Как ограничить доступ к подсети

[DarkSpider 36]

Уважаемый all подскажите возможно ли такое.

 

Описание ситуации:

Есть сеть вида 192.168.0.0/16

Сеть неуправляемая.

Нужно ввести в сеть несколько устройств(MOXA NPORT 5110).

Для примера назначаем им подсеть 172.16.16.0/24

и IP 172.16.16.2(3,4,5,6 ...)

 

Задачи :

 

Как ограничить к ним доступ ?

С 7-ми машин из основной подсети разрешить - остальным запретить !

Как добиться того, чтоб они не были видны из поиска программы?

 

Сервер Ubuntu Linux. Он же роутер с СТГ.

 

root@stg:/home/spider# ifconfig
eth0      Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:xx
         inet addr:192.168.5.1  Bcast:192.168.255.255  Mask:255.255.0.0
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth1      Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:xx
         inet addr:xx.xx.xx.xx  Bcast:xx.xx.xx.xx  Mask:255.255.255.252
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

 

 

root@stg:/home/spider# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
xx.xx.xx.xx     0.0.0.0         255.255.255.252 U     0      0        0 eth1
xx.xx.xx.xx     0.0.0.0         255.255.255.0   U     0      0        0 eth1
xx.xx.xx.xx    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         xx.xx.xx.xx     0.0.0.0         UG    100    0        0 eth1

 

Добавляем алиас :

ip a a 172.16.16.1 dev eth0

 

Появляется маршрут и пинг:

root@stg:/home/spider# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
172.16.16.0     172.16.16.1     255.255.255.0   UG    0      0        0 eth0
xx.xx.xx.xx     0.0.0.0         255.255.255.252 U     0      0        0 eth1
xx.xx.xx.xx     0.0.0.0         255.255.255.0   U     0      0        0 eth1
xx.xx.xx.xx    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         xx.xx.xx.xx     0.0.0.0         UG    100    0        0 eth1

 

C:\Users\Spider>ping 172.16.16.2

Обмен пакетами с 172.16.16.2 по с 32 байтами данных:
Ответ от 172.16.16.2: число байт=32 время=1мс TTL=254
Ответ от 172.16.16.2: число байт=32 время=1мс TTL=254
Ответ от 172.16.16.2: число байт=32 время=1мс TTL=254
Ответ от 172.16.16.2: число байт=32 время=2мс TTL=254

Статистика Ping для 172.16.16.2:
   Пакетов: отправлено = 4, получено = 4, потеряно = 0
   (0% потерь)
Приблизительное время приема-передачи в мс:
   Минимальное = 1мсек, Максимальное = 2 мсек, Среднее = 1 мсек

 

Убираем маршрут :

ip route del 172.16.16.0/24

Добавляем таблицу :

ip rule add from 192.168.6.20 table 11

и маршрут :

ip route add 172.16.16.0/24 via 172.16.16.1 dev eth0 table 11

 

Теоретически доступ должен быть только с этой машины - проверяю - так и есть, НО

пинги :

C:\Users\Spider>ping 172.16.16.2 -t

Обмен пакетами с 172.16.16.2 по с 32 байтами данных:
Ответ от 172.16.16.2: число байт=32 время=1002мс TTL=254
Ответ от 172.16.16.2: число байт=32 время=1002мс TTL=254
Ответ от 172.16.16.2: число байт=32 время=1004мс TTL=254

 

Откуда такие значения ?

 

Теперь второй вопрос - как убрать его из поиска программы ?

Программа видит эти устройства с любыми адресами и подсетями.

tcpdump видит следующее :

15:18:47.967580 IP (tos 0x0, ttl 255, id 44865, offset 0, flags [none], proto UDP (17), length 52)
   172.16.16.2.4800 > 255.255.255.255.49357: [udp sum ok] UDP, length 24

Насколько я понимаю это броадкаст запрос.

Возможно ли его заблокировать только на обычных свитчах?

[DarkSpider 36]

Может много написал или что-то неверно объяснил - заранее прошу прощения у гуру.

Буду благодарен любой помощи.

Все основные вопросы отмечены красным.

Их всего 2 :

1. Как отрубить броадкаст (если это он) запрос на эти устройства.

2. Откуда такие большие задержки при работе с таблицей маршрутизации.

[DarkSpider 36]

теме UP