YuryD Опубликовано 22 апреля, 2015 · Жалоба Столкнулся с проблемой левого dhcp-сервера, на базе нарисовал тупой фильтр типа Bridge table: filter Bridge chain: FIREWALL, entries: 2, policy: ACCEPT -p IPv4 --ip-proto udp --ip-sport 67 -j DROP , pcnt = 202 -- bcnt = 66820 -p IPv4 --ip-proto udp --ip-sport 68 -j DROP , pcnt = 455 -- bcnt = 149404 Как видим, пакетики дропаются, но комп на езернете базы получает ip с клиента на радио, где собственно левый dhcp сервер и живёт. Что я забыл сделать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 22 апреля, 2015 · Жалоба Это на каком железе? Почему не указали интерфейс в правилах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 апреля, 2015 · Жалоба ' timestamp='1429714909' post='1117646']Это на каком железе? Почему не указали интерфейс в правилах? Rocket M5, прошивка 5.5.10. Интерфейс - any, там 5 бриджей соотв 10 интерфейсов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 23 апреля, 2015 · Жалоба Для теста лучше вам указать конкретные интерфейсы, а не any, а то пакеты попадают в счетчик, но вы не знаете даже какие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 23 апреля, 2015 · Жалоба Да всё работает как надо. Просто вин-клиент не отработал renew правильно, после перезагрузки клиента udp блочится как положено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 12 сентября, 2015 · Жалоба а не проще жмякнуть client isolation? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 февраля, 2016 · Жалоба А вот подниму тему. Какие acl для ubnt вы используете, для фильтрации паразитного траффика, кроме стандартных блоков dhcp, ms-net ну и левых сетей. Там как-то реально ограничивать количество tcp/udp коннектов можно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 18 февраля, 2016 · Жалоба повторюсь - client isolation решает. паразитные броадкасты перестают размножаться по всему сектору, левые dhcp перестают мешать. и ещё полезно зарезать исходящую скорость на клиентском устройстве. это поможет от невольных участников ddos-ботнетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...