Блокировка широковещательных запросов на определенном ip

Базовая функциональность RouterOS
Ответить
conrad66
Сообщения: 10
Зарегистрирован: 08 окт 2018, 23:57

Блокировка широковещательных запросов на определенном ip

Сообщение conrad66 » 15 ноя 2019, 16:35

Есть сервер на дебиан.
На интерфейсе все время растущее количество RX dropped пакетов в ifconfig.
Поиск в гугл нашел объяснение, что начиная с какого-то ядра линукса дропы возможны по следующим причинам:
Softnet backlog full
Bad / Unintended VLAN tags
Unknown / Unregistered protocols
IPv6 frames when the server is not configured for IPv6

Часть причин я поборол.
tcpdump -i enp1s0 -nnve not ip and not arp
помог выявить остальные.
Это широковещательные запросы от определенных устройств в сеть, которые не определяет дебиан ( Unknown / Unregistered protocols ) типа:
01:02:03:04:05:06 > ff:ff:ff:ff:ff:ff, ethertype Unknown (0x8033), length 416
или
01:02:03:04:05:06 > ff:ff:ff:ff:ff:ff, 802.3, length 6: LLC

Подскажите
Как мне запретить получать подобные запросы на определенном ip ( ip сервера дебиан ) от определенного mac ( или ip ) ?
Что настроить в фаерволе ?
Другие же данные от этого мас должны поступать на сервер.

Аватара пользователя
Chupaka
Сообщения: 2167
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокировка широковещательных запросов на определенном ip

Сообщение Chupaka » 15 ноя 2019, 17:23

Правильно ли я понимаю, что у вас есть роутер MikroTik, в один порт которого воткнут сервер, а в другом есть какое-то устройство с MAC 01:02:03:04:05:06, пакеты от которого надо заблокировать? А то у вас в сообщении ни слова о топологии вашей сети...

conrad66
Сообщения: 10
Зарегистрирован: 08 окт 2018, 23:57

Re: Блокировка широковещательных запросов на определенном ip

Сообщение conrad66 » 15 ноя 2019, 20:46

Да все верно.
Сеть такая:
Есть MikroTik 1100Ahx2 с поднятым капсманом в который воткнут сервер и еще пара микротиков 951G ( работают как точки доступа )
Широковещательный запрос шлют несколько устройств.
Две камеры по lan и айфоны по wifi.
Пробовал делать в фаерволе бриджа... но что то не вышло

Аватара пользователя
Chupaka
Сообщения: 2167
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокировка широковещательных запросов на определенном ip

Сообщение Chupaka » 16 ноя 2019, 01:24

Т.е. интерфейсы беспроводной сети и интерфейс, на котором висит сервер, у вас в одном бридже? Тогда покажите, что именно у вас в фильтре бриджа не работает.

conrad66
Сообщения: 10
Зарегистрирован: 08 окт 2018, 23:57

Re: Блокировка широковещательных запросов на определенном ip

Сообщение conrad66 » 16 ноя 2019, 12:30

Да, lan и wlan в одном бридже.
Я уже все постирал из фильтра бриджа.
Потому что не знаю как блокировать ff:ff:ff:ff:ff:ff

Аватара пользователя
Chupaka
Сообщения: 2167
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокировка широковещательных запросов на определенном ip

Сообщение Chupaka » 16 ноя 2019, 15:21

conrad66 писал(а):
16 ноя 2019, 12:30
не знаю как блокировать ff:ff:ff:ff:ff:ff
Как-то типа

Код: Выделить всё

/interface bridge filter
add chain=forward action=drop src-mac-address=01:02:03:04:05:06/FF:FF:FF:FF:FF:FF packet-type=broadcast out-interface=интерфейс_сервера
Перед этим, видимо, пригодится правило, которое полезные пакеты будет пропускать (accept'ом). Например, ARP-запросы.

conrad66
Сообщения: 10
Зарегистрирован: 08 окт 2018, 23:57

Re: Блокировка широковещательных запросов на определенном ip

Сообщение conrad66 » 16 ноя 2019, 18:10

Спасибо !!
Помогло.
p.s. а как разрешить ARP запросы ? :)
p.s.s
Можно наверное одним правилом для всех разрешить ARP ?
И что может еще быть полезным ?

Ответить