if bridge, броадкасту - нет!

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

if bridge, броадкасту - нет!

Непрочитанное сообщение opt1k » 2008-05-29 22:32:02

появилась необходимость срезать броадкаст перед shdsl-мостом, т.к. канал 512килобит забивается моментально одним мусором. Использование маршрутизатора не катит, пакеты должны ходить прозрачно, поэтому решил что нужен комп с фряхой и двумя сетевухами(благо такой уже есть) в режиме моста.
Вопрос в том, можно ли срезать броадкаст проходящий через if bridge? если да, то как? часовое гуглирование не спасло :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение hizel » 2008-05-30 8:39:15

Код: Выделить всё

ipfw add ip from any to 255.255.255.255 in via bridge0 
ipfw add ip from any to 255.255.255.255 out via bridge0 
что то подобное
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение maradona » 2008-05-31 18:30:35

hizel писал(а):

Код: Выделить всё

ipfw add ip from any to 255.255.255.255 in via bridge0 
ipfw add ip from any to 255.255.255.255 out via bridge0 
что то подобное
осмелюсь заметить что так блокировать не будет (пробовал) вместо bridge0 писать нада просто сетевой интерфейс а не мост

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение alex3 » 2008-05-31 20:32:47

так блокировать вообще не будет... товарищ забыл написать [действие] (allow or deny)
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение hizel » 2008-06-01 11:51:56

осмелючь заметить, что фильтовать будет если кончено поставить deny\allow
и обозреть man if_bridge на предмет sysctl переменных отвечающих за фильтрацию
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение opt1k » 2008-06-04 8:58:34

не фильтрует как надо :(
Я скорее всего называю бродкастом то что им не является?!?

Вобщем сижу за мостом со снифером, на другой стороне пускаю программу netlook(сканит смб шары в сетке). В этот момент в снифере валятся пакеты с адресом 192.168.0.255, именно их то мне и надо рубить.
Может я не правильно что-то понимаю, посоветуйте какими правилами можно зажать паразитический трафик на бридже. Блокировать нужно именно многоадресный мусор.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение manefesto » 2008-06-04 9:12:29

так заблокируй фаером броудкаст.
В чем проблема то ?

Код: Выделить всё

ipfw deny from any to 192.168.0.255 via $if
я такой яростный шо аж пиздеЦ
Изображение

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение opt1k » 2008-06-04 10:51:14

спасибо, сегодня попробую, но кажется вчера я и этот вариант пробовал.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение manefesto » 2008-06-04 11:07:32

вот здесь http://www.nixp.ru/articles/freebsd_ipfw_mini-howto прочел

Код: Выделить всё

# Запрещаем broadcast.
add 700 deny all from any to $MYNET.255 in
add 703 deny ip from any to 255.255.255.255 in
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение hizel » 2008-06-04 11:25:37

уважаемый opt1k вы смотрели sysctl переменные в man if_bridge ?
это довольно принцыпиально
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение opt1k » 2008-06-04 14:13:41

да, обе у меня включены. Я имею ввиду те что включают фильтрацию на самом бридже и на интерфейсах бриджа

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: if bridge, броадкасту - нет!

Непрочитанное сообщение hizel » 2008-06-04 15:31:33

ага! тогда все пучком, тогда должно фильтровать, причем не по одному разу если все включено :)
ксати броадкасты бывают разные есть еще например которые пуляют без ip с layer2 адреском ff:ff:ff:ff:ff:ff
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.