_seth_

Всім дякую за допомогу, зупинився на TP-Link TL-SG1016DE.

Гігабіт у нас не буде актуальний ніколи. Не бачу сенсу переплачувати за це гроші при обмеженому бюджеті. За велики рахунком - нічого. Тобто, стандартних L2-функцій цілком достатньо. Дякую. Гляну.

Наче, не поганий варіант. Машин не забагато для нього? Взагалі, 90% роботи аплінку - це робота в браузері, інші 10% - це завантаження файлів по ФТП. Важливо щоб аплінк не просідав при активному використанні локальної мережі, а саме - файлообмін із сервером.

Ну ви ж розумієте, що це відносне поняття😉. Щодо Мікротік, то мало портів. Необхідно хоча б 8.

Отже, пристрій потрібен щоб зібрати трафік з 4 некерованих коммутаторів та віддати на аплінк, а також на файлообмні із сервером, який потрібно включити в цей же світч. Машин до 35, теоретично може вирости до 50, але це малоімовірно. Аплінк до 10мб (скоріш за все до 5 мб.). Швидкість по локальній мережі до 100 мб. Дуже бажане зеркалювання портів/трафіку. Бюджет до 2 тисяч. Дивився D-Link DGS-1100-10/ME, але там не потрібні SFP-порти за які не хочеться переплачувати, D-Link DGS-1100-08 - малувато портів і відгука на розетці не дуже радують. Взагалі можливо за ц

Пінги є по адресам і по іменам? ДНС-сервером для клієнтів мусить бути роутер.

Задля цього повідомлення варто було зареєструватись. Волонтери з Рівненщини зловили солдатів-мародерів із зони АТО (відео) -http://zdolbuniv.com/oblast/volontery-z-rivnenschyny-zlovyly-soldativ-maroderiv-iz-zony-ato-video.html До чого це я? До того що ми злодіїв не покриваємо. Маєте факти - оприлюдніть. Біль-менш, та я реальні данні в соцмережах не вношу і тим паче не зберігав би щось подібне на телефоні в подібних умовах то ж для мене це "теоретичні" аргументи. Легка форма параної ще жодному адміну на зашкодила.

Якщо не важко. "Цікаво" послухати як ви відбілюватимете гопоту, що розстрілювала людей на блокпостах, які не зупинялись, вібирали машини і т.п і т.п.

І одразу стало байдуже... Чому до "апалчения" не звертаєтесь за допомогою?

Кстати да, network manage имеет отвратительную привычку отменять/коверкать настройки внесенные вручную. Его нужно либо удалить, либо пользоваться только им.

Т.е., для начала, нужно с помощью утилиты назначить адрес коммутатору.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть. Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно. Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается. Неверно вообще построение. Я на саммитах 200ых acl делал через веб-морду, там он не так просто создается.Нужно создать фильтр на 67 порт как вы сделали, а потом повесить его как egress на нужные порты - у вас он не и

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть. Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно. Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается. Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю. P.S. Доступ

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Имеется комутатор extreme summit 200-24, все в дефолтном ВЛАН, на нем два подгоревших порта но на его работе это не сказывается (сижу через него несколько дней - странностей не обнаружил). Для блокировки неавторизированных DHCP-серверов созданы следующие правила acl: # create access-mask dhcp_deny_msk ip-protocol source-L4port precedence 1000 # create access-list dhcp_deny_lst access-mask dhcp_deny_msk ip-protocol udp source-L4port 67 deny # create access-mask dhcp_prmt_msk ip-protocol source-ip / 32 source-L4port precedence 100 # create access-list dhcp_prmt_lst access-mask dhcp_prmt_ms

Кстати, в Dude можно весьма неплохую интерактивную схему сделать с картой на заднем плане.

Я в DIA делал, но он под линукс и достаточно большой функционал (комбайн почти ).

По-поводу dhcp: 1. Сервер должен слушать каждый влан отдельно. В дебиан и подобных в /etc/default/isc-dhcp-server через пробел нужно указать нужные интерйфейсы. После назначения адресов и масок вланам на серваке нужно описать эти зоны в конфиге dhcp-сервера. ifconfig: eth1.14 Link encap:Ethernet HWaddr 00:1b:21:6f:e8:3d inet addr:172.16.8.1 Bcast:172.16.8.255 Mask:255.255.255.0 dhcp: subnet 172.16.8.0 netmask 255.255.255.0 { range 172.16.8.20 172.16.8.254; option domain-name-servers 8.8.8.8; option routers 172.16.8.1; } По-пово

Друг! Теперь понял, благодярю за терпение и помощь!

Хм, думал что уже приводил, пробовал я так: iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP или вообще так iptables -A FORWARD -p tcp --dport 25 -j DROP эфекта нет. Замените -A на -I Ради интереса я все же попробовал: iptables -I FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP но эфекта не заметил. В чем разница межу -А и -I? -А добавляет правило в конец цепочки, -I - в указаную позицию. Если я добавлю дроп перед акцептом, то акцепт его все равно отменит... Эм, я вас не понял. Правила что я выше приводил неверны?

Ну вообще логично, но ведь дальше я его запрещаю, т.е. должно быть разрешено все что не запрещено. В даном случае я пытаюсь запретить уход пакетов на 25 порт в цепочке, которая лежит до ПОСТРОУТИНГ, потому его и не фильтрует. В терминах iptables - в какой цепочке снимается pppoe-обертка? Защита основывается на скрите из руководства по iptables, что бы не толочь воду в ступе порядок там таков: # По-умолчанию выбрасывать все пакеты $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP ......................................................................

Хм, думал что уже приводил, пробовал я так: iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP или вообще так iptables -A FORWARD -p tcp --dport 25 -j DROP эфекта нет.

Как?! Те правила что я приводил не отрабатывают. Киньте свое.

Как я понимаю, из-за того что пакеты идут в оболочке пппое, а цепочка НАТ ПОСТРОУТИНГ последняя стандартным способом дропнуть пакеты не выйдет. Наверно, нужен или отдельный брандмауэр на входе/выходе сети или какие то спец. модули iptables о которых мне ничего не известно. Кто то знает о таких модулях? Адреса выдаются серые из пула, фильтровать по ним смысла особого нет. Я вижу два решения проблемы: 1. Отдельный брандмауэр - вообще не вариант, возможности нет. 2. Звонить абонам и разъяснять ситуацию - как то геморно выглядит, сейчас их 3-5, а если будет 10-20 и больше...

Благодяря помощи многоуважемого foreverok была найдена причина - зараженные клиенты. Пакеты на внутреннем интерфейсе неловились из-за pppoe-обертки и неверного фильтра. Опытным путем подобрал: tcpdump -nni eth1 | grep ".25:" А вообще споймал за хвост (благодаря подсказки foreverok) в /proc/net/ip_conntrack: tcp 6 29 LAST_ACK src=10.2.1.49 dst=64.12.88.164 sport=56507 dport=25 src=64.12.88.164 dst=195.***.*.11 sport=25 dport=56507 [ASSURED] mark=0 use=2 tcp 6 79 TIME_WAIT src=10.2.1.49 dst=205.188.159.42 sport=55962 dport=25 src=205.188.159.42 dst=195.***.*.11 sport=25 dport=55