриев
Mar 12, 2013, 7:58:09 AM3/12/13
to debian-...@lists.debian.org
12.03.2013 14:20, alexander barakin пишет:
В Основной коммутатор подключили (по не знанию) нового провайдера
Интернет в здании.
Соответственно отсюда и проблема.
Всем спасибо большое за помощь.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: http://lists.debian.org/513F1851...@skubriev.ru
> On Mon, Mar 11, 2013 at 09:28:45PM +0400, Владимир Скубриев wrote:
>> Прошу помочь уважаемое сообщество.
> на шлюзе:
> $ tail /proc/sys/net/*/conf/*/proxy_arp
> ?
>
Все оказалось гораздо проще чем можно себе представить.
>> Прошу помочь уважаемое сообщество.
> на шлюзе:
> $ tail /proc/sys/net/*/conf/*/proxy_arp
> ?
>
В Основной коммутатор подключили (по не знанию) нового провайдера
Интернет в здании.
Соответственно отсюда и проблема.
Всем спасибо большое за помощь.
--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор
Скубриев Владимир
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Россия, Ростовская область, г. Таганрог
тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru
--
To UNSUBSCRIBE, email to debian-russ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Reply all
Reply to author
Forward
0 new messages