Страница 1 из 1

Блокировка широковещательных запросов на определенном ip

Добавлено: 15 ноя 2019, 16:35
conrad66
Есть сервер на дебиан.
На интерфейсе все время растущее количество RX dropped пакетов в ifconfig.
Поиск в гугл нашел объяснение, что начиная с какого-то ядра линукса дропы возможны по следующим причинам:
Softnet backlog full
Bad / Unintended VLAN tags
Unknown / Unregistered protocols
IPv6 frames when the server is not configured for IPv6

Часть причин я поборол.
tcpdump -i enp1s0 -nnve not ip and not arp
помог выявить остальные.
Это широковещательные запросы от определенных устройств в сеть, которые не определяет дебиан ( Unknown / Unregistered protocols ) типа:
01:02:03:04:05:06 > ff:ff:ff:ff:ff:ff, ethertype Unknown (0x8033), length 416
или
01:02:03:04:05:06 > ff:ff:ff:ff:ff:ff, 802.3, length 6: LLC

Подскажите
Как мне запретить получать подобные запросы на определенном ip ( ip сервера дебиан ) от определенного mac ( или ip ) ?
Что настроить в фаерволе ?
Другие же данные от этого мас должны поступать на сервер.

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 15 ноя 2019, 17:23
Chupaka
Правильно ли я понимаю, что у вас есть роутер MikroTik, в один порт которого воткнут сервер, а в другом есть какое-то устройство с MAC 01:02:03:04:05:06, пакеты от которого надо заблокировать? А то у вас в сообщении ни слова о топологии вашей сети...

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 15 ноя 2019, 20:46
conrad66
Да все верно.
Сеть такая:
Есть MikroTik 1100Ahx2 с поднятым капсманом в который воткнут сервер и еще пара микротиков 951G ( работают как точки доступа )
Широковещательный запрос шлют несколько устройств.
Две камеры по lan и айфоны по wifi.
Пробовал делать в фаерволе бриджа... но что то не вышло

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 16 ноя 2019, 01:24
Chupaka
Т.е. интерфейсы беспроводной сети и интерфейс, на котором висит сервер, у вас в одном бридже? Тогда покажите, что именно у вас в фильтре бриджа не работает.

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 16 ноя 2019, 12:30
conrad66
Да, lan и wlan в одном бридже.
Я уже все постирал из фильтра бриджа.
Потому что не знаю как блокировать ff:ff:ff:ff:ff:ff

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 16 ноя 2019, 15:21
Chupaka
conrad66 писал(а): 16 ноя 2019, 12:30 не знаю как блокировать ff:ff:ff:ff:ff:ff
Как-то типа

Код: Выделить всё

/interface bridge filter
add chain=forward action=drop src-mac-address=01:02:03:04:05:06/FF:FF:FF:FF:FF:FF packet-type=broadcast out-interface=интерфейс_сервера
Перед этим, видимо, пригодится правило, которое полезные пакеты будет пропускать (accept'ом). Например, ARP-запросы.

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 16 ноя 2019, 18:10
conrad66
Спасибо !!
Помогло.
p.s. а как разрешить ARP запросы ? :)
p.s.s
Можно наверное одним правилом для всех разрешить ARP ?
И что может еще быть полезным ?

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 10 дек 2019, 14:53
conrad66
Обратил внимание что через какое то время правила в бридже перестают работать.
Помогает перезагрузка роутера.
С чем это может быть связано ? ROS 6.44.6 ( long term )

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 10 дек 2019, 15:17
Chupaka
Раскройте, может мысль?..
Т.е. вы какие-то пакеты видите сниффером, но правила фильтра их игнорируют?

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 11 дек 2019, 11:52
conrad66
Chupaka писал(а): 10 дек 2019, 15:17 Раскройте, может мысль?..
Т.е. вы какие-то пакеты видите сниффером, но правила фильтра их игнорируют?
Да, абсолютно верно.
В какой то момент, фильтр в бридже перестает дропать пакеты ( счетчик по нулям )
Сниффер же их видит.
После перезагрузки роутера, счетчик в фильтре начинает тикать.

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 12 дек 2019, 15:55
Chupaka
Хм... У меня есть только подозрение, что они где-то другим путём просачиваться могут. Чтобы правила переставали работать на ровном месте - такого я пока не встречал...

Re: Блокировка широковещательных запросов на определенном ip

Добавлено: 23 дек 2019, 11:12
conrad66
Как такое возможно ?
если сервер висит на 8-м порту и в фильтре по нему правила