Jump to content
Калькуляторы

filter DHCP BOOTSTRAP

 Добрый день! Имеется сервер DHCP  на Centos 6.6

 в процессе эксплуатации возникли проблемы с сервером (перестает выдавать IP)

Произведен анализ ситуации было установлено что на сервер идет куча паразитного трафика с запросами на получение Ip. Но сервер им их не дает так как  в    dhcp.conf  указан class  по выдаче IP  только указанным Mac-address-ам

  Проанализировав трафик  с помощью  wireshark  было выявлено что DHCP/bootstrap идет  от source mac-address  роутера (куда подключен клиент) до destination   mac address роутера   куда подключен  DHCP  сервер. Так как пакеты DHCP  ходят по relay

  Атрибут клиентского mac-address-a передается как option 60 (client mac-address) ( это видно при разборке пакетов на уровня 5)

Поэтому отфильтровать паразитным трафик  на коммутаторах сети и маршрутизаторах сети  не возможно так как они фильтруют и разбирают пакет только на L2 и L3  уровнях соответственно. т.е. коммутатор видит только source и destination   mac роутера и не может  блокировать пакеты мусорного трафика, для него все пакеты будут идти с одинаковым mac-address

 возможно ли как то на транзите поставить linux  сервер и отфильтровать мусор  путем разбора пакетов и форвордить только нужные?

если да то каким способом писать фильтр? iptables or eatables?

 

Share this post


Link to post
Share on other sites

Либо опцию 82 поднять - что кошернее и быстрее, либо по статике отдавать (соответствие mac-ip), что не факт что заработает, т.к. за l3 не все маки существуют. Надо топологию сети смотреть.

Edited by default_vlan

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.