pppoe трафик и правила фаервола

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

pppoe трафик и правила фаервола

Непрочитанное сообщение Grishun_U_S » 2008-11-11 14:57:09

Добрый день!

У меня есть шлюз с mpd4, интерфейс, по которому ожидаются подключения пользователей -- rl0.
Теоретически он может принимать входящие соединения даже если интерфейсу не назначено никакого IP адреса (не проверял).
Подключившись через mpd клиенту выдается определенный IP адрес и поднимается виртуальный интерфейс ng*
Каким образом можно защитить от посягательств физический интерфейс rl0? Ведь привязка к ИП адресу интерфейса здесь неуместна.
Есть ли какие-то порты, по которому коннектится pppoe клиент или еще что-то такое?
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: pppoe трафик и правила фаервола

Непрочитанное сообщение paradox » 2008-11-11 15:04:07

не назначаешь на rl0 никакого айпишника и это уже 50% обезопасил
далнейшие атаки могут быть ввиде arp спуфигнов или флудов
но за такое идут к юзеру и знакомят его с битой

за остальное можешь не переживать
даже если котото сумеет сделать подставу своей сетевки за чьюто другую
толку будет от этого мало
поскольку pppoe пакет врядли ему хватит ума подставить
а тем паче дальше весь ppp

pppoe это уровень между ethernet [и] ppp

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: pppoe трафик и правила фаервола

Непрочитанное сообщение Grishun_U_S » 2008-11-11 15:39:25

так и сделал 8)

Код: Выделить всё

gateway2# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        ether 00:e0:4d:07:74:ef
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
....
клиенты уже налезли :

Код: Выделить всё

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.28 netmask 0xffffffff
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.9 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.57 netmask 0xffffffff
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.50 netmask 0xffffffff
ng4: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.16 netmask 0xffffffff
ng5: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.2 netmask 0xffffffff
ng6: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.40 netmask 0xffffffff
ng7: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.53 netmask 0xffffffff
ng8: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.48 netmask 0xffffffff
ng9: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1480
        inet 192.168.2.254 --> 192.168.2.43 netmask 0xffffffff
Такая схема работает!
Изображение