Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

[w01demar]

Имеется шлюз на FreeBSD 6.4
Две сетевухи: vr0 (192.168.0.1) на локалку, vr1 (84.227.164.132) к провайдеру
на mpd4 через pptp-client поднят VPN к прову (ng0), через него же поднимается nat
проблема: постоянно идут сообщения

Код: Выделить всё

gateway kernel: arp: 192.168.0.xxx is on vr0 but got reply from [xx:xx:xx:xx:xx:xx] on vr1

Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

это, фаером запретите из локалки прова всякому гавну от соседей сыпаться

[rmn]

Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?

отключить arp на внешнем интерфейсе?

[w01demar]

это, фаером запретите из локалки прова всякому гавну от соседей сыпаться

вставил в rc.firewall такое

Код: Выделить всё

ipfw -q add 50 deny all from 192.168.0.0/24 to me in via vr1
ipfw -q add 60 deny all from 192.168.0.0/24 to 192.168.0.1 in via vr1
ipfw -q add 70 deny all from 192.168.0.1 to 192.168.0.0/24 out via vr1
ipfw -q add 80 deny all from 192.168.0.1 to 192.168.0.0/24 out via vr1

ipfw -q add 200 deny arp from 192.168.0.0/24 to any via vr1
ipfw -q add 210 deny udp from 192.168.0.0/24 to any via vr1
ipfw -q add 220 deny tcp from 192.168.0.0/24 to any via vr1

не помогает, может что-то еще подскажете?

отключить arp на внешнем интерфейсе?

при отключении arp на vr1 (внешний) пропадает инет в локалке

[rmn]

при отключении arp на vr1 (внешний) пропадает инет в локалке

ну так соответствие IP/MAC шлюза надо добавить вручную:

Код: Выделить всё

#arp -s xxx.xxx.xxx.xxx xx:xx:xx:xx:xx:xx

[w01demar]

при отключении arp на vr1 (внешний) пропадает инет в локалке

ну так соответствие IP/MAC шлюза надо добавить вручную:

Код: Выделить всё

#arp -s xxx.xxx.xxx.xxx xx:xx:xx:xx:xx:xx

точно, что то я про это не подумал, щас попробую...

как сделать чтобы arp отключался при загрузке? где прописать, в rc.conf?

[Гость]

Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?

убрать хаб и поставить нормальный свитч
или разобратся с вашей топологией

[w01demar]

Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?

убрать хаб и поставить нормальный свитч
или разобратся с вашей топологией

причем здесь хаб и топология? свитч стоит на локалке, внешняя сетевуха на кабеле прова и свитча не касается

[Гость]

очистите arp таблицу
если сообщения все равно будут продолжать идти
забретитесь лучше в топологии и кто там что у вас навтыкал в кабели

[Гость]

либо у вас с провайдером общая сеть 192.168.0/24
и оно аукается сразу и с его стороны
в любом случае лучше разобратся что к чему
чем тупо что сразу deny запрещать

[w01demar]

сеть прова 84.227.164/24
через ВПН 10.10.15/24
а эти сообщения из-за "умников" в сегменте...
вот и думаю как побороть...

[snorlov]

Код: Выделить всё

ipfw -q add  <номер> allow all from 192.168.0.0/24 to me via   vr0
ipfw -q add >номер + 1> deny all from 192.168.0.0/24 to me  via  vr1

[Гость]

делать статический арп это глупо
он перебивается
либо мак адресс можно сменить на клиенте

а вот почему клиент аукается на внешнем интерфейсе в то время как он на внутренем
лучше разберитесь
а с помощю дубинки проведите
методологию воспитания своих юзеров, уже на форуме обсуждалась, поищите

snorlov
я тоже задумывался
но вроде человек уже построил нормальный фаер

а дайте ваш
ipfw show
?

[vadim64]

тс так делал, но что то не сраслось. с него надо потребовать полный ipfw show, но как то влом

[snorlov]

а вот почему клиент аукается на внешнем интерфейсе в то время как он на внутренем
лучше разберитесь

У меня у провайдера циска была настроена все пропускать и я в канале из интернета чего только не нагляделся, даже ipx/spx видел...

[w01demar]

Код: Выделить всё

#ipfw show
00070    0      0 deny ip from 192.168.0.1 to 192.168.0.0/24 out via vr1
00080    0      0 deny ip from 192.168.0.1 to 192.168.0.0/24 out via vr1
00210    0      0 deny udp from 192.168.0.0/24 to any via vr1
00220    0      0 deny tcp from 192.168.0.0/24 to any via vr1
00500  817 117614 allow ip from me to 10.0.0.1
00510 1284 365806 allow ip from 10.0.0.1 to me
01000  544 100059 divert 8668 ip from 192.168.0.0/24 to any out via ng0
01010  639 322696 divert 8668 ip from any to me in via ng0
01200    0      0 allow icmp from any to any icmptypes 0
01210   31   2120 allow icmp from any to any icmptypes 3
01220    0      0 allow icmp from any to any icmptypes 4
01230    0      0 allow icmp from any to any icmptypes 8
01240    0      0 allow icmp from any to any icmptypes 11
01250    0      0 allow icmp from any to any icmptypes 12
01310  301  60206 allow ip from 192.168.0.102 to any
01320  776 611016 allow ip from any to 192.168.0.102
01330  117   4728 allow ip from 192.168.0.103 to any
01340  184   7288 allow ip from any to 192.168.0.103
01400  162  37343 allow ip from 192.168.0.105 to any
01401  264  23552 allow ip from any to 192.168.0.105
10001  548 100335 allow ip from me to any
10002    0      0 allow tcp from any to me established
10610    0      0 allow udp from [dns1] 53 to me dst-port 53
10610    0      0 allow udp from [dns2] to me dst-port 53
10620    0      0 allow udp from me 53 to [dns1] dst-port 53
10620    0      0 allow udp from me 53 to [dns2] dst-port 53
11001    0      0 allow tcp from any to 84.227.164.132 dst-port 20,21
11002    0      0 allow tcp from 84.227.164.132 20,21 to any
11101    0      0 allow tcp from 192.168.0.0/16 to me dst-port 20,21 via vr0
11101    0      0 allow tcp from me 20,21 to 192.168.0.0/16 via vr0
20001    0      0 allow ip from 127.0.0.1 to any
20002    0      0 allow ip from any to 127.0.0.1
65535  553  35512 deny ip from any to any

[hizel]

бином ньютона, они и не фильтруется первыми правилами патамушта это ARP протокол на layer 2 :-)
можете посмотреть tcpdump-ом в обе стороны и увидите логику работы
я бы просто отключил или вывел в другой лог эти сообщения

[w01demar]

бином ньютона, они и не фильтруется первыми правилами патамушта это ARP протокол на layer 2 :-)
можете посмотреть tcpdump-ом в обе стороны и увидите логику работы
я бы просто отключил или вывел в другой лог эти сообщения

то есть плохого в этих сообщениях ничего нет?
и фильтровать arp запросы/ответы с помощью ipfw не удастся?

[Гость]

попросите провайдера настроить свой стык
и не спамить вам в сеть

[hizel]

то есть плохого в этих сообщениях ничего нет?

смотря как посмотреть

и фильтровать arp запросы/ответы с помощью ipfw не удастся?

можно, если включить layer2, но перед этим раскурить man ipfw на предмет layer2 и спецификацию arp протокола :-)
если включите фильтрацию layer2 узнаете много подробностей о работе сети ^_^

[w01demar]

можно, если включить layer2, но перед этим раскурить man ipfw на предмет layer2 и спецификацию arp протокола :-)
если включите фильтрацию layer2 узнаете много подробностей о работе сети ^_^

спасибо
пошел курить маны...

[w01demar]

Курю маны по layer-2 в ipfw, видимо надо за пивом сходить, а то пока мутно...
Возник вопрос: решит ли проблему dhcpd?

[snorlov]

Курю маны по layer-2 в ipfw, видимо надо за пивом сходить, а то пока мутно...
Возник вопрос: решит ли проблему dhcpd?

А при чем здесь DHCP? Просто ему укажите слушать внутренний интерфейс, а на внешке блокируйте порты 67-68, кажется так...

[ADRE]

сеть прова 84.227.164/24
через ВПН 10.10.15/24
а эти сообщения из-за "умников" в сегменте...
вот и думаю как побороть...

Код: Выделить всё

Имя: 84.227.164.2
IP: 84.227.164.2

country: CH (Швейцарская Кофедерация)
address: sunrise , TDC Switzerland AG , sunrise Tower , Hagenholzstrasse 20/22 , CH - 8050 ZЭrich , Switzerland

?? чё за пров??

[ADRE]

Курю маны по layer-2 в ipfw, видимо надо за пивом сходить, а то пока мутно...
Возник вопрос: решит ли проблему dhcpd?

А при чем здесь DHCP? Просто ему укажите слушать внутренний интерфейс, а на внешке блокируйте порты 67-68, кажется так...

а причем тут 67-68?