Проскакивают запросы DHCP зереч fierwall, gik, 03-Июн-11, 12:17 [смотреть все]Добрый день. Есть арендодатель со своею сетью 192.168.0.0/24 раздаёт арендаторам Интернет по ppp. У арендатора altlinux c двумя сетевухами eth0 смотрит в сеть арендодателя eth1 в свою локальную сеть 192.168.90.0/24 У арендодатель стоит DHCP сервер и раздает ip. Проблема в том, что DHCP запросы проскакивают через linux в локалку 192.168.90.0 и не могу их никак зарубить. Помогите решить проблему. # ifconfig eth0 Link encap:Ethernet HWaddr 00:50:BA:87:7C:24 inet addr:192.168.0.251 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5052 errors:2 dropped:9 overruns:2 frame:0 TX packets:2519 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2085235 (1.9 MiB) TX bytes:373968 (365.2 KiB) Interrupt:9 Base address:0xaf00
eth1 Link encap:Ethernet HWaddr 00:80:48:4E:39:D4 inet addr:192.168.90.100 Bcast:192.168.90.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:3442 errors:0 dropped:0 overruns:0 frame:0 TX packets:2491 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:444319 (433.9 KiB) TX bytes:1857480 (1.7 MiB) Interrupt:5 Base address:0xce00 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1219 errors:0 dropped:0 overruns:0 frame:0 TX packets:1219 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:201876 (197.1 KiB) TX bytes:201876 (197.1 KiB) ppp1 Link encap:Point-to-Point Protocol inet addr:192.168.111.61 P-t-P:192.168.111.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1 RX packets:2444 errors:0 dropped:0 overruns:0 frame:0 TX packets:2068 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:1759054 (1.6 MiB) TX bytes:216680 (211.6 KiB) venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) iptables-save # Generated by iptables-save v1.4.5 on Fri Jun 3 13:15:03 2011 *mangle :PREROUTING ACCEPT [12461:5108667] :INPUT ACCEPT [9189:3414759] :FORWARD ACCEPT [2775:1595894] :OUTPUT ACCEPT [7108:1535152] :POSTROUTING ACCEPT [10016:3157806] COMMIT # Completed on Fri Jun 3 13:15:03 2011 # Generated by iptables-save v1.4.5 on Fri Jun 3 13:15:03 2011 *nat :PREROUTING ACCEPT [1369:169571] :POSTROUTING ACCEPT [522:35518] :OUTPUT ACCEPT [522:35518] -A PREROUTING -i eth1 -p tcp -m tcp --dport 70 -j REDIRECT --to-ports 3128 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -s 192.168.133.133/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -i eth0 -p tcp -m tcp --dport 1234 -j DNAT --to-destination 192.168.90.16:1234 -A POSTROUTING -s 192.168.90.0/24 -o ppp1 -j SNAT --to-source 192.168.111.61 COMMIT # Completed on Fri Jun 3 13:15:03 2011 # Generated by iptables-save v1.4.5 on Fri Jun 3 13:15:03 2011 *filter :INPUT ACCEPT [643:64465] :FORWARD ACCEPT [180:26079] :OUTPUT ACCEPT [653:59725] -A INPUT -f -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j ULOG --ulog-prefix "icount" --ulog-cprange 48 --ulog-qthreshold 50 -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 67 -j DROP -A INPUT -d 255.255.255.255/32 -i eth0 -p tcp -m tcp --sport 68 --dport 67 -j DROP -A INPUT -d 255.255.255.255/32 -i eth0 -p tcp -m tcp --sport 67 --dport 68 -j DROP -A INPUT -d 255.255.255.255/32 -i eth0 -p udp -m udp --sport 68 --dport 67 -j DROP -A INPUT -d 255.255.255.255/32 -i eth0 -p udp -m udp --sport 67 --dport 68 -j DROP -A INPUT -i eth0 -p udp -m pkttype --pkt-type broadcast -j DROP -A INPUT -i eth0 -p icmp -j ACCEPT -A INPUT -s 192.168.133.133/32 -i eth0 -j ACCEPT -A INPUT -i ppp1 -p tcp -m tcp --dport 8080 -j ACCEPT -A INPUT -i ppp1 -p udp -m udp --dport 1194 -j ACCEPT -A INPUT -i ppp1 -p tcp -m tcp --dport 1194 -j ACCEPT -A INPUT -i ppp1 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i ppp1 -p udp -m udp --dport 22 -j ACCEPT -A INPUT -i ppp1 -p icmp -j ACCEPT -A INPUT -i ppp1 -j DROP -A INPUT -d 192.168.90.0/24 -i eth0 -p tcp -m tcp -j REJECT --reject-with icmp-port-unreachable -A INPUT -d 192.168.90.0/24 -i eth0 -p udp -m udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -s 192.168.0.0/24 -i eth1 -p udp -m udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REJECT --reject-with icmp-port-unreachable -A FORWARD -f -j DROP -A FORWARD -i eth1 -p tcp -m tcp --dport 139 -j DROP -A FORWARD -i eth1 -p udp -m udp --sport 137 --dport 137 -j DROP -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j ULOG --ulog-prefix "fcount" --ulog-cprange 48 --ulog-qthreshold 50 -A FORWARD -m physdev --physdev-is-bridged -j ACCEPT -A FORWARD -i ppp1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ppp1 -j DROP -A OUTPUT -o eth0 -p udp -m udp --dport 68 -j DROP -A OUTPUT -d 192.168.133.133/32 -j ACCEPT -A OUTPUT -d 192.168.133.166/32 -j ACCEPT -A OUTPUT -f -j DROP -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -j ULOG --ulog-prefix "ocount" --ulog-cprange 48 --ulog-qthreshold 50 COMMIT # Completed on Fri Jun 3 13:15:03 2011 Наблюдаю пакеты DHCP прошедшие на внутренний интерфейс # tcpdump -nn -i eth1|grep DHCP tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 11:40:29.282730 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a, length 325 11:40:29.328672 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 11:40:30.671596 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, length 300 11:40:34.659310 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, length 300 11:41:09.059280 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:1e:33:5e:ab:5d, length 300 11:41:09.345986 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 11:41:09.391044 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:1e:33:5e:ab:5d, length 306 11:41:09.428857 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 11:41:17.906638 IP 192.168.0.140.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:25:22:6f:12:95, length 300 11:41:21.759323 IP 192.168.0.136.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:1e:33:5e:ab:5d, length 300 11:41:24.744830 IP 192.168.0.136.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:1e:33:5e:ab:5d, length 300 11:41:29.298717 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a, length 325 11:41:29.329061 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300
|
- Проскакивают запросы DHCP зереч fierwall, Andrey Mitrofanov, 12:28 , 03-Июн-11 (1)
> DHCP запросы проскакивают через linux в локалку 192.168.90.0 и не могу > их никак зарубить. Помогите решить проблему. > -A INPUT -i eth0 -p tcp -m tcp --dport 67 -j DROP Во-первых, оно вроде, только UDP. Во-вторых, "это" надо делать не в INPUT, а в FORWARD. В-третьих, достаточно,наверное, одного правила. > -A INPUT -d 255.255.255.255/32 -i eth0 -p tcp -m tcp --sport 68 > --dport 67 -j DROP > Наблюдаю пакеты DHCP прошедшие на внутренний интерфейс > # tcpdump -nn -i eth1|grep DHCP > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes > 11:40:29.282730 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a,
- Проскакивают запросы DHCP зереч fierwall, Andrey Mitrofanov, 12:37 , 03-Июн-11 (2)
>> DHCP запросы проскакивают через linux в локалку 192.168.90.0 и не могу > Во-первых, > Во-вторых, > В-третьих, А в-четвёртых (или в-нулёвых?!), бродкасты _вообще_ не должны _роутиться_. Установлен какой-ни-то dhcp relay? "Но, чёрт возьми, Хо-о-олмс?"...
- Проскакивают запросы DHCP зереч fierwall, gik, 12:43 , 03-Июн-11 (4)
> А в-четвёртых (или в-нулёвых?!), бродкасты _вообще_ не должны _роутиться_. > Установлен какой-ни-то dhcp relay? "Но, чёрт возьми, Хо-о-олмс?"...Вот с эти поподробней. Как бродкасте не роутить? dhcp в локолке 192.168.90.0 не поднят
- Проскакивают запросы DHCP зереч fierwall, gik, 12:39 , 03-Июн-11 (3)
> Во-первых, оно вроде, только UDP. дую на воду > Во-вторых, "это" надо делать не в INPUT, а в FORWARD. -A FORWARD -i eth0 -p udp --dport 67 -j DROP -A FORWARD -i eth0 -p udp --dport 68 -j DROP Все равно проходят # tcpdump -nn -i eth1|grep DHCP tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 13:34:59.154713 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, length 300 13:35:00.865930 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a, length 325 13:35:00.904420 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 13:35:02.904755 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, length 300
- Проскакивают запросы DHCP зереч fierwall, reader, 12:51 , 03-Июн-11 (5)
>[оверквотинг удален] > # tcpdump -nn -i eth1|grep DHCP > tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes > 13:34:59.154713 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, > length 300 > 13:35:00.865930 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a, > length 325 > 13:35:00.904420 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 > 13:35:02.904755 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, > length 300 так вы сразу и на внешнем смотрите на всех вобщем.
- Проскакивают запросы DHCP зереч fierwall, gik, 12:59 , 03-Июн-11 (6)
>[оверквотинг удален] >> listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes >> 13:34:59.154713 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, >> length 300 >> 13:35:00.865930 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a, >> length 325 >> 13:35:00.904420 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 >> 13:35:02.904755 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, >> length 300 > так вы сразу и на внешнем смотрите > на всех вобщем.А как же опция -i eth1, только на интерфейсе eth1, или я что-то не понимаю
- Проскакивают запросы DHCP зереч fierwall, reader, 13:11 , 03-Июн-11 (7)
>[оверквотинг удален] >>> length 300 >>> 13:35:00.865930 IP 192.168.0.252.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:c1:28:01:1d:0a, >>> length 325 >>> 13:35:00.904420 IP 192.168.0.4.67 > 255.255.255.255.68: BOOTP/DHCP, Reply, length 300 >>> 13:35:02.904755 IP 192.168.0.182.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:16:36:21:62:7f, >>> length 300 >> так вы сразу и на внешнем смотрите >> на всех вобщем. > А как же опция -i eth1, только на интерфейсе eth1, > или я что-то не понимаю изменяйте ступил, это же не от ваших машин. а если политику по умолчанию в drop перевести?
- Проскакивают запросы DHCP зереч fierwall, gik, 13:17 , 03-Июн-11 (8)
> изменяйте ступил, это же не от ваших машин. > а если политику по умолчанию в drop перевести?Пока сижу удаленно, координально менять политику опасно. Всетаки непонятно как зарубить бродкасты.
- Проскакивают запросы DHCP зереч fierwall, reader, 13:33 , 03-Июн-11 (9)
>> изменяйте ступил, это же не от ваших машин. >> а если политику по умолчанию в drop перевести? > Пока сижу удаленно, координально менять политику опасно. > Всетаки непонятно как зарубить бродкасты.iptables -A FORWARD -i eth1 -j LOG --log-prefix "IPT INPUT eth1: " --log-level 7 в логах увидите что проходит через правила но умолчанию. нужное разрешить, а потом iptables -A FORWARD -i eth1 -j DROP
- Проскакивают запросы DHCP зереч fierwall, reader, 13:40 , 03-Июн-11 (12)
>>> изменяйте ступил, это же не от ваших машин. >>> а если политику по умолчанию в drop перевести? >> Пока сижу удаленно, координально менять политику опасно. >> Всетаки непонятно как зарубить бродкасты. > iptables -A FORWARD -i eth1 -j LOG --log-prefix "IPT INPUT eth1: " > --log-level 7 > в логах увидите что проходит через правила но умолчанию. > нужное разрешить, а потом > iptables -A FORWARD -i eth1 -j DROP если и это сташно, запланировать востановление правил через xxx минут
- Проскакивают запросы DHCP зереч fierwall, gik, 14:07 , 03-Июн-11 (13)
>>>> изменяйте ступил, это же не от ваших машин. >>>> а если политику по умолчанию в drop перевести? >>> Пока сижу удаленно, координально менять политику опасно. >>> Всетаки непонятно как зарубить бродкасты. >> iptables -A FORWARD -i eth1 -j LOG --log-prefix "IPT INPUT eth1: " >> --log-level 7 >> в логах увидите что проходит через правила но умолчанию. >> нужное разрешить, а потом >> iptables -A FORWARD -i eth1 -j DROP > если и это сташно, запланировать востановление правил через xxx минут В понедельник буду на месте политики переделаю. А LOG только такие сообщения, ничего криминального [ 5771.559395] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.35 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56361 PROTO=UDP SPT=3475 DPT=2001 LEN=10 [ 5771.559701] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.38 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56362 PROTO=UDP SPT=3476 DPT=2001 LEN=10 [ 5771.786201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.41 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56372 PROTO=UDP SPT=3477 DPT=2001 LEN=10 [ 5771.816201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.44 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56375 PROTO=UDP SPT=3478 DPT=2001 LEN=10 [ 5771.994643] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=130.117.190.195 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56379 PROTO=UDP SPT=3479 DPT=2001 LEN=10 [ 5772.014655] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=130.117.190.198 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56380 PROTO=UDP SPT=3480 DPT=2001 LEN=10
- Проскакивают запросы DHCP зереч fierwall, reader, 15:52 , 03-Июн-11 (15)
>[оверквотинг удален] > [ 5771.559701] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.38 LEN=30 > TOS=0x00 PREC=0x00 TTL=127 ID=56362 PROTO=UDP SPT=3476 DPT=2001 LEN=10 > [ 5771.786201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.41 LEN=30 > TOS=0x00 PREC=0x00 TTL=127 ID=56372 PROTO=UDP SPT=3477 DPT=2001 LEN=10 > [ 5771.816201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.44 LEN=30 > TOS=0x00 PREC=0x00 TTL=127 ID=56375 PROTO=UDP SPT=3478 DPT=2001 LEN=10 > [ 5771.994643] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=130.117.190.195 > LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56379 PROTO=UDP SPT=3479 DPT=2001 LEN=10 > [ 5772.014655] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=130.117.190.198 > LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56380 PROTO=UDP SPT=3480 DPT=2001 LEN=10 вот же, опять интерфейсы попутал, -i eth0 вместо -i eth1
- Проскакивают запросы DHCP зереч fierwall, Дядя_Федор, 13:36 , 03-Июн-11 (10)
> Пока сижу удаленно, координально менять политику опасно. Cкрипт сварганьте. Который переводит дефолтную политику в DROP, а через (например) 2-3 минуты все сбрасывает обратно. В баше, например, через sleep.
- Проскакивают запросы DHCP зереч fierwall, Andrey Mitrofanov, 13:37 , 03-Июн-11 (11)
> -A FORWARD -i eth0 -p udp --dport 67 -j DROP > -A FORWARD -i eth0 -p udp --dport 68 -j DROP > Все равно проходят Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть.
- Проскакивают запросы DHCP зереч fierwall, gik, 14:09 , 03-Июн-11 (14)
>> -A FORWARD -i eth0 -p udp --dport 67 -j DROP >> -A FORWARD -i eth0 -p udp --dport 68 -j DROP >> Все равно проходят > Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть. А ведь возможно, надо проверить.
- Проскакивают запросы DHCP зереч fierwall, gik, 15:53 , 03-Июн-11 (16)
>>> -A FORWARD -i eth0 -p udp --dport 67 -j DROP >>> -A FORWARD -i eth0 -p udp --dport 68 -j DROP >>> Все равно проходят >> Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть. > А ведь возможно, надо проверить.Так и есть в одной из комнат воткнули провод из хаба в розетку арендодателя. А я уже начал сомневаться в возможностях iptables. Всем большое спасибо.
- Проскакивают запросы DHCP зереч fierwall, reader, 15:56 , 03-Июн-11 (17)
>>>> -A FORWARD -i eth0 -p udp --dport 67 -j DROP >>>> -A FORWARD -i eth0 -p udp --dport 68 -j DROP >>>> Все равно проходят >>> Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть. >> А ведь возможно, надо проверить. > Так и есть в одной из комнат воткнули провод из хаба в > розетку арендодателя. > А я уже начал сомневаться в возможностях iptables. > Всем большое спасибо.правило логирования удалите, а то логи будут большие
|