Перейти к содержимому
Local
MazaXaka

FreeBSD + Ubilling - всьо ок, але є флуд

Рекомендованные сообщения

Є проблема, ламаю голову як вирішити, можливо більше по freebsd та firewall ніж по ubilling, але якби все повязано.

 

Моделюю ситуацію: є сервер на bsd, встановлений ubilling, є користувачі з білими IP адресами які роблять по тунелях з якимись віддаленими комп'ютерами (мережами)

і от в один прекрасний момент клієнт у якого піднятий тунель в світ вирубає комп, виймає з розетки мікротік і йде додому, на іншій стороні десь у світі інший мікротік його шукає (питаючи наш сервер де та IP) а сервер у мережу випльовує чорт зна що, тупа мережа помирає відразу, (роутери - старі длінки і тплінки починають безжалісно тупити, а нові тплінки як писали в сусідній темі зависають і вішають комутатор в який включені) 

 

все вирішує правило add 60 deny all from any to (та біла IP яку пропала з мережі)

так воно виглядає по bandwidthd

 

2018-03-31_190901.jpg.d12fd6bb71d6789881fe14deb5d565b2.jpg

 

а так на клієнтському мікротіку

 

2018-03-31_191010.jpg.6c10b86f3555131e8f50726067d0adf6.jpg

 

вже голова кругом, може хтось стикався?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это называется blackhole, его наличие обязательно для белых адресов, тем более ppp'шных.

При тушении тоннеля удаленный хост продолжает слать данные, они приходят к тебе на бордер, дальше на сервер.

А т.к. такого адреса нет - пакет уходит опять на бордер и все по кругу.

Если бордер и сервер одна машина - все то же самое, но пакет бегает между тобой и аплинкером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
26 минут назад, KaYot сказал:

Это называется blackhole, его наличие обязательно для белых адресов, тем более ppp'шных.

При тушении тоннеля удаленный хост продолжает слать данные, они приходят к тебе на бордер, дальше на сервер.

А т.к. такого адреса нет - пакет уходит опять на бордер и все по кругу.

Если бордер и сервер одна машина - все то же самое, но пакет бегает между тобой и аплинкером.

 

net.inet.tcp.blackhole=2

net.inet.udp.blackhole=1

ви про це?

Изменено пользователем MazaXaka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет, ip route add xx.xx.xx.xx/yy null0 или как-то так.

Блок адресов по умолчанию должен быть отправлен в блекхол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну тоді блок цих адресів просто перестає працювати (йде в чорну діру) ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно.

Но только до момента пока не появится ppp-сессия, появившийся маршрут /32 перекрывает дыру и все работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В моєму випадку не ppp, ip+mac з dhcp сервером і ніяких сесій.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас так для 99.99.99.0/24
ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Давно известная проблема. Связанна с тем, что прибиваются статичные арпы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, revomix сказал:

у нас так для 99.99.99.0/24
ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

 

 

шось до мене не дійшло

якщо на lo0 стоїть вже мережа 99,99,99,0/24

то 99,99,99,1/32 туди ніяким боком

 

для прикладу у мене 99.99.99.192/28

дивиться у сторону клієнтів, якщо я туди ж прописую 99,99,99,193/32 то воно просто вирубає всі ті білі IP які є в мережі /28

15 часов назад, l1ght сказал:

Давно известная проблема. Связанна с тем, что прибиваются статичные арпы.

 

проблема може і відома, але як її вирішити незню...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, MazaXaka сказал:

 

шось до мене не дійшло

якщо на lo0 стоїть вже мережа 99,99,99,0/24

то 99,99,99,1/32 туди ніяким боком

 

 

то на lo0 не /24 а /32

а уже на влане /24

типа так

ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

ifconfig_vlanXXX="inet 99.99.99.1  netmask 255.255.255.0"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
14 минут назад, MazaXaka сказал:

проблема може і відома, але як її вирішити незню

удалить статическую арп запись, которая жить мешает

либо отказаться полностью от прибивки статических арп

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×