foxroot Опубликовано 14 октября, 2017 · Жалоба добрый день подскажите решение проблемы. DHCP сервер перестает выдавать адреса+ в логах видно кучу не нужных запросов на получение ip в конфете DHCP есть настройка что выдавать только определенным mac-address путем создания class В /var/log/видно что сервер постоянно отбивается от попыток получения IP клиентов которым выдавать IP не нжно например Если пакет соответсвует нужным макам то сообщение типа Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 14:c0:89:10:82:9a (DUNE) via 172.16.108.1 Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPOFFER on 172.16.109.244 to 14:c0:89:10:82:9a (DUNE) via 172.16.108.1 Если пакет приходит с ненужного мака то Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 88:d7:f6:5f:06:3c via 172.16.114.1: network 172.16.114.0/24: no free leases Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:b9:41:f9 via 172.16.131.1: network 172.16.131.0/24: no free leases Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:d5:04:c9 via 172.16.131.1: network 172.16.131.0/24: no free leases Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from d8:50:e6:60:c5:94 via 172.16.83.1: network 172.16.83.0/24: no free leases Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 30:5a:3a:67:4d:14 via 172.16.144.1: network 172.16.144.0/24: no free leases Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:96:38:27 via 172.16.245.1: network 172.16.245.0/24: no free leases Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from e8:37:7a:91:8b:cb via 172.16.159.1: network 172.16.159.0/24: no free leases Таких записей в логах очень много в течении одной секунды. файл лога за три дня весит около 4Гбайта Так же в логах видно следующие Oct 13 10:38:55 DHCP-IPTV rsyslogd-2177: imuxsock begins to drop messages from pid 13733 due to rate-limiting Oct 13 10:38:58 DHCP-IPTV rsyslogd-2177: imuxsock lost 262 messages from pid 13733 due to rate-limiting подскажите каким образом можно отфильтровать пакеты на сервере например iptables или ebtables? на нескольким коммутаторах сети написал фильтры на mac-address с маской но не везде по сети могу написать. нужно как то на сервер отфильтровать можно как то на сервер Centos 6 пропита фильтры по mac-address с маской? Если использовать ebtables обязательно ли переконфигурировать сетевые интерфейсы в bridge? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 октября, 2017 · Жалоба acl на свитче решит проблему. И пересмотреть дизайн сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 14 октября, 2017 · Жалоба проблема в том что ACL я не могу поставить везде есть switch которые не понимают ACL по mac-address с маской. Нужно на серее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 октября, 2017 · Жалоба Совет - ограничивать работу iptv, не выдавая незаплатившим ip - отвратительная идея. Если же просто хочется подстраховаться, выдавая ip только своим приставкам, то достаточно навесить acl только на порту, куда воткнут сервер 3 часа назад, foxroot сказал: Нужно на серее Очень вредная мысль Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 14 октября, 2017 · Жалоба igmp/http auth в зависимости что вещается Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 октября, 2017 · Жалоба Отписать от ISM/MVR, выкинуть из влана можно и нужно по snmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 15 октября, 2017 · Жалоба Если есть исм/мвр, то кошернее авторизовывать радиусом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 октября, 2017 · Жалоба не во всех свитчах это есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 октября, 2017 · Жалоба Ебтаблесами не выйдет. В isc можно класс написать, который будет матчить часть мака. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 16 октября, 2017 · Жалоба В том то и дело что не могу на switch. Необхдимо именно забанить mac-address по маске или разрешить по маске к примеру 1122:3300:0000/16 чтобы 1122:33 повторялось а другие значения могли меняться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 16 октября, 2017 · Жалоба IGMP Auth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 16 октября, 2017 · Жалоба от того что я сделаю IGMP Auth ничего не измениться так как пакеты все равно будут попадать на сервер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 16 октября, 2017 · Жалоба Я считал, что основная задача — не дать пользоваться услугой тем, кто за нее не заплатил. IGMP Auth эту задачу решает оптимальным образом. А DHCP-сервер пусть выдает адреса всем, не вижу смысла экономить на серых адресах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 октября, 2017 · Жалоба Если надо именно через дхцп, что аж прям кушать не могешь, то юзай дхцп-серв от Ивана на перле, там можно выдавать что угодно, кому, как и когда угодно. Или не выдавать. Но логику работы ты опять же должен описать и написать сам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 октября, 2017 · Жалоба http://www.exonotes.com/node/55 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 16 октября, 2017 · Жалоба проблема не в том как фильтровать абонента а чтобы заблокировать не нужный спам на сетевой карте. на сервере написан class по примеру http://www.exonotes.com/node/55. просто в сети DHCР кучу устройств, которые просят айпи (клиентские роутеры ) которые работают по PPPoE . PPPoE виртуальное подключение а на интерейсе (физическом) по умолчанию установлено получить айпи и все эти роутеры (тясячи) просят айпи с даного сервера. Чтобы айпи хватало нужным клиентам был написан class который выдает айпи только нужным mac-address/ но роутеры продолжают долбить сервер. как отфильтровать ненужные пакеты. атрибут фильтрации mac-address с маской. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 16 октября, 2017 · Жалоба 15 минут назад, foxroot сказал: как отфильтровать ненужные пакеты. атрибут фильтрации mac-address с маской. Если их отфильтровать на сервере, они долбить не перестанут. А начнут долбить еще активнее, так как не получили ответ и сделают повторный запрос. Нужно либо фильтровать прямо на доступе, либо не фильтровать вообще, а выдавать адреса всем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 октября, 2017 · Жалоба del Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 17 октября, 2017 · Жалоба Неужели сервер воткнут в тупой свитч? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 октября, 2017 · Жалоба ISC DHCPD снимает трафик до ebtables/iptables, так что только если в контейнер его помещать и фильтровать на хосте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
foxroot Опубликовано 17 октября, 2017 · Жалоба спасибо всем за ответы и помощь. Пока просто прописал новый пул с серыми адресами с 14 маской чтобы всем раздать адреса ненужные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...