iraklizh Опубликовано 11 июня, 2021 (изменено) · Жалоба Добрый вечер, сегодня замучила следюущая проблемма: каждые 10 мин проверяется нет ли в сети чужих DHCP-серваков.. к сожалению сеть одноранговая, мой DHCP настроен на роутере Микротик (bridge) в бридже 3 порта которые подключены к обычным свичам tplink есть подозрение, что юзер с MAC -ом C8:3A:35:26:66:68 подключид свой роутер неправильно... в терминале получаю уведомление что dhcp,critical,error dhcp alert on bridge1: discovered unknown dhcp server, mac C8:3A:35:26:66:68, ip 192.168.0.1...а моя адресация это 173.16.0.0/20 и в фаирволе и в фильтрах bridge прописывал chain input/forward source ip 192.168.0.1 мас source port 68 dest port 67 action=drop, пакеты видит а остановить не может... что предпринять в данном случае (планируется завести нормальные аксцес свичи) но что сейчас можно сделать? поднять правила на самый верх в файрволе? не отрубит весь траффик? Изменено 11 июня, 2021 пользователем iraklizh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixtery Опубликовано 11 июня, 2021 · Жалоба /ip firewall filter add chain=forward src-mac-address=C8:3A:35:26:66:68 action=drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 12 июня, 2021 · Жалоба 6 hours ago, iraklizh said: в бридже 3 порта которые подключены к обычным свичам tplink есть подозрение, что юзер с MAC -ом C8:3A:35:26:66:68 подключид свой роутер неправильно Если "обычные свичи tplink" могут показать свою mac-table, то вычислить физический порт с вашей стороны и погасить. Или сходить до юзера и дать по рукам. Даже и то и другое. Если нет, то можно заDoSить вражеский DHCP. Например, поднять специально обученного клиента который бы исчерпал адресную ёмкость его динамического пула. Или зафлудить егоную вебморду тяжёлыми запросами. Или идентифицировать железку и прошивку, и поискать крякер интернета для него. А как этот юзер в инет ходит, если у него под боком неправильный DHCP, откуда он правильный адрес берёт? Или этот DHCP настолько дохлый, что не успевает отвечать и Mikrotik-овский оказывается быстрее? Можно поиграть delay-ем на вашем DHCP, так чтобы для злого юзера его DHCP успевал раньше, а для остальных успевал отвечать Mikrotik. Тогда злой юзер сам должен сдасться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 12 июня, 2021 (изменено) · Жалоба 6 hours ago, mixtery said: /ip firewall filter add chain=forward src-mac-address=C8:3A:35:26:66:68 action=drop у меня прописано это правило, но каждые 10 мин DHCP Allert сообшает что обнаружен вражеский dhcp. 2 hours ago, lugoblin said: Если "обычные свичи tplink" могут показать свою mac-table, то вычислить физический порт с вашей стороны и погасить. Или сходить до юзера и дать по рукам. Даже и то и другое. Если нет, то можно заDoSить вражеский DHCP. Например, поднять специально обученного клиента который бы исчерпал адресную ёмкость его динамического пула. Или зафлудить егоную вебморду тяжёлыми запросами. Или идентифицировать железку и прошивку, и поискать крякер интернета для него. А как этот юзер в инет ходит, если у него под боком неправильный DHCP, откуда он правильный адрес берёт? Или этот DHCP настолько дохлый, что не успевает отвечать и Mikrotik-овский оказывается быстрее? Можно поиграть delay-ем на вашем DHCP, так чтобы для злого юзера его DHCP успевал раньше, а для остальных успевал отвечать Mikrotik. Тогда злой юзер сам должен сдасться. в том то и дело что часть юзеров продолжает как обычно работать а часть цепляет ip с вражеского dhcp..определить что за девайс не получилось, как только в браузере набираю адрес этого роутера сразу просит залогинится не загружая веб-форму... У меня в dhcp delay ничего не указанно, все по умолчанию.. Может вдобавок указать опцию always broadcast? Изменено 12 июня, 2021 пользователем iraklizh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 12 июня, 2021 · Жалоба 12 hours ago, iraklizh said: в том то и дело что часть юзеров продолжает как обычно работать а часть цепляет ip с вражеского dhcp.. Если они уже перемешиваются, то задержка на вашем DHCP их отделить не поможет... Может быть, география распределения таких юзеров прольёт какой-то свет на местонахождение буки. 12 hours ago, iraklizh said: определить что за девайс не получилось, как только в браузере набираю адрес этого роутера сразу просит залогинится не загружая веб-форму Nmap-пом его можно потыкать, или каким-нибудь ещё инструментом для идентификации. В принципе, в такой ситуации усилия направляют не на "купирование" левого DHCP, а на его отключение. Совсем в грубом случае, можно вычленить глупый свич к которому он подключён, и вручную перепробовать все абонентские линии которые к нему стекаются, на какой ответит DHCP. Муторно, но это расплата за дешевизну свича. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 13 июня, 2021 · Жалоба 13 hours ago, lugoblin said: Если они уже перемешиваются, то задержка на вашем DHCP их отделить не поможет... Может быть, география распределения таких юзеров прольёт какой-то свет на местонахождение буки. Nmap-пом его можно потыкать, или каким-нибудь ещё инструментом для идентификации. В принципе, в такой ситуации усилия направляют не на "купирование" левого DHCP, а на его отключение. Совсем в грубом случае, можно вычленить глупый свич к которому он подключён, и вручную перепробовать все абонентские линии которые к нему стекаются, на какой ответит DHCP. Муторно, но это расплата за дешевизну свича. Согласен, какой год прощу хотябы микротовские свичи... кстати по свичам: какая практика применяется окромя vpn при подключении к свичам, когда адми на удаленке в соовсем другой сетке? ( не хочется менять порты на каждом свиче чтоб подключатся по winbox) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 14 июня, 2021 · Жалоба 21 hours ago, iraklizh said: кстати по свичам: какая практика применяется окромя vpn при подключении к свичам, когда адми на удаленке в соовсем другой сетке? ( не хочется менять порты на каждом свиче чтоб подключатся по winbox) Очень разнообразная. В общем случае, если админить извне без VPN, что угодно, не только сетевое оборудование, то коннектиться через тщательно борнированный Jump Host, по SSH с ключами. В случае Микротиков, админить по SSH или HTTPS а не через Winbox, и по IP а не через Ethernet. Jump Host должен уметь проброс портов по SSH. 21 hours ago, iraklizh said: Согласен, какой год прощу хотябы микротовские свичи... В письменном виде, обращаясь к Лицу Принимающему Решения, чётко сформулируйте текущую проблему, её причины, наносимый ущерб и перспективы повторения если не прининять превентивных мер. Обозначте план и стоимость решения, только коррективными мерами (сходить ногами, пожонглировать кабелями, неудобства для остальных клиентов, перспектива рецидива и т.д.), и используя превенивные меры (заменить свич на минимально управляемый, всех мигрировать, остальные мероприятия провести програмно). Есть подозрение, что стоимость второго варианта не будет существенно выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 14 июня, 2021 · Жалоба Спасибо, у вас это культурно, у круаных провов тоже более-менее а эта филькина контора еще ... хотя я тоже набираюсь опыта понемногу. Скажите я не работал с микротовскими свичами, как вы их оцениваете в виде свичей доступа пойдут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iraklizh Опубликовано 14 июня, 2021 · Жалоба Я как то к винбоксу привык, правда я меняю порт, но лутше по https? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...