tranger

Каким-то непонятным образом начало работать. Отвлёкся по другим делам, через несколько часов решил продолжить, а всё работает...

Зачем тогда придумали арп таблицу со статическими адресами?

Опишу всё ещё раз: В sysctl.conf пишу: net.ipv4.conf.all.arp_ignore = 1 net.ipv4.conf.all.arp_announce = 2 sysctl -p arp -s 1.2.3.4 04:D1:69:8D:35:FF -i vlan100 Если я воткну в сеть ноут с маком 00:24:54:ca:b0:ba и пропишу ip 1.2.3.4, я не должен иметь доступ к сети, пока мой мак не будет таким как я прописывал в arp. Но нифига подобного, на ноуте есть внешка. Причём в арп таблице мак ноута 00:24:54:ca:b0:ba не появляется. tcpdump выдаёт такую картину: 05:C9:55:1E:86:FE > 04:D1:69:8D:35:FF 00:24:54:ca:b0:ba > 05:C9:55:1E:86:FE 05:C9:55:1E:86:FE - это роутер 04:D1:69:8D:35:FF - это мак, который я прописал в arp 00:24:54:ca:b0:ba - это ноут Получается пакет с роутера летит на прописанный МАК, доходит до ноута с другим МАКом, а потом следует ответ с МАКа ноута на МАК роутера.

Обмен трафика со внешкой происходит так: 05:C9:55:1E:86:FE > 04:D1:69:8D:35:FF 00:24:54:ca:b0:ba > 05:C9:55:1E:86:FE Роутер шлёт пакет на статический MAC, который я прописал в arp. Каким-то образом пакет долетает до тестового устройства и ответ следует уже от МАКа самого тестового устройства Почему пакет уходит на 04:D1:69:8D:35:FF, а реально приходит на 00:24:54:ca:b0:ba?

На тестовом сервере всё отлично работает, на тестовом устройстве 100% потерь. Не могу понять в чём же дело... Ребут не помог :-) Вот ещё раз tcpdump: 1.2.3.1 - наш роутер1.2.3.4 - наш IP 04:D1:69:8D:35:FF - прописанный мак в арп (arp -s 1.2.3.4 04:D1:69:8D:35:FF -i vlan100)05:C9:55:1E:86:FE - мак роутера 00:24:54:ca:b0:ba - мак тестового устройства 08:27:36.184409 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:36.184422 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:36.258096 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:37.256555 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:38.255076 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:39.253271 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 1.2.3.4, length 46 08:27:39.762783 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:39.762795 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:40.372230 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:40.372242 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.372671 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.372683 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.936064 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.936076 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:43.047876 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:43.047889 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:36.184409 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:36.184422 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:36.258096 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:37.256555 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:38.255076 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:39.253271 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 1.2.3.4, length 46 08:27:39.762783 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:39.762795 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:40.372230 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:40.372242 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.372671 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.372683 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.936064 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.936076 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:43.047876 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:43.047889 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28

Хочу чтобы при подмене IP-адреса у абонента не было доступа к сети, так как на роутере был указан статический MAC-адрес

В таблицу запись становится: 1.2.3.4 ether 04:d1:69:8d:35:ff CM vlan100 Трафик летит точно с указанного IP-адреса. Как втыкаю кабель в тестовое устройство, tcpdump показывает то что я выше опубликовал, дальше летит трафик во внешку И ещё когда тестовое устройство втыкаю с прописанным IP-адресом, в arp таблице я не вижу МАКа этого устройства. Арп таблица показывает прописанный руками мак. Я уже со всеми параметрами игрался arp_ignore, arp_announce, rp_filter - нифига не помогает Поэтому и написал на форум, может кто-то с подобным встречался. Точно могу сказать, что год назад всё работало. Но за этот год никаких изменений не делали (кроме обновления пакетов yum update). У сервера аптайм 558 дней. Хрен знает, может ребутнуть его :-) (Ребутнуть смогу только ночью, много абонентов работает...)

1.2.3.1 - наш роутер 1.2.3.4 - наш IP 05:C9:55:1E:86:FE - мак роутера 14:19:16.660585 ARP, Request who-has 1.2.3.4 tell 0.0.0.0, length 46 14:19:16.905173 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:16.905198 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:17.658867 ARP, Request who-has 1.2.3.4 tell 0.0.0.0, length 46 14:19:18.657202 ARP, Request who-has 1.2.3.4 tell 0.0.0.0, length 46 14:19:19.655526 ARP, Request who-has 1.2.3.4 tell 1.2.3.4, length 46 14:19:19.808556 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:19.808574 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:20.373830 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:20.373860 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:22.515048 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:22.515063 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:22.560357 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:22.560372 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:23.129135 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:23.129156 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:23.424724 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:23.424744 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:27.209361 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:27.209379 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28

Имеется роутер на Centos7 Прописываю: arp -s 1.2.3.4 04:D1:69:8D:35:FF -i vlan100 В sysctl.conf: net.ipv4.conf.all.arp_ignore = 1 net.ipv4.conf.all.arp_announce = 2 На тестовом устройстве с другим MAC-адресом указываю ip-адрес 1.2.3.4. Получаю доступ к сети. Почему так происходит, я ведь указал статический mac? Почему я с другого мака получаю доступ?

То что подход неправильный - это понятно. Самое идеальное решение, как многие написали, ограничить доступ со стороны сервера. Но к сожалению возможности такой нет и не появится. Решил задачу проксированием. Спасибо всем за ответы.

На самом сервере авторизацию сделать нельзя, сервер не мой, доступа нет

Есть удалённый ТВ сервер. Нужно ограничить пользователей. 1 абонент должен смотреть не больше 1 канала одновременно.

Всем привет! Имеется роутер на centos7 eth0.100 - мир eth0.200 - локалка Клиенты получают белые ip-адреса допустим из диапазона 1.1.1.0/24 На роутере настроена маршрутизация (ната нет) Есть удалённый хост 2.2.2.2 (находится во внешке) Задача: каждый пользователь из подсети 1.1.1.0/24 должен иметь не более 1 соединения с удалённым хостом 2.2.2.2. То есть если кол-во соединений клиента 1.1.1.5 с хостом 2.2.2.2 превышает 1, то пакеты дропаются. Как можно это реализовать? Нужно увязать с ipset. Экспериментировал, делал: iptables -A FORWARD -i eth0.100 -m connlimit --connlimit-above 1 -m set --match-set ipaddr src,dst -j DROP и много разных вариантов перепробовал. Подскажите, как решить задачу?

Есть шейпер с хеш таблицами, требуется сделать приоритезацию трафика. Так шейпится 500 абонентов без приоритезации (при одновременно скачивании с торрента и веб сервера скорость делится 5/95, торрент съедает всё): /sbin/tc qdisc del dev ifb0 root /sbin/tc qdisc add dev ifb0 root handle 1: htb /sbin/tc class add dev ifb0 parent 1: classid 1:1 htb rate 400Mbit ceil 400Mbit /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 /sbin/tc filter add dev ifb0 parent 1:0 handle 2: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 3: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 4: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 801:: match ip dst 0.0.0.0/0 hashkey mask 0xff000000 at 16 link 2: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 2:c0: match ip dst 192.0.0.0/8 hashkey mask 0xff0000 at 16 link 3: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 3:a8: match ip dst 192.168.0.0/16 hashkey mask 0xff00 at 16 link 4: /sbin/tc filter add dev ifb0 parent 1:0 handle 8: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 4:23: match ip dst 192.168.35.0/24 hashkey mask 0xff at 16 link 8: # /sbin/tc class add dev ifb0 parent 1:1 classid 1:293 htb rate 1kbit ceil 10240kbit /sbin/tc qdisc add dev ifb0 parent 1:293 handle 293: sfq /sbin/tc filter add dev ifb0 parent 1:0 handle ::8 protocol ip prio 1 u32 ht 8:2: match ip dst 192.168.35.2/32 flowid 1:293 Для приоритезации создаю дисциплины и подклассы для каждого типа трафика (для начала для http и остального трафика): /sbin/tc qdisc del dev ifb0 root /sbin/tc qdisc add dev ifb0 root handle 1: htb /sbin/tc class add dev ifb0 parent 1: classid 1:1 htb rate 400Mbit ceil 400Mbit /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 /sbin/tc filter add dev ifb0 parent 1:0 handle 2: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 3: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 4: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 801:: match ip dst 0.0.0.0/0 hashkey mask 0xff000000 at 16 link 2: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 2:c0: match ip dst 192.0.0.0/8 hashkey mask 0xff0000 at 16 link 3: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 3:a8: match ip dst 192.168.0.0/16 hashkey mask 0xff00 at 16 link 4: /sbin/tc filter add dev ifb0 parent 1:0 handle 8: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 4:23: match ip dst 192.168.35.0/24 hashkey mask 0xff at 16 link 8: # /sbin/tc class add dev ifb0 parent 1:1 classid 1:293 htb rate 1kbit ceil 10240kbit # /sbin/tc class add dev ifb0 parent 1:293 classid 1:294 htb rate 1kbit ceil 10240kbit /sbin/tc qdisc add dev ifb0 parent 1:294 handle 294: sfq /sbin/tc filter add dev ifb0 parent 1:0 handle ::8 protocol ip prio 1 u32 ht 8:2: match ip dst 192.168.35.2/32 match ip protocol 6 0xff match ip sport 80 0xffff flowid 1:294 # /sbin/tc class add dev ifb0 parent 1:293 classid 1:295 htb rate 1kbit ceil 10240kbit /sbin/tc qdisc add dev ifb0 parent 1:295 handle 295: sfq /sbin/tc filter add dev ifb0 parent 1:0 handle ::8 protocol ip prio 2 u32 ht 8:2: match ip dst 192.168.35.2/32 flowid 1:295 Качаю файлы одновременно с торрента и веб сервера, получаю разделение канала примерно 75/25, а не 50/50 как хотелось. 75% скорости забирает http трафик. Пролистал кучу форумов, везде так же реализуют, но всё работает. Что я делаю не так?

Спасибо большое, всё работает.