[virtuozwin]

Добрый вечер форумчане...

Нужна ваша опытность в провайденге и знаниях ....

Вообщем такая ситуация:

Мы не большая провайденговая фирма только развивающаяся абонентов 100-150 чел.

Так вот сегодня приключилась такая петрушка... случайным оброзом заметели что что то всети не так , то у абонентов скорость падает тоеще что , приходим тестим все ок, и так покругу, и тут случайно заметели такую штуку.

Втыкаем сетевой провод в пк (у нас авторизация PPPoE,VPN) не успев создать подключение к PPPoE смотрим инет уже есть... м.. не поняли, бог сним создали ПППоЕ работает все нормуль, пришли в офис начали разбираться кто лажает)). серв билинг перетрехнул все нормуль, опять кабель в сеть и пк с настройками авто* и вот опять инет есть... значит не у нас с сервером , довай искать все абоненты как абоненты траф в приделе нормы у всех...

 

поши от обратного- по портам на ком-рах И вот тут попался... вобщем нашли абонента который к нам подключон сасет траф так как на своем пк предворительно запустили торрент, отрубаем вуаля траф пропал ,

 

так вот вопрос как такое можно сделать ?? дабы с этим бороться так как он вешал на всю нашу сеть....

юзеру просто воткнувшись в сеть:

IP выдавался 192.168.37.***

шлюз 192.168.137.1

DNS тот же...

выход на внешку наш IP внешний...37.0.0.** что на биленге.

 

у нас сеть построина начиная с IP 10.1.0.***

 

в моей голове что то не сростается.... кабель идет к ниму (абоненту п-***су) 100мб 2-х парка с авторизацией PPPoE ----- КАК можно на одном кабеле авторизоваться и раздовать обратно в сеть уже свое?? программно сидеть точить или есть вероятность что случайно? и как в дальнейшем не допустить токого???

 

так как абонент любой (не долекий) включил к примеру комп. ярлык подключения не щолкнул (забыл к примеру) и тут унего уже есть инет, ну онже не знает что это нетот есть и есть только еле живой так как на канале в 10мбит седит уже таких же 20 юзеров, и катит на нас провайдера типо х-вый интернет товарищи, а у нас канал даже не просел... мда вот такие дила, да к стати сеть построина на ком-рах d-link 3200-28(аб), 3120-24 на агрегацию и 3627G главный...

Изменено 13 февраля, 2013 пользователем virtuozwin

[biox]

Извините за мою не осведомлённость...., но... что такое "DCH"?

[SpiderX]

d-link 3200-28(аб)

Вот на них и настроить:

config filter dhcp_server ports <CLIENTS> state enable

config filter dhcp_server ports <UPLINK> state disable

config filter dhcp_server illegal_server_log_suppress_duration 5min

config filter dhcp_server trap enable

config filter dhcp_server log enable

[digsi]

по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть ))

[virtuozwin]

d-link 3200-28(аб)

Вот на них и настроить:

config filter dhcp_server ports <CLIENTS> state enable

config filter dhcp_server ports <UPLINK> state disable

config filter dhcp_server illegal_server_log_suppress_duration 5min

config filter dhcp_server trap enable

config filter dhcp_server log enable

 

настроить? проблема в этом?

 

по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть ))

 

ну писал в торопях под конец рабочего дня

 

P/s ну конечно легче насрать , чем сказать по делу...

 

а каким способом им это удалось то?

Изменено 13 февраля, 2013 пользователем virtuozwin

[pppoetest]

Скажите, а где такой провайдер? Я хочу к вам подключиться.

[virtuozwin]

что-ж все такие умные то вокруг? все блин читай мат часть да да я , да я бы....

 

А по делу конкретно ни слова , мда П*рофессионалы....

[SpiderX]

настроить? проблема в этом?

Проблема не в этом, в этом решение конкретно взятой проблемы.

[Ivan Rostovikov]

По делу - Вам надо в учиться, учиться и учиться. Как завещал дедушка Ленин. Об этом все тут и намекают.

Судя по описанию Ваша сеть не выдерживает ни какой критики. Все открыто - делай что хочешь. Вот он и сделал.

Для более -менее знающего it-шника тут все как на ладони. Человек просто поднял PPPoE соединение и DHCP сервер на один интерфейс.

Это может вообще каждый.

Купите управляемые свичи, настройте как минимум изоляцию портов.

 

Людям просто влом объяснять Вам прописные истины. Они настолько банальны для профессионалов, что они над Вами смеются.

Не обижайтесь, прочитайте пару другую книг по сетям. Потом приходите сюда.

[VasiliyP]

требуется разрешать дхцп ответы только с магистральных портов, либо вообще запретить раз у вас пппое

 

вроде как удп 67 порт))

[triam]

по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть ))

+1

[dignity]

я пока читал пост, сатанеть начал. Мне кажется, что школьники в пятом классе грамотнее. Дорогой ТС, я понял, что Вам без разницы на то, что вы такой безграмотный, но люди, которые здесь сидят, не обязаны читать ваши "в торопях" и т.п.

[Sonneandsky]

а каким способом им это удалось то?

Элементарно - Ватсон ©

Щелкаем по PPoE подключению правой кнопкой "Свойство"--"Доступ"---"Разрешить другим пользователям сети ....Бла-бла"

 

сеть построина на ком-рах d-link 3200-28(аб),

Лекарство:

#Настроить loopback detection, чтобы 
1) глючные сетевые карточки, которые отражают пакеты обратно и 
2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети
enable loopdetect
config loopdetect recover_timer 1800
config loopdetect interval 10
config loopdetect ports 1-24 state enable
config loopdetect ports 25-28 state disable

#Настраиваем traffic_segmentation

config traffic_segmentation 1-24 forward_list 25-28 #(порт аплинк)

#Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера)

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny

#И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. 

config traffic control 1-24 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5

#Включаем PortSecurity на клиентских портах и ограничиваем количество изучаемых MAC-адресов на порту пять:

config port_security ports 1-24 admin_state enable max_learning_addr 5 lock_address_mode DeleteOnReset

#Для блокировки «диких» DHCP серверов:

config filter dhcp_server ports 1-24 state enable
config filter dhcp_server ports 25-28 state disable

[snark]

Выше Вам уже сказали как. Почитайте что такое Internet Connection Sharing aka ICS.