Jump to content
Local
MazaXaka

FreeBSD + Ubilling - всьо ок, але є флуд

Recommended Posts

Є проблема, ламаю голову як вирішити, можливо більше по freebsd та firewall ніж по ubilling, але якби все повязано.

 

Моделюю ситуацію: є сервер на bsd, встановлений ubilling, є користувачі з білими IP адресами які роблять по тунелях з якимись віддаленими комп'ютерами (мережами)

і от в один прекрасний момент клієнт у якого піднятий тунель в світ вирубає комп, виймає з розетки мікротік і йде додому, на іншій стороні десь у світі інший мікротік його шукає (питаючи наш сервер де та IP) а сервер у мережу випльовує чорт зна що, тупа мережа помирає відразу, (роутери - старі длінки і тплінки починають безжалісно тупити, а нові тплінки як писали в сусідній темі зависають і вішають комутатор в який включені) 

 

все вирішує правило add 60 deny all from any to (та біла IP яку пропала з мережі)

так воно виглядає по bandwidthd

 

2018-03-31_190901.jpg.d12fd6bb71d6789881fe14deb5d565b2.jpg

 

а так на клієнтському мікротіку

 

2018-03-31_191010.jpg.6c10b86f3555131e8f50726067d0adf6.jpg

 

вже голова кругом, може хтось стикався?

 

 

Share this post


Link to post
Share on other sites

Это называется blackhole, его наличие обязательно для белых адресов, тем более ppp'шных.

При тушении тоннеля удаленный хост продолжает слать данные, они приходят к тебе на бордер, дальше на сервер.

А т.к. такого адреса нет - пакет уходит опять на бордер и все по кругу.

Если бордер и сервер одна машина - все то же самое, но пакет бегает между тобой и аплинкером.

Share this post


Link to post
Share on other sites
26 минут назад, KaYot сказал:

Это называется blackhole, его наличие обязательно для белых адресов, тем более ppp'шных.

При тушении тоннеля удаленный хост продолжает слать данные, они приходят к тебе на бордер, дальше на сервер.

А т.к. такого адреса нет - пакет уходит опять на бордер и все по кругу.

Если бордер и сервер одна машина - все то же самое, но пакет бегает между тобой и аплинкером.

 

net.inet.tcp.blackhole=2

net.inet.udp.blackhole=1

ви про це?

Edited by MazaXaka

Share this post


Link to post
Share on other sites

Нет, ip route add xx.xx.xx.xx/yy null0 или как-то так.

Блок адресов по умолчанию должен быть отправлен в блекхол.

Share this post


Link to post
Share on other sites

ну тоді блок цих адресів просто перестає працювати (йде в чорну діру) ))

Share this post


Link to post
Share on other sites

Правильно.

Но только до момента пока не появится ppp-сессия, появившийся маршрут /32 перекрывает дыру и все работает.

Share this post


Link to post
Share on other sites

В моєму випадку не ppp, ip+mac з dhcp сервером і ніяких сесій.

Share this post


Link to post
Share on other sites

у нас так для 99.99.99.0/24
ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

 

Share this post


Link to post
Share on other sites

Давно известная проблема. Связанна с тем, что прибиваются статичные арпы.

Share this post


Link to post
Share on other sites
15 часов назад, revomix сказал:

у нас так для 99.99.99.0/24
ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

 

 

шось до мене не дійшло

якщо на lo0 стоїть вже мережа 99,99,99,0/24

то 99,99,99,1/32 туди ніяким боком

 

для прикладу у мене 99.99.99.192/28

дивиться у сторону клієнтів, якщо я туди ж прописую 99,99,99,193/32 то воно просто вирубає всі ті білі IP які є в мережі /28

15 часов назад, l1ght сказал:

Давно известная проблема. Связанна с тем, что прибиваются статичные арпы.

 

проблема може і відома, але як її вирішити незню...

Share this post


Link to post
Share on other sites
7 минут назад, MazaXaka сказал:

 

шось до мене не дійшло

якщо на lo0 стоїть вже мережа 99,99,99,0/24

то 99,99,99,1/32 туди ніяким боком

 

 

то на lo0 не /24 а /32

а уже на влане /24

типа так

ifconfig_lo0="inet 127.0.0.1  netmask 255.0.0.0"
ifconfig_lo0_alias0="inet 99.99.99.1  netmask 255.255.255.255"

ifconfig_vlanXXX="inet 99.99.99.1  netmask 255.255.255.0"

Share this post


Link to post
Share on other sites
14 минут назад, MazaXaka сказал:

проблема може і відома, але як її вирішити незню

удалить статическую арп запись, которая жить мешает

либо отказаться полностью от прибивки статических арп

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×