SiN Posted October 13, 2017 Report Share Posted October 13, 2017 Идеята ми е следната: Ако някой клиент по случайност обърка и вместо в WAN сложи интернет кабе в LAN на своя рутер и започне да раздава адреси в мрежата. Съответно близките до него няма да вземат адрес от сървъра/хотспота, а ще получат някакъв си адрес примерно 192.168.0.101. Някой има ли идея, как да блокирам заявките, които бълва на неговия порт на сървъра, без да ползвам филтъра на бриджа? Простата причина за това е, че не ползвам бриджове и не ми се ще да ги ползвам Примерно чрез hotspot настройките, dhcp сървър настройки или firewall... Някакви идеи ? Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted October 13, 2017 Administrator Report Share Posted October 13, 2017 Няма как да стане или VLAN или PPPoE са ти алтернативите или му влизаш на рутера и го спираш. Много лесно ще го откриеш убавеца, като видиш мак адреса +-1 бройка му е на WAN порта адреса Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 Administrator kokaracha Posted October 13, 2017 Administrator Report Share Posted October 13, 2017 dhcdrop ? Use since OpenBSD 3.x FreeBSD 4.x Centos 5.x Debian 3.x Ubuntu 7.x Аз съм фен на OpenWRT. Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена. _____________________________ ___|____|____|____|____|____|__ _|____|____|____|____|____|____ ___|____|_ Удряй _|____|____|__ _|____|___ главата ___|____|____ ___|____|_ си тук!! |____|____|__ _|____|____|____|____|____|____ ___|____|____|____|____|____|__ Link to comment Share on other sites More sharing options...
0 byte Posted October 13, 2017 Report Share Posted October 13, 2017 firewall drop udp port 67 Или пълно влан сегментиране Но все пак, каква е мрежовата конфигурация? Link to comment Share on other sites More sharing options...
0 px1 Posted October 13, 2017 Report Share Posted October 13, 2017 (edited) Може да ползваш и суичове с порт изолация, но трябва цялата мрежа да ти е с такива. Аз ги намирам, спирам им безжичната връзка и dhcp сървъра. Като си купи няколко нови рутъра почва да внимава. Edited October 13, 2017 by px1 1 www.streambg.net Link to comment Share on other sites More sharing options...
0 Raposa Posted October 14, 2017 Report Share Posted October 14, 2017 Преди 7 часа, 111111 написа: Няма как да стане или VLAN или PPPoE са ти алтернативите или му влизаш на рутера и го спираш. Много лесно ще го откриеш убавеца, като видиш мак адреса +-1 бройка му е на WAN порта адреса И на РРРоЕ да е първите два суича си пердашат по DHCP и ако са бабички скайпаджийки чакай да разберат че имат нет без да се конектват. arp -a скиваш му мака и macban или цък от суича. Аз на такива им залепям рж-то за WAN-а с каноконлит. Alina Wesа Link to comment Share on other sites More sharing options...
0 SiN Posted October 16, 2017 Author Report Share Posted October 16, 2017 (edited) Сега не знам защо казвате, че неможе може да се блокне HDCP. Може, но чрез бриджа. Както казах аз не ползвам бриджове. Естествено този блокаж ще предпази другире мрежи, но съответно проблема ще продължи да си съществува на локално ниво. Ще обясня за моя проблем на който вече си решех проблема. Интересно, че никъде не намерих решение. На хотспот сървъра на Host ми се появяват дублиращи се MAC адреси с вътрешни IP адреси от рутери (192.168.*.*), тъй като сървъра е настроен на Address per mac - 2. Появи ли се дублиран втори или трети MAC сървъра изхвърля акаунта. След няколко дни ровене стигнах до заключението, че някои рутери (при положение, че почти всички рутери са еднакви, от около 300 рутера 3-4 правят така) по незнайно каква причина, ако на рутера са закачение примерно 4 устройства в Host се появяват вътрешните им адреси, зад които седи 4 пъти мака на рутера, като сметнем и свързания акаунт стават 5. Та тези дублиращи се мак адреси и вътрешни IP адреси в Host ме заблудиха, че имам DHCP пуснато в мрежата. Най- лесно е да премахна това ограничение Address per mac - 2, но нали не харесвам изключенията, а съм превърженик на решенията има по елегантно решение. Както и да е, ако на някой му се случи да пише, ще постна скрийн какво съм направил... Edited October 16, 2017 by SiN Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted October 16, 2017 Administrator Report Share Posted October 16, 2017 Е постни го де няма сега хората да ти се молят. Все пак целта на занятието е да си помагаме. Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 SiN Posted October 16, 2017 Author Report Share Posted October 16, 2017 преди 13 минути, 111111 написа: Е постни го де няма сега хората да ти се молят. Все пак целта на занятието е да си помагаме. Пиша през телефона. По-късно ще направя скрийнове и ще постна Link to comment Share on other sites More sharing options...
0 SiN Posted October 16, 2017 Author Report Share Posted October 16, 2017 Значи проблема е следния: В Hotspot>Hosts много често ми се появяват дублирани MAC адреси с вътрешни IP адреси от рутери. Ако Hotspot сървъра ви е настроен на Address per mac - 2, ако се появи 3ти идентичен MAC адрес сървъра ще изхвърли съответния акаунт. За да се избегне това единия вариянт е да премахнете това ограничение Address per mac - * (което за мен не е готино ) или в hotspot>IP Bindings да му заложите един такъв блокаж: Поздрави на всички колеги. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted October 17, 2017 Administrator Report Share Posted October 17, 2017 Това е решение което си предложил на дали ще сработи, ако има DHCP-Server в лан мрежата. На дали някой ще види хотспота, като няма заявки към него. Затова започваш с /ip dhcp-server alert add disabled=no interface=bridge-local Резултата е следния sep/11/2017 23:54:47 dhcp,critical,error dhcp alert on bridge-local: discovered unknown dhcp server, mac 14:CC:20:66:89:BE, ip 192.168.0.1 Ако не се филтрира на входните точки, ползата навътре е никаква. Сапунерките може да се флашнат с LEDE firmware. 1 Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 SiN Posted October 17, 2017 Author Report Share Posted October 17, 2017 (edited) Направих няколко неща за предотвратяване и алармиране на фалших DHCP в мрежата (или така нареченото rogue DHCP): 1. Зададох на DHCP сървъра Authoritative>yes - четох някъде, че би трябвало да реши проблема с rogue DHCP 2.Задал съм тази аларма (която ми препоръчваш по горе) със скрипт с мейл съдържание IP, MAC, сервър, интерфейс Да отбележа, че се пише MAC на интерфейса или бриджа на DHCP сървъра, ако имате активирани няколко сървъра. Естествено преди това си настройвате мейла : 3. Добавил съм следните блокажи, ако мине през защитната стена: Chain - forward Source ip - 192.168.0.0/16 protocol - udp ports - 67,68 Out.Interface - eth1_dhcp action - drop Така или иначе това не решава проблема, но поне ви дава нужната информация да го решите. Ако някой има други идеи нека сподели... Edited October 17, 2017 by SiN Link to comment Share on other sites More sharing options...
0 Administrator JohnTRIVOLTA Posted October 17, 2017 Administrator Report Share Posted October 17, 2017 Ако адреса на сървъра ми е 192.168.88.1 то това ми е достатъчно , пък който както иска да блокира : /interface bridge filter add action=drop chain=forward dst-port=68 ip-protocol=udp mac-protocol=ip src-address=!192.168.88.1/32 Link to comment Share on other sites More sharing options...
0 SiN Posted April 16, 2018 Author Report Share Posted April 16, 2018 (edited) На 17.10.2017 г. at 18:14, JohnTRIVOLTA написа: Ако адреса на сървъра ми е 192.168.88.1 то това ми е достатъчно , пък който както иска да блокира : /interface bridge filter add action=drop chain=forward dst-port=68 ip-protocol=udp mac-protocol=ip src-address=!192.168.88.1/32 Тук нямаме бриджове за съжаление! Но така или иначе ми е интересно, ако ти свършат адресите от тази мрежа 192.168.88.1/32 и добавиш още една примерно !192.168.89.0/32. В този вариант сработва ли ? По скоро трябва да го зададеш без адрес. Edited April 16, 2018 by SiN Link to comment Share on other sites More sharing options...
0 Administrator JohnTRIVOLTA Posted April 16, 2018 Administrator Report Share Posted April 16, 2018 (edited) Ако не ти стигнат адресите просто правиш мрежата /23 ... като и пула и мрежата на dhcp сървъра промениш ! иначе ще сработва ако първото правило е позволение а другото е дроп с изключение. Edited April 16, 2018 by JohnTRIVOLTA Link to comment Share on other sites More sharing options...
Question
SiN
Идеята ми е следната:
Ако някой клиент по случайност обърка и вместо в WAN сложи интернет кабе в LAN на своя рутер и започне да раздава адреси в мрежата.
Съответно близките до него няма да вземат адрес от сървъра/хотспота, а ще получат някакъв си адрес примерно 192.168.0.101.
Някой има ли идея, как да блокирам заявките, които бълва на неговия порт на сървъра, без да ползвам филтъра на бриджа?
Простата причина за това е, че не ползвам бриджове и не ми се ще да ги ползвам
Примерно чрез hotspot настройките, dhcp сървър настройки или firewall... Някакви идеи ?
Link to comment
Share on other sites
14 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now