[foxroot]

добрый день

 

подскажите решение проблемы. DHCP сервер перестает выдавать адреса+  в логах   видно кучу не нужных запросов на получение ip

 в конфете DHCP есть настройка что выдавать только определенным mac-address  путем создания  class 

В /var/log/видно что сервер постоянно отбивается  от попыток получения IP  клиентов которым выдавать IP  не нжно

 например 

Если пакет соответсвует нужным макам  то сообщение типа

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 14:c0:89:10:82:9a (DUNE) via 172.16.108.1

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPOFFER on 172.16.109.244 to 14:c0:89:10:82:9a (DUNE) via 172.16.108.1

 

Если пакет приходит с ненужного мака то 

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 88:d7:f6:5f:06:3c via 172.16.114.1: network 172.16.114.0/24: no free leases

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:b9:41:f9 via 172.16.131.1: network 172.16.131.0/24: no free leases

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:d5:04:c9 via 172.16.131.1: network 172.16.131.0/24: no free leases

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from d8:50:e6:60:c5:94 via 172.16.83.1: network 172.16.83.0/24: no free leases

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 30:5a:3a:67:4d:14 via 172.16.144.1: network 172.16.144.0/24: no free leases

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from 28:28:5d:96:38:27 via 172.16.245.1: network 172.16.245.0/24: no free leases

Oct 13 10:38:54 DHCP-IPTV dhcpd: DHCPDISCOVER from e8:37:7a:91:8b:cb via 172.16.159.1: network 172.16.159.0/24: no free leases

 

Таких записей в логах очень много в течении одной секунды.   файл лога за три дня весит около 4Гбайта

Так же в логах видно следующие

Oct 13 10:38:55 DHCP-IPTV rsyslogd-2177: imuxsock begins to drop messages from pid 13733 due to rate-limiting

Oct 13 10:38:58 DHCP-IPTV rsyslogd-2177: imuxsock lost 262 messages from pid 13733 due to rate-limiting

 

подскажите каким образом можно отфильтровать пакеты на сервере например iptables или ebtables?

 на нескольким коммутаторах сети написал фильтры на mac-address  с маской но не везде по сети могу написать.  нужно как то на сервер отфильтровать

можно как то на сервер Centos 6  пропита фильтры по mac-address   с маской?

 

 Если использовать ebtables  обязательно ли переконфигурировать сетевые интерфейсы в bridge?

 

 

 

 

 

 

 

 

[myth]

acl на свитче решит проблему. И пересмотреть дизайн сети.

[foxroot]

 проблема в том что ACL  я не могу поставить везде есть switch которые не понимают ACL   по mac-address с маской. Нужно на серее

[myth]

Совет - ограничивать работу iptv, не выдавая незаплатившим ip - отвратительная идея. Если же просто хочется подстраховаться, выдавая ip только своим приставкам, то достаточно навесить acl только на порту, куда воткнут сервер

 

3 часа назад, foxroot сказал:

Нужно на серее

Очень вредная мысль

[pppoetest]

igmp/http auth в зависимости что вещается

[myth]

Отписать от ISM/MVR, выкинуть из влана можно и нужно по snmp

[pppoetest]

Если есть исм/мвр, то кошернее авторизовывать радиусом

[myth]

не во всех свитчах это есть

[zhenya`]

Ебтаблесами не выйдет. В isc можно класс написать, который будет матчить часть мака.

[foxroot]

В том  то и дело что не могу на switch.  Необхдимо именно забанить mac-address  по маске или разрешить по маске к примеру 1122:3300:0000/16  чтобы 1122:33  повторялось а другие  значения могли меняться.

 

[alibek]

IGMP Auth

[foxroot]

от того что я  сделаю IGMP Auth  ничего не измениться так как пакеты все равно будут попадать на сервер

[alibek]

Я считал, что основная задача — не дать пользоваться услугой тем, кто за нее не заплатил.

IGMP Auth эту задачу решает оптимальным образом.

А DHCP-сервер пусть выдает адреса всем, не вижу смысла экономить на серых адресах.

[pppoetest]

Если надо именно через дхцп, что аж прям кушать не могешь, то юзай дхцп-серв от Ивана на перле, там можно выдавать что угодно, кому, как и когда угодно. Или не выдавать. Но логику работы ты опять же должен описать и написать сам.

[zhenya`]

http://www.exonotes.com/node/55

[foxroot]

проблема  не в том как фильтровать абонента а чтобы заблокировать не нужный спам на сетевой карте.  на сервере написан class  по примеру http://www.exonotes.com/node/55.

 

просто в  сети DHCР кучу устройств, которые просят айпи (клиентские роутеры )  которые работают по PPPoE . PPPoE виртуальное подключение а  на интерейсе  (физическом) по умолчанию установлено получить айпи и все эти роутеры  (тясячи) просят айпи  с даного сервера. Чтобы айпи хватало нужным клиентам был написан class который выдает айпи только нужным mac-address/  но роутеры продолжают долбить сервер.

 

как отфильтровать ненужные пакеты. атрибут фильтрации mac-address с маской.

[alibek]

15 минут назад, foxroot сказал:

как отфильтровать ненужные пакеты. атрибут фильтрации mac-address с маской.

Если их отфильтровать на сервере, они долбить не перестанут.

А начнут долбить еще активнее, так как не получили ответ и сделают повторный запрос.

Нужно либо фильтровать прямо на доступе, либо не фильтровать вообще, а выдавать адреса всем.

[pppoetest]

del

[myth]

Неужели сервер воткнут в тупой свитч?

[s.lobanov]

ISC DHCPD снимает трафик до ebtables/iptables, так что только если в контейнер его помещать и фильтровать на хосте

[foxroot]

спасибо всем за ответы и помощь. Пока просто прописал новый пул с серыми адресами с 14 маской чтобы всем раздать адреса ненужные