Блокировка широковещательных запросов на определенном ip

[conrad66]

Есть сервер на дебиан.
На интерфейсе все время растущее количество RX dropped пакетов в ifconfig.
Поиск в гугл нашел объяснение, что начиная с какого-то ядра линукса дропы возможны по следующим причинам:
Softnet backlog full
Bad / Unintended VLAN tags
Unknown / Unregistered protocols
IPv6 frames when the server is not configured for IPv6

Часть причин я поборол.
tcpdump -i enp1s0 -nnve not ip and not arp
помог выявить остальные.
Это широковещательные запросы от определенных устройств в сеть, которые не определяет дебиан ( Unknown / Unregistered protocols ) типа:
01:02:03:04:05:06 > ff:ff:ff:ff:ff:ff, ethertype Unknown (0x8033), length 416
или
01:02:03:04:05:06 > ff:ff:ff:ff:ff:ff, 802.3, length 6: LLC

Подскажите
Как мне запретить получать подобные запросы на определенном ip ( ip сервера дебиан ) от определенного mac ( или ip ) ?
Что настроить в фаерволе ?
Другие же данные от этого мас должны поступать на сервер.

[Chupaka]

Правильно ли я понимаю, что у вас есть роутер MikroTik, в один порт которого воткнут сервер, а в другом есть какое-то устройство с MAC 01:02:03:04:05:06, пакеты от которого надо заблокировать? А то у вас в сообщении ни слова о топологии вашей сети...

[conrad66]

Да все верно.
Сеть такая:
Есть MikroTik 1100Ahx2 с поднятым капсманом в который воткнут сервер и еще пара микротиков 951G ( работают как точки доступа )
Широковещательный запрос шлют несколько устройств.
Две камеры по lan и айфоны по wifi.
Пробовал делать в фаерволе бриджа... но что то не вышло

[Chupaka]

Т.е. интерфейсы беспроводной сети и интерфейс, на котором висит сервер, у вас в одном бридже? Тогда покажите, что именно у вас в фильтре бриджа не работает.

[conrad66]

Да, lan и wlan в одном бридже.
Я уже все постирал из фильтра бриджа.
Потому что не знаю как блокировать ff:ff:ff:ff:ff:ff

[Chupaka]

не знаю как блокировать ff:ff:ff:ff:ff:ff

Как-то типа

Код: Выделить всё

/interface bridge filter
add chain=forward action=drop src-mac-address=01:02:03:04:05:06/FF:FF:FF:FF:FF:FF packet-type=broadcast out-interface=интерфейс_сервера

Перед этим, видимо, пригодится правило, которое полезные пакеты будет пропускать (accept'ом). Например, ARP-запросы.

[conrad66]

Спасибо !!
Помогло.
p.s. а как разрешить ARP запросы ?
p.s.s
Можно наверное одним правилом для всех разрешить ARP ?
И что может еще быть полезным ?

[conrad66]

Обратил внимание что через какое то время правила в бридже перестают работать.
Помогает перезагрузка роутера.
С чем это может быть связано ? ROS 6.44.6 ( long term )

[Chupaka]

Раскройте, может мысль?..
Т.е. вы какие-то пакеты видите сниффером, но правила фильтра их игнорируют?

[conrad66]

Раскройте, может мысль?..
Т.е. вы какие-то пакеты видите сниффером, но правила фильтра их игнорируют?

Да, абсолютно верно.
В какой то момент, фильтр в бридже перестает дропать пакеты ( счетчик по нулям )
Сниффер же их видит.
После перезагрузки роутера, счетчик в фильтре начинает тикать.

[Chupaka]

Хм... У меня есть только подозрение, что они где-то другим путём просачиваться могут. Чтобы правила переставали работать на ровном месте - такого я пока не встречал...

[conrad66]

Как такое возможно ?
если сервер висит на 8-м порту и в фильтре по нему правила