forum.opennet.ru - "отлов Левого PPPoE сервер в сети" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"отлов Левого PPPoE сервер в сети"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"отлов Левого PPPoE сервер в сети"
Сообщение от anad (ok) on 03-Мрт-08, 11:56
По понятным причинам не хочется вязяться к мас адресу серверов PPPoE. Известны порты к которым может/не может быть подключен легалльный PPPoE сервер. Сколько не искал, не получилось сделать ничего ранее возникновения PADO пакета ( то есть просто его рубим и не проходит соединением) . Теперь, при наличии ложного сервера в сети, довольно часто клиент получает сообщение "удаленный сервер не ответил". Ситуация, вроде как, не нормальная - при отсутвии PADО пакета клиент должен начать работать со следующим сервисом,предоставившим ему ответет на дискавери пакет. Куда копать ? - В фильтры (хотя много раз проверил) или придется все же по макам. Или тестовый стенд менять. Правило фильтрации в данный момент такое. если тип ETH пакета 8863 и поле код PPPoE протокола установлено в 07 - входящий пакет с порта ( не из списка где можно) - deny.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

отлов Левого PPPoE сервер в сети, chesnok, 14:32 , 03-Мрт-08, (1)

отлов Левого PPPoE сервер в сети, anad, 15:06 , 03-Мрт-08, (2)

отлов Левого PPPoE сервер в сети, chesnok, 15:20 , 03-Мрт-08, (3)

отлов Левого PPPoE сервер в сети, anad, 15:45 , 03-Мрт-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "отлов Левого PPPoE сервер в сети"

Сообщение от chesnok (ok) on 03-Мрт-08, 14:32

>[оверквотинг удален]
>должен  начать  работать со следующим сервисом,предоставившим ему  ответет
>на дискавери пакет.
>Куда  копать ? -  В фильтры (хотя много раз проверил)
>или  придется  все же по макам. Или тестовый стенд
>менять.
>
>Правило фильтрации в данный момент такое.
>если тип  ETH пакета  8863  и поле  код
>PPPoE протокола  установлено в 07 -  входящий пакет с
>порта ( не из списка где можно) - deny.
можно так:
на всех портах разрешается PADI
на порту, к которому подключен PPPoE AC разрешается PADO
cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от клиентов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "отлов Левого PPPoE сервер в сети"

Сообщение от anad (ok) on 03-Мрт-08, 15:06

>[оверквотинг удален]
>>Правило фильтрации в данный момент такое.
>>если тип  ETH пакета  8863  и поле  код
>>PPPoE протокола  установлено в 07 -  входящий пакет с
>>порта ( не из списка где можно) - deny.
>
>можно так:
>на всех портах разрешается PADI
>на порту, к которому подключен PPPoE AC разрешается PADO
>cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от
>клиентов
вообще  фильтр и должен это делать, у PADO  пакет и будет иметь 07  как  признак пакета ( то есть со смещения  17  смотрим чтобы  пакет не был 88630107 -  где 8863 - PPPoE пакет, 01 - версия протокола, 07 - PADO -  понять быт  почему  при наличии ложного сервера клиент не всегда  получает ответ ( других фильтров  нет в тестовой среде) -  при наличии только легитимных серверов -  никаках задержек  не будет .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "отлов Левого PPPoE сервер в сети"

Сообщение от chesnok (ok) on 03-Мрт-08, 15:20

>[оверквотинг удален]
>
>вообще  фильтр и должен это делать, у PADO  пакет и
>будет иметь 07  как  признак пакета ( то есть
>со смещения  17  смотрим чтобы  пакет не был
>88630107 -  где 8863 - PPPoE пакет, 01 - версия
>протокола, 07 - PADO -  понять быт  почему
>при наличии ложного сервера клиент не всегда  получает ответ (
>других фильтров  нет в тестовой среде) -  при наличии
>только легитимных серверов -  никаках задержек  не будет .
>
у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа сервии Dlink 3500,описание варианта решение :
http://dlink.ru/technical/faq_hub_switch_75.php

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "отлов Левого PPPoE сервер в сети"

Сообщение от anad (ok) on 03-Мрт-08, 15:45

>[оверквотинг удален]
>>протокола, 07 - PADO -  понять быт  почему
>>при наличии ложного сервера клиент не всегда  получает ответ (
>>других фильтров  нет в тестовой среде) -  при наличии
>>только легитимных серверов -  никаках задержек  не будет .
>>
>
>у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа
>сервии Dlink 3500,описание варианта решение :
>
>http://dlink.ru/technical/faq_hub_switch_75.php
Все заработало -  чертова наука  о контактах -  достаточно было взять  другой  патч!
там решение с маками, коммутаторы  DLINK -   35 - й серии  же, фильр выглядит как
create access_profile packet_content_mask offset_16-31  0xFFFF00FF  0x0  0x0  0x
0 profile_id 100
config access_profile profile_id 100 add access_id 1 packet_content_mask offset_
1-24  0x88630007  0x0  0x0  0x0 port 1 deny
то есть  без версии протокола :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "отлов Левого PPPoE сервер в сети"
Сообщение от chesnok (ok) on 03-Мрт-08, 14:32
>[оверквотинг удален] >должен начать работать со следующим сервисом,предоставившим ему ответет >на дискавери пакет. >Куда копать ? - В фильтры (хотя много раз проверил) >или придется все же по макам. Или тестовый стенд >менять. > >Правило фильтрации в данный момент такое. >если тип ETH пакета 8863 и поле код >PPPoE протокола установлено в 07 - входящий пакет с >порта ( не из списка где можно) - deny. можно так: на всех портах разрешается PADI на порту, к которому подключен PPPoE AC разрешается PADO cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от клиентов
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "отлов Левого PPPoE сервер в сети"
	Сообщение от anad (ok) on 03-Мрт-08, 15:06
	>[оверквотинг удален] >>Правило фильтрации в данный момент такое. >>если тип ETH пакета 8863 и поле код >>PPPoE протокола установлено в 07 - входящий пакет с >>порта ( не из списка где можно) - deny. > >можно так: >на всех портах разрешается PADI >на порту, к которому подключен PPPoE AC разрешается PADO >cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от >клиентов вообще фильтр и должен это делать, у PADO пакет и будет иметь 07 как признак пакета ( то есть со смещения 17 смотрим чтобы пакет не был 88630107 - где 8863 - PPPoE пакет, 01 - версия протокола, 07 - PADO - понять быт почему при наличии ложного сервера клиент не всегда получает ответ ( других фильтров нет в тестовой среде) - при наличии только легитимных серверов - никаках задержек не будет .
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "отлов Левого PPPoE сервер в сети"
	Сообщение от chesnok (ok) on 03-Мрт-08, 15:20
	>[оверквотинг удален] > >вообще фильтр и должен это делать, у PADO пакет и >будет иметь 07 как признак пакета ( то есть >со смещения 17 смотрим чтобы пакет не был >88630107 - где 8863 - PPPoE пакет, 01 - версия >протокола, 07 - PADO - понять быт почему >при наличии ложного сервера клиент не всегда получает ответ ( >других фильтров нет в тестовой среде) - при наличии >только легитимных серверов - никаках задержек не будет . > у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа сервии Dlink 3500,описание варианта решение : http://dlink.ru/technical/faq_hub_switch_75.php
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "отлов Левого PPPoE сервер в сети"
	Сообщение от anad (ok) on 03-Мрт-08, 15:45
	>[оверквотинг удален] >>протокола, 07 - PADO - понять быт почему >>при наличии ложного сервера клиент не всегда получает ответ ( >>других фильтров нет в тестовой среде) - при наличии >>только легитимных серверов - никаках задержек не будет . >> > >у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа >сервии Dlink 3500,описание варианта решение : > >http://dlink.ru/technical/faq_hub_switch_75.php Все заработало - чертова наука о контактах - достаточно было взять другой патч! там решение с маками, коммутаторы DLINK - 35 - й серии же, фильр выглядит как create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x 0 profile_id 100 config access_profile profile_id 100 add access_id 1 packet_content_mask offset_ 1-24 0x88630007 0x0 0x0 0x0 port 1 deny то есть без версии протокола :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]