форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw: замочить бродкасты/пользователи меняют ип(конфликт ип)"

Сообщение от weldpua2008 (ok) on 08-Ноя-06, 23:38

Здравствуйте В общем есть соеденение соседняя Сеть ---- FreeBSD 6.0(мост (bridge)) --- FreeBSD 6.0 Построенно на Wi-Fi 54Мбит(хотя реально меньше) В той (соседней сети) из которой идет Инет стоит БоргЧАТ, нетлук и еще бредотина всякая в настройках которого стоит - рассылать сообщения по адрессу 255.255.255.255 (не 10.0.0.0 даже ) Вот и возникает у Меня вопрос - как Мне энти бродкасты валить? Весь канал забивают ---- Вторая проблемя - пользователи меняют ИП и это вызывает конфликт ИП-ков Вроде бы и написал deny all from X.X.X.X/24 to any via rl0 deny all from any to X.X.X.X/24 via rl0 Но винда выдает - конфликт ип и все Я так понимаю это из-за того что arp запросы проходят Я тут подумал можно ли как -то сделать что бы нельзя было сменить Ип на определённые на определённых интерфейсах...? С утилитой arp может побаловаться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "ipfw: замочить бродкасты/пользователи меняют ип(конфликт ип)"

Сообщение от mg (??) on 09-Ноя-06, 00:45

>Здравствуйте >В общем есть соеденение >соседняя Сеть ---- FreeBSD 6.0(мост (bridge)) --- FreeBSD 6.0 >Построенно на Wi-Fi 54Мбит(хотя реально меньше) >В той (соседней сети) из которой идет Инет стоит БоргЧАТ, нетлук и >еще бредотина всякая в настройках которого стоит - рассылать сообщения по >адрессу 255.255.255.255 (не 10.0.0.0 даже ) > >Вот и возникает у Меня вопрос - как Мне энти бродкасты валить? > >Весь канал забивают > >---- >Вторая проблемя - пользователи меняют ИП и это вызывает конфликт ИП-ков >Вроде бы и написал >deny all from X.X.X.X/24 to any via rl0 >deny all from any to X.X.X.X/24 via rl0 >Но винда выдает - конфликт ип и все >Я так понимаю это из-за того что arp запросы проходят > >Я тут подумал можно ли как -то сделать что бы нельзя было >сменить Ип на определённые на определённых интерфейсах...? >С утилитой arp может побаловаться А что говорит ipfw show ? Оно должно показать на каких правилах у тебя что срабатывает и таким образом можно подобрать правила конкретно убивающие нужные тебе пакеты. Начни с правила deny all from X.X.X.X/24 to any И посмотри что показывает ipfw show? сколько пакетов поймано на нём, попробуй пинги и посмотри увеличивается ли счётчик пакетов на этом правиле. Затем например приоткрой до такого правила deny all from X.X.X.X/24 to any  via rl0 И опять посмотри сколько оно поймало пакетов. Можно так же посмотреть по логам , сколько и каких именно пакетов поймало данное правило, если ты включил в опциях ядра учитывать логи то можно использовать правила вида deny log all from X.X.X.X/24 to any Тогда в /var/log/security можно увидеть прям какие пакеты были пойманы данным правилом. Только не забывай периодический сбрасывать счётчики на правилах котрые занимаются логированием, потому что обычно число логов ограничивают опцией при компиляции ядра options IPFIREWALL_VERBOSE_LIMIT=100 т.е. например 100, поэтому переиодический нужно делать ipfw resetlog Я бы вообще повесил логирование на все правила и смотрел бы что и куда попало, а затем бы менял правила в нужную сторону.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Да, чуть не забыл..."

Сообщение от mg (??) on 09-Ноя-06, 01:18

Под FreeBSD на шлюзе можно осуществить привязку IP-MAC следующим путем: /usr/sbin/arp -f /etc/arp.conf Где файл /etc/arp.conf имеет следующую структуру: 192.168.0.2 00:90:90:71:00:04 pub После этого у тех кто ввёл не правильный IP интернета не будет, более того его можно будет вычислить по конфликту и мак адресу :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Да, чуть не забыл..."
	Сообщение от weldpua2008 (ok) on 09-Ноя-06, 02:35
	>Под FreeBSD на шлюзе можно осуществить привязку IP-MAC следующим путем: >/usr/sbin/arp -f /etc/arp.conf >Где файл /etc/arp.conf имеет следующую структуру: >192.168.0.2 00:90:90:71:00:04 pub >После этого у тех кто ввёл не правильный IP интернета не будет, >более того его можно будет вычислить по конфликту и мак адресу >:) это Я втидел, но теперь вопрос такой: как запретить именно Х.Х.Х.Х/24 адресса? Тоесть определённые... Ибо нету привязки к ИП для ВСЕХ. И при этом!!! Что бы Х.Х.Х.Х/24 адресса нормально видились через другую сетевуху Тоесть убрать с сетевой на роутере Х.Х.Х.Х/24 адресса - что бы Он Их вообще не видел.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Да, чуть не забыл..."
	Сообщение от weldpua2008 (ok) on 09-Ноя-06, 02:44
	А что говорит ipfw show ? Оно должно показать на каких правилах у тебя что срабатывает и таким образом можно подобрать правила конкретно убивающие нужные тебе пакеты. Начни с правила deny all from X.X.X.X/24 to any И посмотри что показывает ipfw show? сколько пакетов поймано на нём, попробуй пинги и посмотри увеличивается ли счётчик пакетов на этом правиле. В общем стоят правила так: deny ... allow ... allow all from any to any 65536 deny all from any to any На allow all from any to any попадает много пакетов, а на 65536 до сотни доходит Пытался не ставить allow all from any to any, но все тихо загибалось... Скорее всего из-за того что Я не использовал keep-state И т.д. А так как Я удалён от той машины, нет возможности учится... Если кто сможет помочь Я намылю уже составленные правила...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Да, чуть не забыл..."
	Сообщение от mg (??) on 09-Ноя-06, 04:37
	>А что говорит ipfw show ? Оно должно показать на каких правилах >у тебя что срабатывает и таким образом можно подобрать правила конкретно >убивающие нужные тебе пакеты. Начни с правила >deny all from X.X.X.X/24 to any >И посмотри что показывает ipfw show? сколько пакетов поймано на нём, попробуй >пинги и посмотри увеличивается ли счётчик пакетов на этом правиле. > >В общем стоят правила так: > >deny ... >allow ... > >allow all from any to any >65536 deny all from any to any > > >На allow all from any to any попадает много пакетов, а на >65536 до сотни доходит >Пытался не ставить allow all from any to any, но все тихо >загибалось... >Скорее всего из-за того что Я не использовал keep-state И т.д. > >А так как Я удалён от той машины, нет возможности учится... >Если кто сможет помочь Я намылю уже составленные правила... Если честно то я не допонял.. Как у тебя попадают пакеты на 65536 если у тебя до него стоит allow all from any to any ? По-моему это просто невозможно. И ещё есть такое правило pass ip from any to any established Если хочешь убивать целенаправлено arp то можно попробовать так deny layer2 from any to any mac-type arp Тока это опасное правило, может вообще всё отвалиться нафиг, так что ты лучше сделай в конце так : pass layer2 from any to any mac-type arp allow all from any to any И посмотри на счётчики, затем его скорректируй, пока это правило не начнёт считать только то что ты хочешь отрезать, убедись что всё что нужно не считается этим правилом и только потом измени pass на deny. Так можно поступить с любым правилом, сначало делаешь на разрешить и смотришь что на него садиться, как толкьо видишь что на нём нет ничего нужного то меняешь pass на deny. Собственно я тебе это и говорил, и это безопасно, даже удалённо, разве что если ты перепутаешь что-то ... Ты всё же добавь логирование на все запреты и смотри что реально запрещается.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Да, чуть не забыл..."
	Сообщение от weldpua2008 (ok) on 10-Ноя-06, 12:46
	>Если честно то я не допонял.. >Как у тебя попадают пакеты на 65536 если у тебя до него >стоит allow all from any to any ? По-моему это просто >невозможно. Кажется Я понял  -менял правила (добавил allow all from any to any) а статистика осталась :) >И ещё есть такое правило >pass ip from any to any established Ну и остался без ответа или Я его не вижу - как убивать бродкаст?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Ну не знаю, вроде то что ты написал уже должно было спасти....."
	Сообщение от mg (??) on 10-Ноя-06, 22:48
	Такое видел? add deny log all from any to 0.0.0.0/8 via ${oif} add deny log all from any to 169.254.0.0/16 via ${oif} add deny log all from any to 192.0.2.0/24 via ${oif} add deny log all from any to 198.18.0.0/15 via ${oif} add deny log all from any to 224.0.0.0/4 via ${oif} add deny log all from any to 240.0.0.0/4 via ${oif} Взято отсюда http://uafug.org.ua/projects/faq/firewall.setup/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Ну не знаю, вроде то что ты написал уже должно было спасти....."
	Сообщение от valeranewukr.net on 18-Ноя-06, 16:11
	>Ну и остался без ответа или Я его не вижу - как убивать бродкаст? >Такое видел? >add deny log all from any to 0.0.0.0/8 via ${oif} >add deny log all from any to 169.254.0.0/16 via ${oif} >add deny log all from any to 192.0.2.0/24 via ${oif} >add deny log all from any to 198.18.0.0/15 via ${oif} >add deny log all from any to 224.0.0.0/4 via ${oif} >add deny log all from any to 240.0.0.0/4 via ${oif} > >Взято отсюда http://uafug.org.ua/projects/faq/firewall.setup/ Насколько Я понимаю ${oif} это внешний интерфейс судя по ссылке А Мне надо вот что: ---сеть1--|------|           |роутер| ---сеть2--|______| что бы сеть1 не брудкастила через роутер сеть2 - так как это bridge, то он все отправляет в сеть1/2. Как говорил - Борг-чат,Vypress-chat и тому подобные проги просто вешают сеть...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Ну не знаю, вроде то что ты написал уже должно было спасти....."
	Сообщение от mg (??) on 18-Ноя-06, 16:45
	>>Ну и остался без ответа или Я его не вижу - как убивать бродкаст? >>Такое видел? >>add deny log all from any to 0.0.0.0/8 via ${oif} >>add deny log all from any to 169.254.0.0/16 via ${oif} >>add deny log all from any to 192.0.2.0/24 via ${oif} >>add deny log all from any to 198.18.0.0/15 via ${oif} >>add deny log all from any to 224.0.0.0/4 via ${oif} >>add deny log all from any to 240.0.0.0/4 via ${oif} >> >>Взято отсюда http://uafug.org.ua/projects/faq/firewall.setup/ > > >Насколько Я понимаю ${oif} это внешний интерфейс судя по ссылке >А Мне надо вот что: >---сеть1--|------| >          |роутер| >---сеть2--|______| >что бы сеть1 не брудкастила через роутер сеть2 - так как это >bridge, то он все отправляет в сеть1/2. >Как говорил - Борг-чат,Vypress-chat и тому подобные проги просто вешают сеть... Ну насколько я понимаю, эти правила убивают именно бруткасты,поэтому  уберите там via ${oif} Т.е. они должны убивать всё что имеет адрес назначения начинающийся с 0 или с 224 (майкрософт любит такое) или с 169.254. В любом случае попробуйте может поможет, а может нет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]