Jump to content
Калькуляторы

filter mac-address /mask

Reply to this topic

foxroot   

foxroot
Posted

добрый день

 

подскажите решение проблемы. DHCP сервер перестает выдавать адреса+  в логах   видно кучу не нужных запросов на получение ip

 в конфете DHCP есть настройка что выдавать только определенным mac-address  путем создания  class 

В /var/log/видно что сервер постоянно отбивается  от попыток получения IP  клиентов которым выдавать IP  не нжно

 например 

Если пакет соответсвует нужным макам  то сообщение типа
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 14:c0:89:10:82:9a (DUNE) via 172.16.108.1
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPOFFER on 172.16.109.244 to 14:c0:89:10:82:9a (DUNE) via 172.16.108.1
 
Если пакет приходит с ненужного мака то 
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 88:d7:f6:5f:06:3c via 172.16.114.1: network 172.16.114.0/24: no free leases
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:b9:41:f9 via 172.16.131.1: network 172.16.131.0/24: no free leases
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:d5:04:c9 via 172.16.131.1: network 172.16.131.0/24: no free leases
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from d8:50:e6:60:c5:94 via 172.16.83.1: network 172.16.83.0/24: no free leases
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 30:5a:3a:67:4d:14 via 172.16.144.1: network 172.16.144.0/24: no free leases
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:96:38:27 via 172.16.245.1: network 172.16.245.0/24: no free leases
Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from e8:37:7a:91:8b:cb via 172.16.159.1: network 172.16.159.0/24: no free leases
 
Таких записей в логах очень много в течении одной секунды.   файл лога за три дня весит около 4Гбайта
Так же в логах видно следующие
Oct 13 10:38:55 DHCP-IPTV rsyslogd-2177: imuxsock begins to drop messages from pid 13733 due to rate-limiting
Oct 13 10:38:58 DHCP-IPTV rsyslogd-2177: imuxsock lost 262 messages from pid 13733 due to rate-limiting
 
подскажите каким образом можно отфильтровать пакеты на сервере например iptables или ebtables?
 на нескольким коммутаторах сети написал фильтры на mac-address  с маской но не везде по сети могу написать.  нужно как то на сервер отфильтровать
можно как то на сервер Centos 6  пропита фильтры по mac-address   с маской?
 
 Если использовать ebtables  обязательно ли переконфигурировать сетевые интерфейсы в bridge?
 
 
 
 
 
 
 
 

Share this post

Link to post
Share on other sites

foxroot   

foxroot
Posted

 проблема в том что ACL  я не могу поставить везде есть switch которые не понимают ACL   по mac-address с маской. Нужно на серее

Share this post

Link to post
Share on other sites

myth   

myth
Posted

Совет - ограничивать работу iptv, не выдавая незаплатившим ip - отвратительная идея. Если же просто хочется подстраховаться, выдавая ip только своим приставкам, то достаточно навесить acl только на порту, куда воткнут сервер

 

3 часа назад, foxroot сказал:

Нужно на серее

Очень вредная мысль

Share this post

Link to post
Share on other sites

foxroot   

foxroot
Posted

В том  то и дело что не могу на switch.  Необхдимо именно забанить mac-address  по маске или разрешить по маске к примеру 1122:3300:0000/16  чтобы 1122:33  повторялось а другие  значения могли меняться.

 

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted

Я считал, что основная задача — не дать пользоваться услугой тем, кто за нее не заплатил.

IGMP Auth эту задачу решает оптимальным образом.

А DHCP-сервер пусть выдает адреса всем, не вижу смысла экономить на серых адресах.

Share this post

Link to post
Share on other sites

pppoetest   

pppoetest
Posted

Если надо именно через дхцп, что аж прям кушать не могешь, то юзай дхцп-серв от Ивана на перле, там можно выдавать что угодно, кому, как и когда угодно. Или не выдавать. Но логику работы ты опять же должен описать и написать сам.

Share this post

Link to post
Share on other sites

foxroot   

foxroot
Posted

проблема  не в том как фильтровать абонента а чтобы заблокировать не нужный спам на сетевой карте.  на сервере написан class  по примеру http://www.exonotes.com/node/55.

 

просто в  сети DHCР кучу устройств, которые просят айпи (клиентские роутеры )  которые работают по PPPoE . PPPoE виртуальное подключение а  на интерейсе  (физическом) по умолчанию установлено получить айпи и все эти роутеры  (тясячи) просят айпи  с даного сервера. Чтобы айпи хватало нужным клиентам был написан class который выдает айпи только нужным mac-address/  но роутеры продолжают долбить сервер.

 

как отфильтровать ненужные пакеты. атрибут фильтрации mac-address с маской.

Share this post

Link to post
Share on other sites

alibek   

alibek
Posted
15 минут назад, foxroot сказал:

как отфильтровать ненужные пакеты. атрибут фильтрации mac-address с маской.

Если их отфильтровать на сервере, они долбить не перестанут.

А начнут долбить еще активнее, так как не получили ответ и сделают повторный запрос.

Нужно либо фильтровать прямо на доступе, либо не фильтровать вообще, а выдавать адреса всем.

Share this post

Link to post
Share on other sites

foxroot   

foxroot
Posted

спасибо всем за ответы и помощь. Пока просто прописал новый пул с серыми адресами с 14 маской чтобы всем раздать адреса ненужные

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Программное обеспечение, биллинг и *unix системы