Добрый день!
У меня есть шлюз с mpd4, интерфейс, по которому ожидаются подключения пользователей -- rl0.
Теоретически он может принимать входящие соединения даже если интерфейсу не назначено никакого IP адреса (не проверял).
Подключившись через mpd клиенту выдается определенный IP адрес и поднимается виртуальный интерфейс ng*
Каким образом можно защитить от посягательств физический интерфейс rl0? Ведь привязка к ИП адресу интерфейса здесь неуместна.
Есть ли какие-то порты, по которому коннектится pppoe клиент или еще что-то такое?
pppoe трафик и правила фаервола
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: pppoe трафик и правила фаервола
не назначаешь на rl0 никакого айпишника и это уже 50% обезопасил
далнейшие атаки могут быть ввиде arp спуфигнов или флудов
но за такое идут к юзеру и знакомят его с битой
за остальное можешь не переживать
даже если котото сумеет сделать подставу своей сетевки за чьюто другую
толку будет от этого мало
поскольку pppoe пакет врядли ему хватит ума подставить
а тем паче дальше весь ppp
pppoe это уровень между ethernet [и] ppp
далнейшие атаки могут быть ввиде arp спуфигнов или флудов
но за такое идут к юзеру и знакомят его с битой
за остальное можешь не переживать
даже если котото сумеет сделать подставу своей сетевки за чьюто другую
толку будет от этого мало
поскольку pppoe пакет врядли ему хватит ума подставить
а тем паче дальше весь ppp
pppoe это уровень между ethernet [и] ppp
- Grishun_U_S
- сержант
- Сообщения: 221
- Зарегистрирован: 2008-04-12 18:26:54
- Откуда: Samara
- Контактная информация:
Re: pppoe трафик и правила фаервола
так и сделал
клиенты уже налезли :
Такая схема работает!
Код: Выделить всё
gateway2# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
ether 00:e0:4d:07:74:ef
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
....
Код: Выделить всё
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.28 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.9 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.57 netmask 0xffffffff
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.50 netmask 0xffffffff
ng4: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.16 netmask 0xffffffff
ng5: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.2 netmask 0xffffffff
ng6: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.40 netmask 0xffffffff
ng7: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.53 netmask 0xffffffff
ng8: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.48 netmask 0xffffffff
ng9: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
inet 192.168.2.254 --> 192.168.2.43 netmask 0xffffffff