Перейти до

FreeBSD + Ubilling - всьо ок, але є флуд


Рекомендованные сообщения

Є проблема, ламаю голову як вирішити, можливо більше по freebsd та firewall ніж по ubilling, але якби все повязано.

 

Моделюю ситуацію: є сервер на bsd, встановлений ubilling, є користувачі з білими IP адресами які роблять по тунелях з якимись віддаленими комп'ютерами (мережами)

і от в один прекрасний момент клієнт у якого піднятий тунель в світ вирубає комп, виймає з розетки мікротік і йде додому, на іншій стороні десь у світі інший мікротік його шукає (питаючи наш сервер де та IP) а сервер у мережу випльовує чорт зна що, тупа мережа помирає відразу, (роутери - старі длінки і тплінки починають безжалісно тупити, а нові тплінки як писали в сусідній темі зависають і вішають комутатор в який включені) 

 

все вирішує правило add 60 deny all from any to (та біла IP яку пропала з мережі)

так воно виглядає по bandwidthd

 

2018-03-31_190901.jpg.d12fd6bb71d6789881fe14deb5d565b2.jpg

 

а так на клієнтському мікротіку

 

2018-03-31_191010.jpg.6c10b86f3555131e8f50726067d0adf6.jpg

 

вже голова кругом, може хтось стикався?

 

 

Ссылка на сообщение
Поделиться на других сайтах

Это называется blackhole, его наличие обязательно для белых адресов, тем более ppp'шных.

При тушении тоннеля удаленный хост продолжает слать данные, они приходят к тебе на бордер, дальше на сервер.

А т.к. такого адреса нет - пакет уходит опять на бордер и все по кругу.

Если бордер и сервер одна машина - все то же самое, но пакет бегает между тобой и аплинкером.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
26 минут назад, KaYot сказал:

Это называется blackhole, его наличие обязательно для белых адресов, тем более ppp'шных.

При тушении тоннеля удаленный хост продолжает слать данные, они приходят к тебе на бордер, дальше на сервер.

А т.к. такого адреса нет - пакет уходит опять на бордер и все по кругу.

Если бордер и сервер одна машина - все то же самое, но пакет бегает между тобой и аплинкером.

 

net.inet.tcp.blackhole=2

net.inet.udp.blackhole=1

ви про це?

Відредаговано MazaXaka
Ссылка на сообщение
Поделиться на других сайтах

Правильно.

Но только до момента пока не появится ppp-сессия, появившийся маршрут /32 перекрывает дыру и все работает.

Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, revomix сказал:

у нас так для 99.99.99.0/24
ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

 

 

шось до мене не дійшло

якщо на lo0 стоїть вже мережа 99,99,99,0/24

то 99,99,99,1/32 туди ніяким боком

 

для прикладу у мене 99.99.99.192/28

дивиться у сторону клієнтів, якщо я туди ж прописую 99,99,99,193/32 то воно просто вирубає всі ті білі IP які є в мережі /28

15 часов назад, l1ght сказал:

Давно известная проблема. Связанна с тем, что прибиваются статичные арпы.

 

проблема може і відома, але як її вирішити незню...

Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, MazaXaka сказал:

 

шось до мене не дійшло

якщо на lo0 стоїть вже мережа 99,99,99,0/24

то 99,99,99,1/32 туди ніяким боком

 

 

то на lo0 не /24 а /32

а уже на влане /24

типа так

ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

ifconfig_vlanXXX="inet 99.99.99.1  netmask 255.255.255.0"

Ссылка на сообщение
Поделиться на других сайтах
14 минут назад, MazaXaka сказал:

проблема може і відома, але як її вирішити незню

удалить статическую арп запись, которая жить мешает

либо отказаться полностью от прибивки статических арп

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...