Фильтрация трафика из подсетей провайдера

[Alteron]

Ситуация: есть некоммерческая локалка. Есть три провайдера. У двух провайдеров мы воткнуты в свитчи (у одного что-то типа D-Link DES-2110 у второго вродебы какая-то кошка стоит), которые "пробрасывают" нас по в-лану до свитча, терминирующего PPPoE. У этих же провайдеров, есть внутренние сети с "серыми" адресами (192.168.*.* и 10.*.*.*).

В нашей сети работает софтина IPGUARD, которая следит за соответствием IP и MAC адреса и флудит на "левые" ARP запросы.

Теперь проблема. При подцеплении провайдеров к нашей сети от них начинают лететь АRP запросы и ARP таблица свитчей забивается настолько, что свитчи перестают откликаться, и соответственно провайдеры ими не могут управлять. Ну и юзерам из внутренних подсетей одного из провайдеров тоже достаётся ;)

Дождаться, когда провайдеры ради нас чего-то сделают, и поставят умные свитчи... в общем, рак на горе быстрее свиснет. У нас не Москва и провайдеры довольно тяжелы на подъём.

Стоит задача: "отгородиться" от провайдеров и пропускать только PPPoE и несколько компов во внутренние сети провайдеров.

Про PPPoE - понятно - и-нет. Также в сети есть компы, имеющие адреса из внутренних подсетей провайдеров. Этим компам надо дать доступ в сети провайдеров.

Это предыстория.

Что есть из оборудования: кошка 2900 и умный Planet WGSW - 2403. Можно ли с помощью них решить проблему фильтрации ARP запросов (т.е. фактически зарезать пакеты с МАС адресом назначения FF:FF:FF:FF:FF:FF)?

Я так понимаю, что сделать в-лан по маку и выпустить комп из нашей локалки в подсеть провайдера эти свитчи смогут. А смогут ли всё остальное?

Как вариант можно рассмотреть покупку другого свитча стоимостью баксов 200.

Edited November 29, 2006 by Alteron

[orca]

А роутер поставить не судьба?

[Alteron]

Нет, не судьба. Его просто ставить некуда.

[kuru]

А нефиг флудить. Ставить роутер, любой писюк с 2-3 eth.

[Барий]

Технология "блокирования" в подобном софте не флудинг, а спуфинг. Это две разные вещи. При флуде - ARP/CAM таблицы узлов или железок просто забиваются дерьмом, при спуфинге - конкретные жертвы забиваются фейковыми адресами, забиваются грамотно и целеноправленно (чего нельзя сказать о флуде).

Отсюда нужно сделать правильный вывод, что CAM таблицы свичей в полном порядке, добавляется лишь одна запись на всего один порт. ARP таблицы левых узлов естественно будут фэйковыми адресами.

 

В данном ситуации необходимо прописать в конфигурации вашей софтины соответствие MAC/IP управляемых свичей и, возможно, тех узлов, которые хотят управлять этими свичами (тут надо смотреть по месту действия).

Думать и решать вопрос о грамотном сопряжении сетей провайдера и, допустим, домовых - проблема провайдера.

 

А софтину оставьте... Это очень полезная вещь для борьбы с кривыми руками провайдера. То, что перестают работать его сети - это его проблема, и не больше, там куча высококвалифицированных ИТ специалистов (на то он и называется громким словом ISP), пусть думают и решают... Ну а коли не смогут, или руки не из того места растут - можно и подсказать будет.

[Den24is]

99% в договорах с провами, есть строчка (что-то типа) - ...абонент не должен препятствовать другим абонентам пользоваться услугой....

что и происходит в данном примере- и выходов тут как минимум 2.

1. пров ставит умную железку и фильтрует все что идет из/в эту сеть, можно даже выставить счет - и поставить все за счет этой сетки некомерческой.

2. разорвать договор и не париться.

вот и все, просто и спокойно )))

[Alteron]

2 kuru

Ну я ведь сказал уже: поставить роутер нет никакой возможности.

 

Барий

Думать и решать вопрос о грамотном сопряжении сетей провайдера и, допустим, домовых - проблема провайдера.

Реалии таковы, что я не в Москве, и ситуация у нас такова, что провайдера надо ещё убедить, чтобы он подключил сеть из двухсот человек. А потом ещё и пинать, чтобы всё заработало. Мы три года пинали одного провайдера, чтобы сконфигурили свои кошки, и у нас из броадкастового чата пропал человек, находящийся в локалке на другом конце города.

Ну нереально сейчас ждать, пока провадеры у себя на выходе поставят умные свитчи и всё отконфигурят. Этак мы ещё год без и-нета будем сидеть.

 

В общем, похоже, я не там спрашиваю.

[Барий]

2Alteron:

Решать вам, но когда у меня была подобная проблема, когда из сетей провайдера летели сотни тысяч только одних бродкастов я пошел по подобному пути. Написал официальное письмо службе поддержки провайдера, в коем сообщил:

- что в моей сети используется система защиты от смены MAC/IP адресов и несанкционированного доступа в сеть, в связи с чем возможен конфликт между нашими сетями, либо неработоспособность его сетей

- текущее положение дел с настройкой его оборудования и попаданием неизвестных пакетов в сеть не обеспечивают конфиденциальности передоваемых данных.

- возможные решения проблемы.

К письму был приложен лог tcpdump и пара десятков паролей (на активное оборудование провайдера и некоторых больших корпоративных клиентов), выловленных dsniff.

 

После этого сразу же поставили железку за $400.

 

2Den24is:

Отдельно взятый клиент и сеть, где клиентов пара сотен - две разные вещи.

Edited December 1, 2006 by Барий

[Alteron]

А-а-а-а-а-а!!!

Блин, ну неужели я непонятно до этого сказал? Если мы напишем такое письмо, то нас просто отключат. Ну нереально у нас заставить провайдера что-то подобное сделать. У нас хоть и миллионный город, но провайдеров в городе можно пересчитать по пальцам одной руки. Вот никто и не шевелится.

 

Den24is

1. Нет никакого договора.

2. может быть ты непонимаешь, что такое некоммерческая сеть?

3. если мы ничего не делаем, то остаёмся без и-нета.

Edited December 1, 2006 by Alteron

[SergeiK]

Хм. Ну в общем, PPPoE - не IP протокол.

Его можно попробовать так отфильтровать.

 

Но! единственно правильный вариант вам сказали сразу - роутер!

Нельзя пересекать сети, хоть с какими умными L2 коммутаторами!

Да и L3 коммутаторы - не лучшее решение для такой задачи.

Хоть на PC дохлом с 2-мя сетевыми, но разделять сегменты обязательно.

 

А что касается - "не там спрашиваю" - это точно, не там.

Есть много вариантов получить геморой на свою задницу, многие тут его уже лечили, и пишут, как его избежать.

 

Но кому-то нравиться этот процесс - и они живут в другом месте.

Edited December 1, 2006 by SergeiK

[Барий]

2Alteron:

За проблемы/дыры/недостатки, выявленные пользователем у провайдера говорят спасибо, а не посылают на три буквы. Я подозреваю, что вы вообще об этой проблеме не заикались и не пытались ее решить совместно с провайдером.

 

Как вариант насчет установки оборудования - ставьте любые свичи умеющие PPPoE Service. В порт аплинка - шнурок от провайдера, в любой другой - от вашей сети, на свиче поднимайте PPPoE сервис и настраивайте совместно с провайдером все остальное.

 

Найдите грамотного специалиста и поручите это дело ему, а еще лучше - наймите специалиста от провайдера, заплатите ему денежку и спите спокойно, без кошмаров, что вас отключат.

 

PS: Волков бояться - в лес не ходить.

[-Роман-]

запихайте в vlanы все и не парьтесь. а на месте провайдера я бы вообще вас заблокировал, ссылаясь на неправильное использование )

[Барий]

А по-подробней можно, на что это вы там ссылаетесь...?

[Den24is]

у Вас нет договора - значит какие могут быть притензии, что у Вас что-то не работает. /... Дождаться, когда провайдеры ради нас чего-то сделают, и поставят умные свитчи... /

 

узнавайте как и что настроено у прова - подстраивайтесь под него.

надейтесь, что они таки не начнут узнавать почему у них - что-то не работает и не найдут Ваше левое подключение.

а чем больше Вы им мешаете, тем раньше начнут искать.