Заблочить dhcp правильно

[YuryD]

Столкнулся с проблемой левого dhcp-сервера, на базе нарисовал тупой фильтр типа

 

Bridge table: filter

 

Bridge chain: FIREWALL, entries: 2, policy: ACCEPT

-p IPv4 --ip-proto udp --ip-sport 67 -j DROP , pcnt = 202 -- bcnt = 66820

-p IPv4 --ip-proto udp --ip-sport 68 -j DROP , pcnt = 455 -- bcnt = 149404

 

Как видим, пакетики дропаются, но комп на езернете базы получает ip с клиента на радио, где собственно левый dhcp сервер и живёт. Что я забыл сделать ?

[[anp/hsw]]

Это на каком железе?

Почему не указали интерфейс в правилах?

[YuryD]

' timestamp='1429714909' post='1117646']

Это на каком железе?

Почему не указали интерфейс в правилах?

Rocket M5, прошивка 5.5.10. Интерфейс - any, там 5 бриджей соотв 10 интерфейсов.

[[anp/hsw]]

Для теста лучше вам указать конкретные интерфейсы, а не any, а то пакеты попадают в счетчик, но вы не знаете даже какие.

[YuryD]

Да всё работает как надо. Просто вин-клиент не отработал renew правильно, после перезагрузки клиента udp блочится как положено.

[rdc]

а не проще жмякнуть client isolation?

[YuryD]

А вот подниму тему. Какие acl для ubnt вы используете, для фильтрации паразитного траффика, кроме стандартных блоков dhcp, ms-net ну и левых сетей. Там как-то реально ограничивать количество tcp/udp коннектов можно ?

[rdc]

повторюсь - client isolation решает.

паразитные броадкасты перестают размножаться по всему сектору, левые dhcp перестают мешать.

 

и ещё полезно зарезать исходящую скорость на клиентском устройстве. это поможет от невольных участников ddos-ботнетов.