По понятным причинам не хочется вязяться к мас адресу серверов PPPoE. Известны порты к которым может/не может быть подключен легалльный PPPoE сервер.
Сколько не искал, не получилось сделать ничего ранее возникновения PADO пакета ( то есть просто его рубим и не проходит соединением) . Теперь, при наличии ложного сервера в сети, довольно часто клиент получает сообщение "удаленный сервер не ответил".
Ситуация, вроде как, не нормальная - при отсутвии PADО пакета клиент должен начать работать со следующим сервисом,предоставившим ему ответет на дискавери пакет.
Куда копать ? - В фильтры (хотя много раз проверил) или придется все же по макам. Или тестовый стенд менять.Правило фильтрации в данный момент такое.
если тип ETH пакета 8863 и поле код PPPoE протокола установлено в 07 - входящий пакет с порта ( не из списка где можно) - deny.
>[оверквотинг удален]
>должен начать работать со следующим сервисом,предоставившим ему ответет
>на дискавери пакет.
>Куда копать ? - В фильтры (хотя много раз проверил)
>или придется все же по макам. Или тестовый стенд
>менять.
>
>Правило фильтрации в данный момент такое.
>если тип ETH пакета 8863 и поле код
>PPPoE протокола установлено в 07 - входящий пакет с
>порта ( не из списка где можно) - deny.можно так:
на всех портах разрешается PADI
на порту, к которому подключен PPPoE AC разрешается PADO
cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от клиентов
>[оверквотинг удален]
>>Правило фильтрации в данный момент такое.
>>если тип ETH пакета 8863 и поле код
>>PPPoE протокола установлено в 07 - входящий пакет с
>>порта ( не из списка где можно) - deny.
>
>можно так:
>на всех портах разрешается PADI
>на порту, к которому подключен PPPoE AC разрешается PADO
>cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от
>клиентоввообще фильтр и должен это делать, у PADO пакет и будет иметь 07 как признак пакета ( то есть со смещения 17 смотрим чтобы пакет не был 88630107 - где 8863 - PPPoE пакет, 01 - версия протокола, 07 - PADO - понять быт почему при наличии ложного сервера клиент не всегда получает ответ ( других фильтров нет в тестовой среде) - при наличии только легитимных серверов - никаках задержек не будет .
>[оверквотинг удален]
>
>вообще фильтр и должен это делать, у PADO пакет и
>будет иметь 07 как признак пакета ( то есть
>со смещения 17 смотрим чтобы пакет не был
>88630107 - где 8863 - PPPoE пакет, 01 - версия
>протокола, 07 - PADO - понять быт почему
>при наличии ложного сервера клиент не всегда получает ответ (
>других фильтров нет в тестовой среде) - при наличии
>только легитимных серверов - никаках задержек не будет .
>у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа сервии Dlink 3500,описание варианта решение :
>[оверквотинг удален]
>>протокола, 07 - PADO - понять быт почему
>>при наличии ложного сервера клиент не всегда получает ответ (
>>других фильтров нет в тестовой среде) - при наличии
>>только легитимных серверов - никаках задержек не будет .
>>
>
>у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа
>сервии Dlink 3500,описание варианта решение :
>
>http://dlink.ru/technical/faq_hub_switch_75.phpВсе заработало - чертова наука о контактах - достаточно было взять другой патч!
там решение с маками, коммутаторы DLINK - 35 - й серии же, фильр выглядит какcreate access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x
0 profile_id 100
config access_profile profile_id 100 add access_id 1 packet_content_mask offset_
1-24 0x88630007 0x0 0x0 0x0 port 1 deny
то есть без версии протокола :(