[anp/hsw] Опубликовано 6 ноября, 2022 · Жалоба Возникла необходимость фильтровать левые ipv6 роутеры (2022 на дворе, пора бы уже!). Для железок, поддерживающих IPV6, тут все нормально: Ubiquiti: ebtables.13.status=enabled ebtables.13.cmd=-A FIREWALL6 -i eth0 -p 0x86DD -d 33:33:00:00:00:01 -j DROP ebtables.13.comment=deny IPv6 RA answer ebtables.14.status=enabled ebtables.14.cmd=-A FIREWALL6 -i eth0 -p 0x86DD --ip6-protocol 17 --ip6-dport 546 -j DROP ebtables.14.comment=deny DHCPv6 answer ebtables.15.status=enabled Тут мы фильтруем dhcpv6 и ipv6 RA. Но вот ACL для des3526/3200a1-c1 и прочих, acl меня расстраивает. Если с RA все понятно: # ipv6 RA answer create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 30 config access_profile profile_id 30 add access_id 1 ethernet destination_mac 33-33-00-00-00-01 port 1-24 deny То как быть с dhcpv6? Отдельного разбора портов tcpv6/udpv6 у них нет. Предполагаю, что нужно через packet content mask. У кого-то есть примеры? То, что нужно фильтровать, беру из рекомендации ietf: https://www.ietf.org/archive/id/draft-nward-ipv6-autoconfig-filtering-ethernet-00.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 8 ноября, 2022 · Жалоба За dhcpv6 вроде отвечает вот этот адрес - 33:33:00:01:00:02 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 9 ноября, 2022 · Жалоба В 08.11.2022 в 11:41, taf_321 сказал: 33:33:00:01:00:02 Отвечает только за dhcp request. Т.е. на него клиент посылает пакет discovery, но ответ уже приходит от мак-адреса сервера. Свич фильтрует на порту только принимаемый трафик, т.е. заблочить по мак-адресу левый dhcp, оставив правильный, так не получится. Вот тут обмен с сервером: https://wiki.wireshark.org/uploads/__moin_import__/attachments/SampleCaptures/DHCPv6.pcap Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...