virtuozwin Posted February 13, 2013 (edited) Добрый вечер форумчане... Нужна ваша опытность в провайденге и знаниях .... Вообщем такая ситуация: Мы не большая провайденговая фирма только развивающаяся абонентов 100-150 чел. Так вот сегодня приключилась такая петрушка... случайным оброзом заметели что что то всети не так , то у абонентов скорость падает тоеще что , приходим тестим все ок, и так покругу, и тут случайно заметели такую штуку. Втыкаем сетевой провод в пк (у нас авторизация PPPoE,VPN) не успев создать подключение к PPPoE смотрим инет уже есть... м.. не поняли, бог сним создали ПППоЕ работает все нормуль, пришли в офис начали разбираться кто лажает)). серв билинг перетрехнул все нормуль, опять кабель в сеть и пк с настройками авто* и вот опять инет есть... значит не у нас с сервером , довай искать все абоненты как абоненты траф в приделе нормы у всех... поши от обратного- по портам на ком-рах И вот тут попался... вобщем нашли абонента который к нам подключон сасет траф так как на своем пк предворительно запустили торрент, отрубаем вуаля траф пропал , так вот вопрос как такое можно сделать ?? дабы с этим бороться так как он вешал на всю нашу сеть.... юзеру просто воткнувшись в сеть: IP выдавался 192.168.37.*** шлюз 192.168.137.1 DNS тот же... выход на внешку наш IP внешний...37.0.0.** что на биленге. у нас сеть построина начиная с IP 10.1.0.*** в моей голове что то не сростается.... кабель идет к ниму (абоненту п-***су) 100мб 2-х парка с авторизацией PPPoE ----- КАК можно на одном кабеле авторизоваться и раздовать обратно в сеть уже свое?? программно сидеть точить или есть вероятность что случайно? и как в дальнейшем не допустить токого??? так как абонент любой (не долекий) включил к примеру комп. ярлык подключения не щолкнул (забыл к примеру) и тут унего уже есть инет, ну онже не знает что это нетот есть и есть только еле живой так как на канале в 10мбит седит уже таких же 20 юзеров, и катит на нас провайдера типо х-вый интернет товарищи, а у нас канал даже не просел... мда вот такие дила, да к стати сеть построина на ком-рах d-link 3200-28(аб), 3120-24 на агрегацию и 3627G главный... Edited February 13, 2013 by virtuozwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
biox Posted February 13, 2013 Извините за мою не осведомлённость...., но... что такое "DCH"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SpiderX Posted February 13, 2013 d-link 3200-28(аб) Вот на них и настроить: config filter dhcp_server ports <CLIENTS> state enable config filter dhcp_server ports <UPLINK> state disable config filter dhcp_server illegal_server_log_suppress_duration 5min config filter dhcp_server trap enable config filter dhcp_server log enable Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
digsi Posted February 13, 2013 по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
virtuozwin Posted February 13, 2013 (edited) d-link 3200-28(аб) Вот на них и настроить: config filter dhcp_server ports <CLIENTS> state enable config filter dhcp_server ports <UPLINK> state disable config filter dhcp_server illegal_server_log_suppress_duration 5min config filter dhcp_server trap enable config filter dhcp_server log enable настроить? проблема в этом? по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть )) ну писал в торопях под конец рабочего дня P/s ну конечно легче насрать , чем сказать по делу... а каким способом им это удалось то? Edited February 13, 2013 by virtuozwin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted February 13, 2013 Скажите, а где такой провайдер? Я хочу к вам подключиться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
virtuozwin Posted February 13, 2013 что-ж все такие умные то вокруг? все блин читай мат часть да да я , да я бы.... А по делу конкретно ни слова , мда П*рофессионалы.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SpiderX Posted February 13, 2013 настроить? проблема в этом? Проблема не в этом, в этом решение конкретно взятой проблемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Rostovikov Posted February 13, 2013 По делу - Вам надо в учиться, учиться и учиться. Как завещал дедушка Ленин. Об этом все тут и намекают. Судя по описанию Ваша сеть не выдерживает ни какой критики. Все открыто - делай что хочешь. Вот он и сделал. Для более -менее знающего it-шника тут все как на ладони. Человек просто поднял PPPoE соединение и DHCP сервер на один интерфейс. Это может вообще каждый. Купите управляемые свичи, настройте как минимум изоляцию портов. Людям просто влом объяснять Вам прописные истины. Они настолько банальны для профессионалов, что они над Вами смеются. Не обижайтесь, прочитайте пару другую книг по сетям. Потом приходите сюда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VasiliyP Posted February 13, 2013 требуется разрешать дхцп ответы только с магистральных портов, либо вообще запретить раз у вас пппое вроде как удп 67 порт)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
triam Posted February 13, 2013 по моему стоит подтянуть грамотность, что по русскому, что по сетям )) иначе грамотные пользователи положат вам сеть )) +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted February 14, 2013 я пока читал пост, сатанеть начал. Мне кажется, что школьники в пятом классе грамотнее. Дорогой ТС, я понял, что Вам без разницы на то, что вы такой безграмотный, но люди, которые здесь сидят, не обязаны читать ваши "в торопях" и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sonneandsky Posted February 14, 2013 а каким способом им это удалось то? Элементарно - Ватсон © Щелкаем по PPoE подключению правой кнопкой "Свойство"--"Доступ"---"Разрешить другим пользователям сети ....Бла-бла" сеть построина на ком-рах d-link 3200-28(аб), Лекарство: #Настроить loopback detection, чтобы 1) глючные сетевые карточки, которые отражают пакеты обратно и 2) пользователи, создавшие в своей квартире кольца на втором уровне не мешали работе сети enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-24 state enable config loopdetect ports 25-28 state disable #Настраиваем traffic_segmentation config traffic_segmentation 1-24 forward_list 25-28 #(порт аплинк) #Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера) create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2 config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny #И, наконец, включить STORM Control для борьбы с бродкастовыми и мультикастовыми флудами. config traffic control 1-24 broadcast enable multicast enable action drop threshold 64 countdown 5 time_interval 5 #Включаем PortSecurity на клиентских портах и ограничиваем количество изучаемых MAC-адресов на порту пять: config port_security ports 1-24 admin_state enable max_learning_addr 5 lock_address_mode DeleteOnReset #Для блокировки «диких» DHCP серверов: config filter dhcp_server ports 1-24 state enable config filter dhcp_server ports 25-28 state disable Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snark Posted February 14, 2013 Выше Вам уже сказали как. Почитайте что такое Internet Connection Sharing aka ICS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...