tranger

Каким-то непонятным образом начало работать. Отвлёкся по другим делам, через несколько часов решил продолжить, а всё работает...

Зачем тогда придумали арп таблицу со статическими адресами?

Опишу всё ещё раз: В sysctl.conf пишу: net.ipv4.conf.all.arp_ignore = 1 net.ipv4.conf.all.arp_announce = 2 sysctl -p arp -s 1.2.3.4 04:D1:69:8D:35:FF -i vlan100 Если я воткну в сеть ноут с маком 00:24:54:ca:b0:ba и пропишу ip 1.2.3.4, я не должен иметь доступ к сети, пока мой мак не будет таким как я прописывал в arp. Но нифига подобного, на ноуте есть внешка. Причём в арп таблице мак ноута 00:24:54:ca:b0:ba не появляется. tcpdump выдаёт такую картину: 05:C9:55:1E:86:FE > 04:D1:69:8D:35:FF 00:24:54:ca:b0:ba > 05:C9:55:1E:86:FE 05:C9:55:1E:86:FE - это роутер 04:D1:69:8D:35:FF - это мак, который я прописал в arp 00:24:54:ca:b0:ba - это ноут Получается пакет с роутера летит на прописанный МАК, доходит до ноута с другим МАКом, а потом следует ответ с МАКа ноута на МАК роутера.

Обмен трафика со внешкой происходит так: 05:C9:55:1E:86:FE > 04:D1:69:8D:35:FF 00:24:54:ca:b0:ba > 05:C9:55:1E:86:FE Роутер шлёт пакет на статический MAC, который я прописал в arp. Каким-то образом пакет долетает до тестового устройства и ответ следует уже от МАКа самого тестового устройства Почему пакет уходит на 04:D1:69:8D:35:FF, а реально приходит на 00:24:54:ca:b0:ba?

На тестовом сервере всё отлично работает, на тестовом устройстве 100% потерь. Не могу понять в чём же дело... Ребут не помог :-) Вот ещё раз tcpdump: 1.2.3.1 - наш роутер1.2.3.4 - наш IP 04:D1:69:8D:35:FF - прописанный мак в арп (arp -s 1.2.3.4 04:D1:69:8D:35:FF -i vlan100)05:C9:55:1E:86:FE - мак роутера 00:24:54:ca:b0:ba - мак тестового устройства 08:27:36.184409 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:36.184422 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:36.258096 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:37.256555 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:38.255076 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:39.253271 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 1.2.3.4, length 46 08:27:39.762783 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:39.762795 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:40.372230 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:40.372242 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.372671 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.372683 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.936064 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.936076 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:43.047876 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:43.047889 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:36.184409 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:36.184422 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:36.258096 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:37.256555 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:38.255076 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 0.0.0.0, length 46 08:27:39.253271 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.4 tell 1.2.3.4, length 46 08:27:39.762783 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:39.762795 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:40.372230 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:40.372242 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.372671 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.372683 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:42.936064 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:42.936076 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28 08:27:43.047876 00:24:54:ca:b0:ba > Broadcast, ethertype ARP (0x0806), length 60: Request who-has 1.2.3.1 tell 1.2.3.4, length 46 08:27:43.047889 05:C9:55:1E:86:FE > 00:24:54:ca:b0:ba, ethertype ARP (0x0806), length 42: Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE, length 28

Хочу чтобы при подмене IP-адреса у абонента не было доступа к сети, так как на роутере был указан статический MAC-адрес

В таблицу запись становится: 1.2.3.4 ether 04:d1:69:8d:35:ff CM vlan100 Трафик летит точно с указанного IP-адреса. Как втыкаю кабель в тестовое устройство, tcpdump показывает то что я выше опубликовал, дальше летит трафик во внешку И ещё когда тестовое устройство втыкаю с прописанным IP-адресом, в arp таблице я не вижу МАКа этого устройства. Арп таблица показывает прописанный руками мак. Я уже со всеми параметрами игрался arp_ignore, arp_announce, rp_filter - нифига не помогает Поэтому и написал на форум, может кто-то с подобным встречался. Точно могу сказать, что год назад всё работало. Но за этот год никаких изменений не делали (кроме обновления пакетов yum update). У сервера аптайм 558 дней. Хрен знает, может ребутнуть его :-) (Ребутнуть смогу только ночью, много абонентов работает...)

1.2.3.1 - наш роутер 1.2.3.4 - наш IP 05:C9:55:1E:86:FE - мак роутера 14:19:16.660585 ARP, Request who-has 1.2.3.4 tell 0.0.0.0, length 46 14:19:16.905173 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:16.905198 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:17.658867 ARP, Request who-has 1.2.3.4 tell 0.0.0.0, length 46 14:19:18.657202 ARP, Request who-has 1.2.3.4 tell 0.0.0.0, length 46 14:19:19.655526 ARP, Request who-has 1.2.3.4 tell 1.2.3.4, length 46 14:19:19.808556 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:19.808574 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:20.373830 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:20.373860 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:22.515048 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:22.515063 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:22.560357 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:22.560372 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:23.129135 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:23.129156 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:23.424724 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:23.424744 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28 14:19:27.209361 ARP, Request who-has 1.2.3.1 tell 1.2.3.4, length 46 14:19:27.209379 ARP, Reply 1.2.3.1 is-at 05:C9:55:1E:86:FE (oui Unknown), length 28

Имеется роутер на Centos7 Прописываю: arp -s 1.2.3.4 04:D1:69:8D:35:FF -i vlan100 В sysctl.conf: net.ipv4.conf.all.arp_ignore = 1 net.ipv4.conf.all.arp_announce = 2 На тестовом устройстве с другим MAC-адресом указываю ip-адрес 1.2.3.4. Получаю доступ к сети. Почему так происходит, я ведь указал статический mac? Почему я с другого мака получаю доступ?

То что подход неправильный - это понятно. Самое идеальное решение, как многие написали, ограничить доступ со стороны сервера. Но к сожалению возможности такой нет и не появится. Решил задачу проксированием. Спасибо всем за ответы.

На самом сервере авторизацию сделать нельзя, сервер не мой, доступа нет

Есть удалённый ТВ сервер. Нужно ограничить пользователей. 1 абонент должен смотреть не больше 1 канала одновременно.

Всем привет! Имеется роутер на centos7 eth0.100 - мир eth0.200 - локалка Клиенты получают белые ip-адреса допустим из диапазона 1.1.1.0/24 На роутере настроена маршрутизация (ната нет) Есть удалённый хост 2.2.2.2 (находится во внешке) Задача: каждый пользователь из подсети 1.1.1.0/24 должен иметь не более 1 соединения с удалённым хостом 2.2.2.2. То есть если кол-во соединений клиента 1.1.1.5 с хостом 2.2.2.2 превышает 1, то пакеты дропаются. Как можно это реализовать? Нужно увязать с ipset. Экспериментировал, делал: iptables -A FORWARD -i eth0.100 -m connlimit --connlimit-above 1 -m set --match-set ipaddr src,dst -j DROP и много разных вариантов перепробовал. Подскажите, как решить задачу?

Есть шейпер с хеш таблицами, требуется сделать приоритезацию трафика. Так шейпится 500 абонентов без приоритезации (при одновременно скачивании с торрента и веб сервера скорость делится 5/95, торрент съедает всё): /sbin/tc qdisc del dev ifb0 root /sbin/tc qdisc add dev ifb0 root handle 1: htb /sbin/tc class add dev ifb0 parent 1: classid 1:1 htb rate 400Mbit ceil 400Mbit /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 /sbin/tc filter add dev ifb0 parent 1:0 handle 2: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 3: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 4: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 801:: match ip dst 0.0.0.0/0 hashkey mask 0xff000000 at 16 link 2: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 2:c0: match ip dst 192.0.0.0/8 hashkey mask 0xff0000 at 16 link 3: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 3:a8: match ip dst 192.168.0.0/16 hashkey mask 0xff00 at 16 link 4: /sbin/tc filter add dev ifb0 parent 1:0 handle 8: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 4:23: match ip dst 192.168.35.0/24 hashkey mask 0xff at 16 link 8: # /sbin/tc class add dev ifb0 parent 1:1 classid 1:293 htb rate 1kbit ceil 10240kbit /sbin/tc qdisc add dev ifb0 parent 1:293 handle 293: sfq /sbin/tc filter add dev ifb0 parent 1:0 handle ::8 protocol ip prio 1 u32 ht 8:2: match ip dst 192.168.35.2/32 flowid 1:293 Для приоритезации создаю дисциплины и подклассы для каждого типа трафика (для начала для http и остального трафика): /sbin/tc qdisc del dev ifb0 root /sbin/tc qdisc add dev ifb0 root handle 1: htb /sbin/tc class add dev ifb0 parent 1: classid 1:1 htb rate 400Mbit ceil 400Mbit /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 /sbin/tc filter add dev ifb0 parent 1:0 handle 2: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 3: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 handle 4: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 801:: match ip dst 0.0.0.0/0 hashkey mask 0xff000000 at 16 link 2: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 2:c0: match ip dst 192.0.0.0/8 hashkey mask 0xff0000 at 16 link 3: /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 3:a8: match ip dst 192.168.0.0/16 hashkey mask 0xff00 at 16 link 4: /sbin/tc filter add dev ifb0 parent 1:0 handle 8: protocol ip u32 divisor 256 /sbin/tc filter add dev ifb0 parent 1:0 protocol ip u32 ht 4:23: match ip dst 192.168.35.0/24 hashkey mask 0xff at 16 link 8: # /sbin/tc class add dev ifb0 parent 1:1 classid 1:293 htb rate 1kbit ceil 10240kbit # /sbin/tc class add dev ifb0 parent 1:293 classid 1:294 htb rate 1kbit ceil 10240kbit /sbin/tc qdisc add dev ifb0 parent 1:294 handle 294: sfq /sbin/tc filter add dev ifb0 parent 1:0 handle ::8 protocol ip prio 1 u32 ht 8:2: match ip dst 192.168.35.2/32 match ip protocol 6 0xff match ip sport 80 0xffff flowid 1:294 # /sbin/tc class add dev ifb0 parent 1:293 classid 1:295 htb rate 1kbit ceil 10240kbit /sbin/tc qdisc add dev ifb0 parent 1:295 handle 295: sfq /sbin/tc filter add dev ifb0 parent 1:0 handle ::8 protocol ip prio 2 u32 ht 8:2: match ip dst 192.168.35.2/32 flowid 1:295 Качаю файлы одновременно с торрента и веб сервера, получаю разделение канала примерно 75/25, а не 50/50 как хотелось. 75% скорости забирает http трафик. Пролистал кучу форумов, везде так же реализуют, но всё работает. Что я делаю не так?

Спасибо большое, всё работает.

Добрый день. Стоит Centos 7. Есть интерфейс eth0 с 253 белыми IP адресами: 1.1.1.2 - 1.1.1.254 Требуется с помощью iptables настроить редирект следующим образом: При подключении к 127.0.0.1:100 трафик должен пойти к 1.2.3.4:10001 через 1.1.1.2 При подключении к 127.0.0.1:101 трафик должен пойти к 1.2.3.4:10001 через 1.1.1.3 и т.д. Подскажите как это реализовать. Спасибо.

На dgs-3120-24SC 1G сфпшки отлично работают на 100мбитах. Сфпшки китайские: тко, slimca и ещё какие-то без названия. На dgs-3100 не работает, пишет: "a 1G-Fiber port and its speed can be configured only as 1G"

UP

m-k25be3.sor - рефлектограмма волокна из одной оболочки m-k25ch2.sor - из другой (что может быть на 1-7 сегментах в первых 700 метрах?) На рефлектограмме 1/3 сегмента. Уже на нём проходит максимум 20 мбит/сек. Общая длина кабеля около 6км. Кабель коммутируется в ящиках в 4х местах, и чем дальше находится активное железо - тем хреновее проходит трафик. 758 метров и 1945 метров - адаптеры LC-LC. (Какие допустимые потери на адаптерах?) Ещё хотелось бы добавить, что кабелю около 8 лет, гигабит пролазил, проблемы начались неделю назад.

Оболочка/оптический модуль

А да, такая фигня с сегментов 1-7 только в одной из групп. Файл с рефлектограммой скину в ближайшие 30 минут

Недавно приобрели рефлектометр, толком пользоваться не научились. Есть следующая проблема: Проложен 48 волоконный кабель длиной около 6км, кабелю лет 8 (в 4 местах стоят патч панели, кабель коммутируется через адаптеры). Запущен гигабит (одномод), скорость выше 20мбит не поднимается. Гигабит пролазил, проблемы начались неделю назад. В свитчах стоят ddm sfp модули, на разных волокнах вижу разный входящий сигнал: от 0.001mW до 0.12mW. Где сварки и стоят соединители вроде ясно, но вот есть сегмент (1-7), где непонятно что происходит. Визуально кабель целый. m-k25be3.sor m-k25ch2.sor На рефлектограмме 1/3 сегмента. Уже на нём проходит максимум 20мбит. Чем дальше расположена активная точка - тем хреновее проходит трафик. 758 метров и 1945 метров - адаптеры LC-LC (Какие допустимые потери на адаптерах?). Буду очень благодарен за разбор рефлектограммы.

Имеется 2 роутера в разных городах. У одного 2 внешних канала, у другого один. Требуется поднять 2 нешифрованных туннеля между этими двумя роутерами, чтоб при падении одного из 2х внешних каналов сразу же использовался второй. Что использовать? ospf? Какие туннели поднимать? (Роутеры на Linux)

Странно, на 250 абонентов максимум должен быть в районе 300 мегабит. Сетевухи поменяйте на интелы, конкретный чипсет не подскажу, лучше спросить здесь https://telegram.me/MikrotikRu. Смотря какие абоненты и тарифы, при 500 онлайне может быть не выше 200мбит (даже без шейпинга)

PC core i5 с centos 7. Сетевая карточка intel i350-2. Используйте ipset+iptables и шейпер с хэш таблицами. Должен не меньше 500мбит прожувать с 1к пппое и натом (без ната точно гиг прожует).