The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"fast ethernet skype iptables dhcp"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"fast ethernet skype iptables dhcp"  –1 +/
Сообщение от serdyksn (ok) on 12-Авг-13, 00:39 
Всем привет.
Есть система с сетевухой fast ethernet
Есть skype dhcp
Есть правило в iptables:

iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT

Суть проблемы.
Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в списке DHCPD и он таки получает свой адрес по дхсп - КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
Да и походу днс таки тоже просачивается ибо скайп-СКОТИНА тоже проходит регистрацию а потом благодаря супер возможности скайпа  у абонента он пашет

З.Ы.
Пока как вариант подумываю и про обратный фильтр на исходящие пакеты - но ищу варианты так как в сети 400 машин и дополнительно пускать в ту же цепочку пока нету желания

Подскажите ГДЕ почитать про уровни фаст езернета кто первый кто второй кто выше сидит - мне кажется там нада рыть

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "fast ethernet skype iptables dhcp"  +/
Сообщение от mr_noname (ok) on 12-Авг-13, 04:15 
Чёт сумбур какой. Надо поточнее же всё описывать.

Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP? И ты хочешь, чтобы он этот адрес получить не мог? Сервер DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя прописать блокировку в конфиге DHCP-сервера?

На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI. Собственно гугл выдаст по ней много всего - читай что хочешь.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 11:39 
> Чёт сумбур какой. Надо поточнее же всё описывать.
> Что такое "skype dhcp"? Компьютер со Скайпом, который получает адрес по DHCP?
> И ты хочешь, чтобы он этот адрес получить не мог? Сервер
> DHCP находится на маршрутизаторе (там же, где правила iptables)? Почему нельзя
> прописать блокировку в конфиге DHCP-сервера?
> На счёт "уровней фаст езернета" - видимо речь идёт о модели OSI.
> Собственно гугл выдаст по ней много всего - читай что хочешь.

Есть система RHEL6(без поддержки)
На ней крутится dhcpd, iptables, tc и пашет как маршрутизатор
Цель - управление доступом к шлюзу по МАС адресу( в идеале он и айпишник не должен выдавать)
в iptables прописано правило с цепочкой
iptables -A INPUT -i eth0 -j mac-user
iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT

На практике получаем фигню с тем что клиент получает айпишник от dhcpd и рабочей частью UDP
Блокируются пинги и ТСР протокол - остальное не проверял - и этих глюков хватает

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "fast ethernet skype iptables dhcp"  +/
Сообщение от mr_noname (ok) on 12-Авг-13, 12:54 
На первый взгляд всё правильно.
Первое, что приходит на ум - эти правила не в начале цепочки, и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
Можно посмотреть вывод: iptables -n -L
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 15:30 
> На первый взгляд всё правильно.
> Первое, что приходит на ум - эти правила не в начале цепочки,
> и трафик пропускают какие-то другие разрешающие правила, которые стоят в начале.
> Можно посмотреть вывод: iptables -n -L

можно
вам же будет достаточно цепочки INPUT? )))

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC su:pe:r_:m:ac:__ (кто понимает тот знает зачем тут это)
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
для близира часть цепочки пользователей
Chain mac-user (3 references)
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:60:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:69:77:99:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:44
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:64
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:44:66:77:99:00

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "fast ethernet skype iptables dhcp"  +/
Сообщение от GolDi (??) on 12-Авг-13, 16:01 
>[оверквотинг удален]
> в iptables прописано правило с цепочкой
> iptables -A INPUT -i eth0 -j mac-user
> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
> и рабочей частью UDP
> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
> глюков хватает

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "fast ethernet skype iptables dhcp"  +/
Сообщение от GolDi (??) on 12-Авг-13, 16:02 
>[оверквотинг удален]
>> в iptables прописано правило с цепочкой
>> iptables -A INPUT -i eth0 -j mac-user
>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>> и рабочей частью UDP
>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>> глюков хватает

А пакеты от сервера как идут, по каким цепочкам?
Надо бы посмотреть доку по iptables.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "fast ethernet skype iptables dhcp"  +/
Сообщение от GolDi (??) on 12-Авг-13, 16:23 
>[оверквотинг удален]
>>> iptables -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable
>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>> и рабочей частью UDP
>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>> глюков хватает
> А пакеты от сервера как идут, по каким цепочкам?
> Надо бы посмотреть доку по iptables.

таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 20:12 
>[оверквотинг удален]
>>>> iptables -A mac-user -m mac --mac-source 00:00:00:00:00:00 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 11:11:11:11:11:11 -j ACCEPT
>>>> iptables -A mac-user -m mac --mac-source 22:22:22:22:22:22 -j ACCEPT
>>>> На практике получаем фигню с тем что клиент получает айпишник от dhcpd
>>>> и рабочей частью UDP
>>>> Блокируются пинги и ТСР протокол - остальное не проверял - и этих
>>>> глюков хватает
>> А пакеты от сервера как идут, по каким цепочкам?
>> Надо бы посмотреть доку по iptables.
>  таблица FILTER цепочка OUTPUT для пакетов от локальных процессов сервера

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain mac-user (3 references)
фильтра вообще нету при iptables -n -L
есть такое в конфе
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 20:24 
>[оверквотинг удален]
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source    
>           destination
> Chain mac-user (3 references)
> фильтра вообще нету при iptables -n -L
> есть такое в конфе
> *filter
> :INPUT ACCEPT
> :FORWARD ACCEPT
> :OUTPUT ACCEPT

в общем вот что вычитал тут https://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES
походу в NAT он раньше смывается нежели я его хочу мучать - щас проверю на практике
т.е. добалю такое правило и в фильтр
Ну тут ладно щас проверю - это для проходящих пакетов и похоже на правду, но остаетвя вопрос - чо DHCP пролазит тут то уже точно пакет не проходящий а образается к серверу
З.Ы. Или пора мне в отпуск :-)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 20:55 

> т.е. добалю такое правило и в фильтр
> Ну тут ладно щас проверю - это для проходящих пакетов и похоже
> на правду, но остаетвя вопрос - чо DHCP пролазит тут то
> уже точно пакет не проходящий а образается к серверу

на текущий момент стало так
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 00:11:22:33:44:55
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
mac-user   all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain mac-user (6 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           MAC 22:33:66:88:88:00

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 21:26 
>[оверквотинг удален]
>          MAC 22:33:66:88:88:00
> ACCEPT     all  --  0.0.0.0/0  
>          0.0.0.0/0  
>          MAC 22:33:66:88:88:00
> ACCEPT     all  --  0.0.0.0/0  
>          0.0.0.0/0  
>          MAC 22:33:66:88:88:00
> ACCEPT     all  --  0.0.0.0/0  
>          0.0.0.0/0  
>          MAC 22:33:66:88:88:00

ТАКой вариант заработал!!!!!!
DHCP пока не проверил - но на маршрутизатор уже не пускает

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

2. "fast ethernet skype iptables dhcp"  +1 +/
Сообщение от КуКу (ok) on 12-Авг-13, 10:38 
машина, зеленый, небо, груша.


Ну а теперь к делу. Сформулируй вопрос, что нужно:
-что бы машинам дхцп не раздавал адреса?
-что бы машинам раздавались адреса, но не было интенета
-блокировать определенные  машины по мак-у?
-не давать всей братии юзать скайп?
и т.д и т.п.


вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и укажем куда нужно копать, а так извини, но ничего не понятно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 11:43 
> машина, зеленый, небо, груша.
> Ну а теперь к делу. Сформулируй вопрос, что нужно:
> -что бы машинам дхцп не раздавал адреса?
> -что бы машинам раздавались адреса, но не было интенета
> -блокировать определенные  машины по мак-у?
> -не давать всей братии юзать скайп?
> и т.д и т.п.
> вообщем при нормально сформулированом вопросе и не большом объеме данных, поможем, и
> укажем куда нужно копать, а так извини, но ничего не понятно

Да блокировать машину по МАС

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "fast ethernet skype iptables dhcp"  +/
Сообщение от КуКу (ok) on 12-Авг-13, 19:54 
default policy выставить дроп не пробывали?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 20:08 
> default policy выставить дроп не пробывали?

как бы не желательно - есть свичи L2 которые могут из-за погодных условий часто меняться :-) и они в бегают по своему вилану

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "fast ethernet skype iptables dhcp"  +/
Сообщение от КуКу (ok) on 12-Авг-13, 20:53 
>> default policy выставить дроп не пробывали?
> как бы не желательно - есть свичи L2 которые могут из-за погодных
> условий часто меняться :-) и они в бегают по своему вилану

хм... последним правилом поставить условие дропать все маки...  правда я не представляю как оно будет...

или как вариант добавлять правила по типу

iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP

и тогда он будет дрова все маки за исключением заданых, минус в том что при многих девайсах цепочка будет большая+ много ручной работы

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 20:59 
>>> default policy выставить дроп не пробывали?
>> как бы не желательно - есть свичи L2 которые могут из-за погодных
>> условий часто меняться :-) и они в бегают по своему вилану
> хм... последним правилом поставить условие дропать все маки...  правда я не
> представляю как оно будет...
> или как вариант добавлять правила по типу
> iptables -A mac-user -m mac ! --mac-source 00:00:00:00:00:00 -j DROP
> iptables -A mac-user -m mac ! --mac-source 01:10:01:01:01:01 -j DROP
> и тогда он будет дрова все маки за исключением заданых, минус в
> том что при многих девайсах цепочка будет большая+ много ручной работы

можно попробовать но ДРОП не вариант - тогда не поймешь есть ли конект с серваком у юЗверя

ОЧЕЕНЬ большая там уже 1300 правил, и это только таблиц, а ещё около 1000 ТСшных :-) скоро Intel Atom D525 загнется на нарубке трафика :-)))))


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "fast ethernet skype iptables dhcp"  +/
Сообщение от КуКу (ok) on 12-Авг-13, 21:11 
можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное что бы icmp было разрешено.
нагрузка то да будет немаленькая на машинку.

может стоит тогда рассмотреть другие варианты кроме мака?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 12-Авг-13, 21:28 
> можно не дропать, а реджектить, и пользователю будет уходить нормальный отлуп, главное
> что бы icmp было разрешено.
> нагрузка то да будет немаленькая на машинку.
> может стоит тогда рассмотреть другие варианты кроме мака?

другие варианты - не варианты. Заказщик захотел именно МАС
добавил теже правила в форвард и заработало - все пока не проверял )))

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "fast ethernet skype iptables dhcp"  +/
Сообщение от 1 (??) on 12-Авг-13, 23:18 

> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
> списке DHCPD и он таки получает свой адрес по дхсп -
> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).

теория проста - iptables - это IP (L3) с небольшими расширениями в сторону L2. а запросы и ответы dhcp идут на L2 которые в iptables не попадают.
Для L2 кури ebtables.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "fast ethernet skype iptables dhcp"  +/
Сообщение от gg (??) on 13-Авг-13, 16:54 
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.

Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "fast ethernet skype iptables dhcp"  +/
Сообщение от 1 (??) on 13-Авг-13, 22:39 
>> теория проста - iptables - это IP (L3) с небольшими расширениями в
>> сторону L2. а запросы и ответы dhcp идут на L2 которые
>> в iptables не попадают.
>> Для L2 кури ebtables.
> Ссылочкой на учебное заведение, в котором вы эту теорию почепнули, не поделитесь?

точно, спи...ул, udp 67/68. значит с чем то спутал...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "fast ethernet skype iptables dhcp"  +/
Сообщение от serdyksn (ok) on 13-Авг-13, 19:31 
>> Если персонаж с другим МАСом(не прописаным в фаервол) но который есть в
>> списке DHCPD и он таки получает свой адрес по дхсп -
>> КАКОГО? КАК?(понимаю нада учить теорию - не могу оттолкнуться).
> теория проста - iptables - это IP (L3) с небольшими расширениями в
> сторону L2. а запросы и ответы dhcp идут на L2 которые
> в iptables не попадают.
> Для L2 кури ebtables.

вот вот такого ответа я искал - спасибо мил человек
зводно подскажите где читать про L1 L2 L3(не в плане что именно такое L1 L2 L3, а про саму структуру; иерархию - скажем так

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру