Jump to content
  • 0
SiN

Блокиране на DHCP в мрежата, но не чрез Bridge ?

Въпрос

SiN

Идеята ми е следната:

Ако някой клиент  по случайност обърка и вместо в WAN сложи интернет кабе в LAN на своя рутер и започне да раздава адреси в мрежата.

Съответно близките до него няма да вземат адрес от сървъра/хотспота, а ще получат някакъв си адрес примерно 192.168.0.101. 

Някой има ли идея, как да блокирам заявките, които бълва на неговия порт на сървъра, без да ползвам филтъра на бриджа? 

Простата причина за това е, че не ползвам бриджове и не ми се ще да ги ползвам :) 

Примерно чрез hotspot настройките, dhcp сървър настройки или firewall... Някакви идеи ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

14 отговори на този въпрос

Recommended Posts

  • 0
111111

Няма как да стане или VLAN или PPPoE са ти алтернативите
или му влизаш на рутера и го спираш.

Много лесно ще го откриеш убавеца, като видиш мак адреса +-1 бройка му е на WAN порта адреса

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
byte

firewall drop udp port 67

Или пълно влан сегментиране

Но все пак, каква е мрежовата конфигурация?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
px1

Може да ползваш и суичове с порт изолация, но трябва цялата мрежа да ти е с такива.

Аз ги намирам, спирам им безжичната връзка и dhcp сървъра.

Като си купи няколко нови рутъра почва да внимава.

Редактирано от px1
  • Харесай 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Raposa
Преди 7 часа, 111111 написа:

Няма как да стане или VLAN или PPPoE са ти алтернативите
или му влизаш на рутера и го спираш.

Много лесно ще го откриеш убавеца, като видиш мак адреса +-1 бройка му е на WAN порта адреса

И на РРРоЕ да е първите два суича си пердашат по DHCP и ако са бабички скайпаджийки чакай да разберат че имат нет без да се конектват.
arp -a  скиваш му мака и macban или цък от суича. Аз на такива им залепям рж-то за WAN-а с каноконлит. :)

Alina Wesа

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
SiN

Сега не знам защо казвате, че неможе може да се блокне HDCP. Може, но чрез бриджа. Както казах аз не ползвам бриджове. Естествено този блокаж ще предпази другире мрежи, но съответно проблема ще продължи да си съществува на локално ниво.

Ще обясня за моя проблем на който вече си решех проблема. Интересно, че никъде не намерих решение.

На хотспот сървъра на Host ми се появяват дублиращи се MAC адреси с вътрешни IP адреси от рутери (192.168.*.*), тъй като сървъра е настроен на Address per mac - 2. Появи ли се дублиран втори или трети MAC сървъра изхвърля акаунта. След няколко дни ровене стигнах до заключението, че някои рутери (при положение, че почти всички рутери са еднакви, от около 300 рутера 3-4 правят така) по незнайно каква причина, ако на рутера са закачение примерно 4 устройства в Host се появяват вътрешните им адреси, зад които седи 4 пъти мака на рутера, като сметнем и свързания акаунт стават 5. Та тези дублиращи се мак адреси и вътрешни IP адреси в Host ме заблудиха, че имам DHCP пуснато в мрежата.

Най- лесно е да премахна това ограничение  Address per mac - 2, но нали не харесвам изключенията, а съм превърженик на решенията има по елегантно решение.

Както и да е, ако на някой му се случи да пише, ще постна скрийн какво съм направил...

Редактирано от SiN

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Е постни го де няма сега хората да ти се молят.

Все пак целта на занятието е да си помагаме.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
SiN
преди 13 минути, 111111 написа:

Е постни го де няма сега хората да ти се молят.

Все пак целта на занятието е да си помагаме.

Пиша през телефона. По-късно ще направя скрийнове и ще постна :) 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
SiN

Значи проблема е следния:

В Hotspot>Hosts много често ми се появяват дублирани MAC адреси с вътрешни IP адреси от рутери.

59e4c4272999c_1.JPG.e57dc1e3fcee67d7aa0d46a30f1f195c.JPG

Ако Hotspot сървъра ви е настроен на Address per mac - 2, ако се появи 3ти идентичен MAC адрес сървъра ще изхвърли съответния акаунт. За да се избегне това единия вариянт е да премахнете това ограничение Address per mac - * (което за мен не е готино ) или в hotspot>IP Bindings да му заложите един такъв блокаж:

59e4c55798c13_2.JPG.637fe76c2095b7cc7f68246016d15caf.JPG

Поздрави на всички колеги.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Това е решение което си предложил на дали ще сработи,

ако има DHCP-Server в лан мрежата. 

На дали някой ще види хотспота, като няма заявки към него.

Затова започваш с

Моля, влезте или се регистрирайте, за да видите този code.

Резултата е следния

Моля, влезте или се регистрирайте, за да видите този code.

Ако не се филтрира на входните точки, ползата навътре е никаква.

Сапунерките може да се флашнат с LEDE firmware.

  • Благодаря 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
SiN

Направих няколко неща за предотвратяване и алармиране на фалших DHCP в мрежата (или така нареченото rogue DHCP):

1. Зададох на DHCP сървъра Authoritative>yes - четох някъде, че би трябвало да реши проблема с  rogue DHCP

2.Задал съм тази аларма (която ми препоръчваш по горе) със скрипт с мейл съдържание IP, MAC, сервър, интерфейс

Да отбележа, че се пише MAC на интерфейса или бриджа на DHCP сървъра, ако имате активирани няколко сървъра.

59e5b248b069a_55.JPG.2407ec649fcd534c608b4a8f57586656.JPG

Естествено преди това си настройвате мейла :

59e5b23de78e7_56.JPG.9b4e8e9f0597c95bdd4e0d0b43a0b770.JPG

3. Добавил съм следните блокажи, ако мине през защитната стена:

Chain - forward
Source ip - 192.168.0.0/16
protocol - udp
ports  - 67,68
Out.Interface - eth1_dhcp
action - drop

Така или иначе това не решава проблема, но поне ви дава нужната информация да го решите.

Ако някой има други идеи нека сподели...

Редактирано от SiN

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA

Ако адреса на сървъра ми е 192.168.88.1 то това  ми е достатъчно , пък който както иска да блокира :

/interface bridge filter
add action=drop chain=forward dst-port=68 ip-protocol=udp mac-protocol=ip src-address=!192.168.88.1/32

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
SiN
На 17.10.2017 г. at 18:14, JohnTRIVOLTA написа:

Ако адреса на сървъра ми е 192.168.88.1 то това  ми е достатъчно , пък който както иска да блокира :

/interface bridge filter
add action=drop chain=forward dst-port=68 ip-protocol=udp mac-protocol=ip src-address=!192.168.88.1/32

Тук нямаме бриджове за съжаление! Но така или иначе ми е интересно, ако ти свършат адресите от тази мрежа 192.168.88.1/32 и добавиш още една примерно !192.168.89.0/32.

В този вариант сработва ли ? По скоро трябва да го зададеш без адрес.

Редактирано от SiN

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA

Ако не ти стигнат адресите просто правиш мрежата /23 ... като и пула и мрежата на dhcp сървъра промениш ! иначе ще сработва ако първото правило е позволение а другото е дроп с изключение.

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Similar Content

    • tractyr
      От tractyr
      Здравейте колеги, имам проблем с разбирането на логиката на OPENVPN server client  конфигурационните файлове.Примерната работна схема е
      Моля, влезте или се регистрирайте, за да видите този link.
       Да уточня и клинтските и сървара са на Windows.
      Четяйки тази статия
      Моля, влезте или се регистрирайте, за да видите този link.
      не мога да разбера кои точно IP трява да се опишат в конфиг. файловете.
      Благодаря ви предварително
       
       
    • dabadaba
      От dabadaba
      Не знам аз ли съм такъв карък, но от известно време ми пълнят лога с brute force attack.
      Просто класика!

      Моля, влезте или се регистрирайте, за да видите този link.
      Преди време дори видях, че един се е закачил с правилната парола и тъкмо е в рутера. Веднага промених паролата и рестартирах, а той продължи да се опитва, но вече без успех.
      Рутера е със статичен адрес, а ограничението от доставчика е по мак.
      Та само при мен ли е това, защото служебния рутер е настроен почти по същия начен, но получава интернет по пппое и от друг доставчик, а няма такива атаки?
    • 111111
      От 111111
      Кратко блокираме googleads.g.doubleclick.net главния ошаренител
      след което блокираме контента от URL-то "&ctier"пращащо към рекламите
      Моля, влезте или се регистрирайте, за да видите този code.

      Моля, влезте или се регистрирайте, за да видите този link.
    • yuli_d
      От yuli_d
      Здравейте,
       
      От около месец и нещо си имам RB951Ui-2HnD.
      Имам изградена LAN мрежа със собствени DHCP и DNS сървър. Искам да направя така, че устройствата (интересуват ме предимно мобилни телефони), които се свързват към MT да получават IP адрес от DHCP сървъра в LAN мрежата и съответно да виждат и да са видими в LAN. Целта ми е да ползвам някои услуги за връзка PC <-> Мобилно устройство, които изискват и двете страни да са в една локална мрежа, като отдалечено управление (PC -> мобилно устройство и мобилно устройство -> PC), принтиране от мобилно устройство и други.
      В момента МТ ми е вързан с LAN през WAN порта и си ползва собствения DHCP да раздава адреси на устройствата. От мобилно устройство виждам устройствата в локалната мрежа, но обратното не мога, зажото в LAN се вижда само IP-то на WAN порта.
       
      Не мога да кажа, че съм начинаещ в IT сферата, но МТ си е цяла отделна наука, която е трудно да се усвои за месец-два. Едно на ръка е теорията на мрежите, друго е спецификата на самото устройство и операционна система. Чета непрекъснато. Попрочетох и доста мнения от форума, които ми дадоха ценна информация. Разликата от рутерчетата за по 30-40лв. е огромна и възможностите са почти неограничени, но за сметка на много четене и знания, опити и грешки.
       
      Надявам се да има начин да постигна целта си и някой да ми помогне в това. В това отношение се смятам за начинаещ.
    • jelev
      От jelev
      Има ли решение за блокиране на Teamviewer сървър или и без значение за сървър и клиент?
  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.