_seth_

Всім дякую за допомогу, зупинився на TP-Link TL-SG1016DE.

Гігабіт у нас не буде актуальний ніколи. Не бачу сенсу переплачувати за це гроші при обмеженому бюджеті. За велики рахунком - нічого. Тобто, стандартних L2-функцій цілком достатньо. Дякую. Гляну.

Наче, не поганий варіант. Машин не забагато для нього? Взагалі, 90% роботи аплінку - це робота в браузері, інші 10% - це завантаження файлів по ФТП. Важливо щоб аплінк не просідав при активному використанні локальної мережі, а саме - файлообмін із сервером.

Ну ви ж розумієте, що це відносне поняття?. Щодо Мікротік, то мало портів. Необхідно хоча б 8.

Отже, пристрій потрібен щоб зібрати трафік з 4 некерованих коммутаторів та віддати на аплінк, а також на файлообмні із сервером, який потрібно включити в цей же світч. Машин до 35, теоретично може вирости до 50, але це малоімовірно. Аплінк до 10мб (скоріш за все до 5 мб.). Швидкість по локальній мережі до 100 мб. Дуже бажане зеркалювання портів/трафіку. Бюджет до 2 тисяч. Дивився D-Link DGS-1100-10/ME, але там не потрібні SFP-порти за які не хочеться переплачувати, D-Link DGS-1100-08 - малувато портів і відгука на розетці не дуже радують. Взагалі можливо за ці гроші купити щость пристойне?

Пінги є по адресам і по іменам? ДНС-сервером для клієнтів мусить бути роутер.

Задля цього повідомлення варто було зареєструватись. Волонтери з Рівненщини зловили солдатів-мародерів із зони АТО (відео) -http://zdolbuniv.com/oblast/volontery-z-rivnenschyny-zlovyly-soldativ-maroderiv-iz-zony-ato-video.html До чого це я? До того що ми злодіїв не покриваємо. Маєте факти - оприлюдніть. Біль-менш, та я реальні данні в соцмережах не вношу і тим паче не зберігав би щось подібне на телефоні в подібних умовах то ж для мене це "теоретичні" аргументи. Легка форма параної ще жодному адміну на зашкодила.

Якщо не важко. "Цікаво" послухати як ви відбілюватимете гопоту, що розстрілювала людей на блокпостах, які не зупинялись, вібирали машини і т.п і т.п.

І одразу стало байдуже... Чому до "апалчения" не звертаєтесь за допомогою?

Кстати да, network manage имеет отвратительную привычку отменять/коверкать настройки внесенные вручную. Его нужно либо удалить, либо пользоваться только им.

Т.е., для начала, нужно с помощью утилиты назначить адрес коммутатору.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть. Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно. Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается. Неверно вообще построение. Я на саммитах 200ых acl делал через веб-морду, там он не так просто создается.Нужно создать фильтр на 67 порт как вы сделали, а потом повесить его как egress на нужные порты - у вас он не используется. Благодарю за наводку, сегодня постараюсь сегодня потестить. Т.е., лучше флуд на всю сеть чем флуд на отдельном узле??? Нет. Лучше пусть роутер рассылает левый адрес шлюза на узле чем флуд на всю сеть.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть. Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно. Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается. Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю. P.S. Доступ по pppoe, локальная сеть не поддерживается.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Имеется комутатор extreme summit 200-24, все в дефолтном ВЛАН, на нем два подгоревших порта но на его работе это не сказывается (сижу через него несколько дней - странностей не обнаружил). Для блокировки неавторизированных DHCP-серверов созданы следующие правила acl: # create access-mask dhcp_deny_msk ip-protocol source-L4port precedence 1000 # create access-list dhcp_deny_lst access-mask dhcp_deny_msk ip-protocol udp source-L4port 67 deny # create access-mask dhcp_prmt_msk ip-protocol source-ip / 32 source-L4port precedence 100 # create access-list dhcp_prmt_lst access-mask dhcp_prmt_msk ip-protocol udp source-ip 172.16.0.1/32 source-L4port 67 permit В качестве неавторизированного DHCP выступает TP-link wr-740n. При подключении роутера, где то через 1-2 минуты, в мониторинге (dude), узлы отключаются (сами абоны работают), общая скорость загрузки значительно падает, скорость между многими узлами не отображается. На компе, включенном в даный комутатор, tcpdump показывает много такого: 14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430605 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430607 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430610 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430613 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 Прошивка (на 7.7 было еще хуже): # show version System Serial Number: 800105-00-05 0332G-00368 CP:02 Image : Extremeware Version 7.8e.4.1 [non-ssh] by Build_Master on 03/18/11 04:11:31 BootROM : 5.1 Собственно, почему так?

Кстати, в Dude можно весьма неплохую интерактивную схему сделать с картой на заднем плане.

Я в DIA делал, но он под линукс и достаточно большой функционал (комбайн почти ).

По-поводу dhcp: 1. Сервер должен слушать каждый влан отдельно. В дебиан и подобных в /etc/default/isc-dhcp-server через пробел нужно указать нужные интерйфейсы. После назначения адресов и масок вланам на серваке нужно описать эти зоны в конфиге dhcp-сервера. ifconfig: eth1.14 Link encap:Ethernet HWaddr 00:1b:21:6f:e8:3d inet addr:172.16.8.1 Bcast:172.16.8.255 Mask:255.255.255.0 dhcp: subnet 172.16.8.0 netmask 255.255.255.0 { range 172.16.8.20 172.16.8.254; option domain-name-servers 8.8.8.8; option routers 172.16.8.1; } По-поводу форвардинга: нужно разрешить его на каждую сеть серых адресов или, даже, напрямую с лок. интерфейса ($IPT -A FORWARD -i $LAN_IFACE -j ACCEPT - у меня используется для служебных машин которые натятся напрямую без пппое, хотя мне кажется лучше для служебных компов выделить отдельный влан и сеть и форвардить её), потому как, насколько я понял, подмена адресов (нат) происходит уже после форвардинга (см. схему движения пакетов по цепочкам iptables)

Друг! Теперь понял, благодярю за терпение и помощь!

Хм, думал что уже приводил, пробовал я так: iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP или вообще так iptables -A FORWARD -p tcp --dport 25 -j DROP эфекта нет. Замените -A на -I Ради интереса я все же попробовал: iptables -I FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP но эфекта не заметил. В чем разница межу -А и -I? -А добавляет правило в конец цепочки, -I - в указаную позицию. Если я добавлю дроп перед акцептом, то акцепт его все равно отменит... Эм, я вас не понял. Правила что я выше приводил неверны?

Ну вообще логично, но ведь дальше я его запрещаю, т.е. должно быть разрешено все что не запрещено. В даном случае я пытаюсь запретить уход пакетов на 25 порт в цепочке, которая лежит до ПОСТРОУТИНГ, потому его и не фильтрует. В терминах iptables - в какой цепочке снимается pppoe-обертка? Защита основывается на скрите из руководства по iptables, что бы не толочь воду в ступе порядок там таков: # По-умолчанию выбрасывать все пакеты $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP ................................................................................... $IPT -A FORWARD -p tcp -j bad_tcp_packets (даная цепочка есть в руководстве, не привожу что бы не перегружать пост) # Accept the packets we actually want to forward # $IPT -A FORWARD -i $LAN_IFACE -j ACCEPT - это правило для служебных машин, которые натятся напрямую без пппое .............. здесь форвардятся сети серых адресов .............. $IPT -A FORWARD -s 10.2.0.0/23 -j ACCEPT - сеть, источник спама $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT - даное правило взято из руководства, используется здесь, что бы не нагружать процессор лишней проверкой (я так понял) Вообще мне кажется, что я упускаю какой то элементарный ньюанс, который лежит на поверхности...

Хм, думал что уже приводил, пробовал я так: iptables -A FORWARD -s 10.2.0.0/23 -p tcp --dport 25 -j DROP или вообще так iptables -A FORWARD -p tcp --dport 25 -j DROP эфекта нет.

Как?! Те правила что я приводил не отрабатывают. Киньте свое.

Как я понимаю, из-за того что пакеты идут в оболочке пппое, а цепочка НАТ ПОСТРОУТИНГ последняя стандартным способом дропнуть пакеты не выйдет. Наверно, нужен или отдельный брандмауэр на входе/выходе сети или какие то спец. модули iptables о которых мне ничего не известно. Кто то знает о таких модулях? Адреса выдаются серые из пула, фильтровать по ним смысла особого нет. Я вижу два решения проблемы: 1. Отдельный брандмауэр - вообще не вариант, возможности нет. 2. Звонить абонам и разъяснять ситуацию - как то геморно выглядит, сейчас их 3-5, а если будет 10-20 и больше... Как вы решаете такие проблемы?

Благодяря помощи многоуважемого foreverok была найдена причина - зараженные клиенты. Пакеты на внутреннем интерфейсе неловились из-за pppoe-обертки и неверного фильтра. Опытным путем подобрал: tcpdump -nni eth1 | grep ".25:" А вообще споймал за хвост (благодаря подсказки foreverok) в /proc/net/ip_conntrack: tcp 6 29 LAST_ACK src=10.2.1.49 dst=64.12.88.164 sport=56507 dport=25 src=64.12.88.164 dst=195.***.*.11 sport=25 dport=56507 [ASSURED] mark=0 use=2 tcp 6 79 TIME_WAIT src=10.2.1.49 dst=205.188.159.42 sport=55962 dport=25 src=205.188.159.42 dst=195.***.*.11 sport=25 dport=55962 [ASSURED] mark=0 use=2 tcp 6 49 TIME_WAIT src=10.2.1.49 dst=65.55.37.120 sport=55573 dport=25 src=65.55.37.120 dst=195.***.*.11 sport=25 dport=55573 [ASSURED] mark=0 use=2 udp 17 22 src=10.2.0.205 dst=83.163.52.185 sport=23045 dport=25157 [UNREPLIED] src=83.163.52.185 dst=195.***.*.11 sport=25157 dport=2191 mark=0 use=2 tcp 6 94 SYN_SENT src=10.2.0.146 dst=77.35.198.200 sport=2554 dport=35478 [UNREPLIED] src=77.35.198.200 dst=195.***.*.11 sport=35478 dport=2554 mark=0 use=2 tcp 6 34 SYN_SENT src=178.187.26.172 dst=195.***.*.11 sport=25457 dport=11438 [UNREPLIED] src=195.***.*.11 dst=178.187.26.172 sport=11438 dport=25457 mark=0 use=2 tcp 6 26 TIME_WAIT src=10.2.1.33 dst=65.54.188.110 sport=60607 dport=25 src=65.54.188.110 dst=195.***.*.11 sport=25 dport=60607 [ASSURED] mark=0 use=2 tcp 6 34 SYN_SENT src=10.2.0.146 dst=95.78.48.11 sport=2300 dport=25802 [UNREPLIED] src=95.78.48.11 dst=195.***.*.11 sport=25802 dport=2300 mark=0 use=2 Спасибо всем кто окликнулся и пытался помогать.