Jump to content
Калькуляторы

filter DHCP BOOTSTRAP

 Добрый день! Имеется сервер DHCP  на Centos 6.6

 в процессе эксплуатации возникли проблемы с сервером (перестает выдавать IP)

Произведен анализ ситуации было установлено что на сервер идет куча паразитного трафика с запросами на получение Ip. Но сервер им их не дает так как  в    dhcp.conf  указан class  по выдаче IP  только указанным Mac-address-ам

  Проанализировав трафик  с помощью  wireshark  было выявлено что DHCP/bootstrap идет  от source mac-address  роутера (куда подключен клиент) до destination   mac address роутера   куда подключен  DHCP  сервер. Так как пакеты DHCP  ходят по relay

  Атрибут клиентского mac-address-a передается как option 60 (client mac-address) ( это видно при разборке пакетов на уровня 5)

Поэтому отфильтровать паразитным трафик  на коммутаторах сети и маршрутизаторах сети  не возможно так как они фильтруют и разбирают пакет только на L2 и L3  уровнях соответственно. т.е. коммутатор видит только source и destination   mac роутера и не может  блокировать пакеты мусорного трафика, для него все пакеты будут идти с одинаковым mac-address

 возможно ли как то на транзите поставить linux  сервер и отфильтровать мусор  путем разбора пакетов и форвордить только нужные?

если да то каким способом писать фильтр? iptables or eatables?

 

Share this post


Link to post
Share on other sites

Либо опцию 82 поднять - что кошернее и быстрее, либо по статике отдавать (соответствие mac-ip), что не факт что заработает, т.к. за l3 не все маки существуют. Надо топологию сети смотреть.

Edited by default_vlan

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now