Jump to content
Калькуляторы

DCH поддельный? DCH поддельный???

Reply to this topic

virtuozwin   

virtuozwin
Posted (edited)

Добрый вечер форумчане...

Нужна ваша опытность в провайденге и знаниях ....

Вообщем такая ситуация:

Мы не большая провайденговая фирма только развивающаяся абонентов 100-150 чел.

Так вот сегодня приключилась такая петрушка... случайным оброзом заметели что что то всети не так , то у абонентов скорость падает тоеще что , приходим тестим все ок, и так покругу, и тут случайно заметели такую штуку.

Втыкаем сетевой провод в пк (у нас авторизация PPPoE,VPN) не успев создать подключение к PPPoE смотрим инет уже есть... м.. не поняли, бог сним создали ПППоЕ работает все нормуль, пришли в офис начали разбираться кто лажает)). серв билинг перетрехнул все нормуль, опять кабель в сеть и пк с настройками авто* и вот опять инет есть... значит не у нас с сервером , довай искать все абоненты как абоненты траф в приделе нормы у всех...

 

поши от обратного- по портам на ком-рах И вот тут попался... вобщем нашли абонента который к нам подключон сасет траф так как на своем пк предворительно запустили торрент, отрубаем вуаля траф пропал ,

 

так вот вопрос как такое можно сделать ?? дабы с этим бороться так как он вешал на всю нашу сеть....

юзеру просто воткнувшись в сеть:

IP выдавался 192.168.37.***

шлюз 192.168.137.1

DNS тот же...

выход на внешку наш IP внешний...37.0.0.** что на биленге.

 

у нас сеть построина начиная с IP 10.1.0.***

 

в моей голове что то не сростается.... кабель идет к ниму (абоненту п-***су) 100мб 2-х парка с авторизацией PPPoE ----- КАК можно на одном кабеле авторизоваться и раздовать обратно в сеть уже свое?? программно сидеть точить или есть вероятность что случайно? и как в дальнейшем не допустить токого???

 

так как абонент любой (не долекий) включил к примеру комп. ярлык подключения не щолкнул (забыл к примеру) и тут унего уже есть инет, ну онже не знает что это нетот есть и есть только еле живой так как на канале в 10мбит седит уже таких же 20 юзеров, и катит на нас провайдера типо х-вый интернет товарищи, а у нас канал даже не просел... мда вот такие дила, да к стати сеть построина на ком-рах d-link 3200-28(аб), 3120-24 на агрегацию и 3627G главный...

Edited by virtuozwin

Share this post

Link to post
Share on other sites

SpiderX   

SpiderX
Posted
d-link 3200-28(аб)

Вот на них и настроить:

config filter dhcp_server ports <CLIENTS> state enable

config filter dhcp_server ports <UPLINK> state disable

config filter dhcp_server illegal_server_log_suppress_duration 5min

config filter dhcp_server trap enable

config filter dhcp_server log enable

Share this post

Link to post
Share on other sites

digsi   

digsi
Posted

по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть ))

Share this post

Link to post
Share on other sites

virtuozwin   

virtuozwin
Posted (edited)
d-link 3200-28(аб)

Вот на них и настроить:

config filter dhcp_server ports <CLIENTS> state enable

config filter dhcp_server ports <UPLINK> state disable

config filter dhcp_server illegal_server_log_suppress_duration 5min

config filter dhcp_server trap enable

config filter dhcp_server log enable

 

настроить? проблема в этом?

 

по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть ))

 

ну писал в торопях под конец рабочего дня

 

P/s ну конечно легче насрать , чем сказать по делу...

 

а каким способом им это удалось то?

Edited by virtuozwin

Share this post

Link to post
Share on other sites

virtuozwin   

virtuozwin
Posted

что-ж все такие умные то вокруг? все блин читай мат часть да да я , да я бы....

 

А по делу конкретно ни слова , мда П*рофессионалы....

Share this post

Link to post
Share on other sites

Ivan Rostovikov   

Ivan Rostovikov
Posted

По делу - Вам надо в учиться, учиться и учиться. Как завещал дедушка Ленин. Об этом все тут и намекают.

Судя по описанию Ваша сеть не выдерживает ни какой критики. Все открыто - делай что хочешь. Вот он и сделал.

Для более -менее знающего it-шника тут все как на ладони. Человек просто поднял PPPoE соединение и DHCP сервер на один интерфейс.

Это может вообще каждый.

Купите управляемые свичи, настройте как минимум изоляцию портов.

 

Людям просто влом объяснять Вам прописные истины. Они настолько банальны для профессионалов, что они над Вами смеются.

Не обижайтесь, прочитайте пару другую книг по сетям. Потом приходите сюда.

Share this post

Link to post
Share on other sites

VasiliyP   

VasiliyP
Posted

требуется разрешать дхцп ответы только с магистральных портов, либо вообще запретить раз у вас пппое

 

вроде как удп 67 порт))

Share this post

Link to post
Share on other sites

triam   

triam
Posted

по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть ))

+1

Share this post

Link to post
Share on other sites

dignity   

dignity
Posted

я пока читал пост, сатанеть начал. Мне кажется, что школьники в пятом классе грамотнее. Дорогой ТС, я понял, что Вам без разницы на то, что вы такой безграмотный, но люди, которые здесь сидят, не обязаны читать ваши "в торопях" и т.п.

Share this post

Link to post
Share on other sites

Sonneandsky   

Sonneandsky
Posted

а каким способом им это удалось то?

Элементарно - Ватсон ©

Щелкаем по PPoE подключению правой кнопкой "Свойство"--"Доступ"---"Разрешить другим пользователям сети ....Бла-бла"

 

сеть построина на ком-рах d-link 3200-28(аб),

Лекарство:

#Настроить loopback detection, чтобы 
1) глючные сетевые карточки, которые отражают пакеты обратно и 
2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-24 state enable
config loopdetect ports 25-28 state disable

#Настраиваем traffic_segmentation

config traffic_segmentation 1-24 forward_list 25-28 #(порт аплинк)

#Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера)

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny

#И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. 

config traffic control 1-24 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5

#Включаем PortSecurity на клиентских портах и ограничиваем количество изучаемых MAC-адресов на порту пять:

config port_security ports 1-24 admin_state enable max_learning_addr 5 lock_address_mode DeleteOnReset

#Для блокировки «диких» DHCP серверов:

config filter dhcp_server ports 1-24 state enable
config filter dhcp_server ports 25-28 state disable

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...