https://opennet.ru/openforum/vsluhforumID6/916.html Всем привет.<br>Есть система с сетевухой fast ethernet<br>Есть skype dhcp<br>Есть правило в iptables:<br><br>iptables -A INPUT -i eth0 -j mac-user<br>iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable<br>iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT<br><br>Суть проблемы.<br>Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в списке DHCPD и он таки получает свой адрес по дхсп - КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).<br>Да и походу днс таки тоже просачивается ибо скайп-СКОТИНА тоже проходит регистрацию а потом благодаря супер возможности скайпа у абонента он пашет<br><br>З.Ы.<br>Пока как вариант подумываю и про обратный фильтр на исходящие пакеты - но ищу варианты так как в сети 400 машин и дополнительно пускать в ту же цепочку пока нету желания<br><br>Подскажите ГДЕ почитать про уровни фаст езернета кто первый кто второй кто выше сидит - мне кажется там нада рыть<br> https://opennet.ru/openforum/vsluhforumID6/916.html#23 Tue, 13 Aug 2013 18:39:09 GMT &gt;&gt; теория проста - iptables - это IP (L3) с небольшими расширениями в <br>&gt;&gt; сторону L2. а запросы и ответы dhcp идут на L2 которые <br>&gt;&gt; в iptables не попадают.<br>&gt;&gt; Для L2 кури ebtables.<br>&gt; Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь? <br><br>точно, спи...ул, udp 67/68. значит с чем то спутал...<br><br> https://opennet.ru/openforum/vsluhforumID6/916.html#22 Tue, 13 Aug 2013 15:31:55 GMT &gt;&gt; Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в <br>&gt;&gt; списке DHCPD и он таки получает свой адрес по дхсп - <br>&gt;&gt; КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).<br>&gt; теория проста - iptables - это IP (L3) с небольшими расширениями в <br>&gt; сторону L2. а запросы и ответы dhcp идут на L2 которые <br>&gt; в iptables не попадают.<br>&gt; Для L2 кури ebtables.<br><br>вот вот такого ответа я искал - спасибо мил человек<br>зводно подскажите где читать про L1 L2 L3(не в плане что именно такое L1 L2 L3, а про саму структуру; иерархию - скажем так<br> https://opennet.ru/openforum/vsluhforumID6/916.html#21 Tue, 13 Aug 2013 12:54:38 GMT &gt; теория проста - iptables - это IP (L3) с небольшими расширениями в <br>&gt; сторону L2. а запросы и ответы dhcp идут на L2 которые <br>&gt; в iptables не попадают.<br>&gt; Для L2 кури ebtables.<br><br>Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?<br> https://opennet.ru/openforum/vsluhforumID6/916.html#20 Mon, 12 Aug 2013 19:18:46 GMT <br>&gt; Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в <br>&gt; списке DHCPD и он таки получает свой адрес по дхсп - <br>&gt; КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).<br><br>теория проста - iptables - это IP (L3) с небольшими расширениями в сторону L2. а запросы и ответы dhcp идут на L2 которые в iptables не попадают.<br>Для L2 кури ebtables.<br> https://opennet.ru/openforum/vsluhforumID6/916.html#19 Mon, 12 Aug 2013 17:28:36 GMT &gt; можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное <br>&gt; что бы icmp было разрешено.<br>&gt; нагрузка то да будет немаленькая на машинку.<br>&gt; может стоит тогда рассмотреть другие варианты кроме мака?<br><br>другие варианты - не варианты. Заказщик захотел именно МАС<br>добавил теже правила в форвард и заработало - все пока не проверял )))<br> https://opennet.ru/openforum/vsluhforumID6/916.html#18 Mon, 12 Aug 2013 17:26:02 GMT &gt;[оверквотинг удален]<br>&gt; MAC 22:33:66:88:88:00 <br>&gt; ACCEPT all -- 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; MAC 22:33:66:88:88:00 <br>&gt; ACCEPT all -- 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; MAC 22:33:66:88:88:00 <br>&gt; ACCEPT all -- 0.0.0.0/0 <br>&gt; 0.0.0.0/0 <br>&gt; MAC 22:33:66:88:88:00 <br><br>ТАКой вариант заработал!!!!!!<br>DHCP пока не проверил - но на маршрутизатор уже не пускает<br> https://opennet.ru/openforum/vsluhforumID6/916.html#17 Mon, 12 Aug 2013 17:11:25 GMT можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное что бы icmp было разрешено.<br>нагрузка то да будет немаленькая на машинку.<br><br>может стоит тогда рассмотреть другие варианты кроме мака?<br><br> https://opennet.ru/openforum/vsluhforumID6/916.html#16 Mon, 12 Aug 2013 16:59:07 GMT &gt;&gt;&gt; default policy выставить дроп не пробывали?<br>&gt;&gt; как бы не желательно - есть свичи L2 которые могут из-за погодных <br>&gt;&gt; условий часто меняться :-) и они в бегают по своему вилану <br>&gt; хм... последним правилом поставить условие дропать все маки... правда я не <br>&gt; представляю как оно будет...<br>&gt; или как вариант добавлять правила по типу <br>&gt; iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP <br>&gt; iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP <br>&gt; и тогда он будет дрова все маки за исключением заданых, минус в <br>&gt; том что при многих девайсах цепочка будет большая+ много ручной работы <br><br>можно попробовать но ДРОП не вариант - тогда не поймешь есть ли конект с серваком у юЗверя<br><br>ОЧЕЕНЬ большая там уже 1300 правил, и это только таблиц, а ещё около 1000 ТСшных :-) скоро Intel Atom D525 загнется на нарубке трафика :-)))))<br><br><br> https://opennet.ru/openforum/vsluhforumID6/916.html#15 Mon, 12 Aug 2013 16:55:50 GMT <br>&gt; т.е. добалю такое правило и в фильтр <br>&gt; Ну тут ладно щас проверю - это для проходящих пакетов и похоже <br>&gt; на правду, но остаетвя вопрос - чо DHCP пролазит тут то <br>&gt; уже точно пакет не проходящий а образается к серверу <br><br>на текущий момент стало так<br>Chain INPUT (policy ACCEPT)<br>target prot opt source destination<br>ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 MAC 00:11:22:33:44:55<br>mac-user all -- 0.0.0.0/0 0.0.0.0/0<br>mac-user all -- 0.0.0.0/0 0.0.0.0/0<br>mac-user all -- 0.0.0.0/0 0.0.0.0/0<br>REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable<br>REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable<br>REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable<br><br>Chain FORWARD (policy ACCEPT)<br>target prot opt source destination<br>mac-user all -- 0.0.0.0/0 0.0.0.0/0<br>mac-user all -