После установки блокировки мак адреса пропадает интернет

[sergicus]

Проблема вот в чем
Появился у меня чел который захапывает чужие ip и не дает работать
Решил блокировать его на шлюзе по мак адресу

Использовал вот какие команды

Код: Выделить всё

sysctl net.link.ether.ipfw=1
ipfw add 2 deny log logamount 1000 ip from any to any mac 00:13:46:8D:28:4A any via wan_kmk

ipfw show

Код: Выделить всё

00001   2905    197169 allow ip from any to me dst-port 22
00001   2204    444952 allow ip from me 22 to any
00002      0         0 deny log logamount 1000 ip from any to any MAC 00:13:46:8d:28:4a any via wan_kmk
00003     24      1106 allow tcp from any to 212.45.?.?? dst-port 20,21,35500-35600 via wan_kmk
00004     20      1246 allow tcp from 212.45.?.?? 20,21,35500-35600 to any via wan_kmk
00010      0         0 allow ip from any to me dst-port 5222
00011      0         0 allow ip from me 5222 to any
00012      0         0 allow ip from any to me dst-port 5223
00013      0         0 allow ip from me 5223 to any
00014      0         0 allow ip from any to me dst-port 5269
00015      0         0 allow ip from me 5269 to any
00016      0         0 allow ip from any to me dst-port 5280
00017      0         0 allow ip from me 5280 to any
00400      0         0 allow ip from any to any via ng*
00400 101506  31470288 allow ip from any to any via tun*
00401 229923  77368944 allow ip from any to any via wan_comcore_vp1
00408      0         0 queue 5 ip from me 3128 to table(1) out via lan
00409    134    554502 queue 5 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24 to table(1) out via lan
00410      0         0 queue 3 ip from me 3128 to table(2) out via lan
00411  20096  22208847 queue 3 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24 to table(2) out via lan
00420    109     85612 queue 1 ip from me 3128 to any out via lan
00421 237247 285476434 queue 1 ip from not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24 to any out via lan
00539 136428  20975515 fwd 127.0.0.1,3128 ip from not me to not 192.168.254.0/24,172.16.0.0/12,10.0.0.0/8,192.168.0.0/24 dst-port 80,8080,8081 in via lan
00540 556361 330541013 allow ip from any to any via lan
01000 135620 113222002 divert 8668 ip from any to any in via wan_kmk
01500      0         0 check-state
01510      0         0 allow tcp from any to me dst-port 1723 in via wan_kmk
01511      0         0 allow gre from any to any in via wan_kmk
01511      0         0 allow tcp from any to 172.18.6.5 dst-port 22 in via wan_kmk
01512     71     11433 allow icmp from any to any in via wan_kmk
01512      0         0 allow tcp from any to 172.18.6.3 dst-port 22 in via wan_kmk
01513  11402    736241 allow udp from any to me dst-port 53 in via wan_kmk
01513      0         0 allow tcp from any to 172.18.6.253 dst-port 22 in via wan_kmk
01514     21      1032 allow tcp from any to 172.18.5.5 dst-port 80 in via wan_kmk
01515      0         0 allow tcp from any to 172.18.5.5,172.18.5.5 dst-port 25,465,143,993,110,995 in via wan_kmk
01516      0         0 allow tcp from any to 172.18.6.4 dst-port 5060,9000-9200 in via wan_kmk
01517      0         0 allow udp from any to 172.18.6.4 dst-port 5060,9000-9200 in via wan_kmk
01518      0         0 allow tcp from any to 172.18.6.58 dst-port 30000-30010 in via wan_kmk
01520      0         0 allow ip from any to me dst-port 30011
01521      0         0 allow tcp from any to 192.168.87.1 dst-port 80
01522      0         0 allow tcp from 192.168.87.1 80 to any
01600   2430    201800 deny log logamount 100 ip from any to any in via wan_kmk
02000 481671 243811386 skipto 40000 ip from any to any out via wan_kmk keep-state
02001      0         0 deny ip from any to any out via wan_kmk
40002 240154  34201715 queue 2 ip from any to any out via wan_kmk
40100 135023  18949857 divert 8668 ip from any to any out via wan_kmk
40200 660099 426079872 allow ip from any to any
65535   1139     78879 allow ip from any to any

Но через 10-15 минут после установки правил блокировки мак адреса пропадает интернет, в логах вот что

Код: Выделить всё

Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.
Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.
ipfw: install_state: entry already present, done
ipfw: install_state: entry already present, done
ipfw: install_state: entry already present, done
ipfw: install_state: entry already present, done
ipfw: install_state: entry already present, done
Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.
Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.
Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.
Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.
Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl.

С этими параметрами работал - вот в /boot/loader.conf есть строка
vm.pmap.shpgperproc=600


Посоветуйте что делать ??

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Гость]

Появился у меня чел который захапывает чужие ip и не дает работать
Решил блокировать его на шлюзе по мак адресу

и как это решит вашу проблему?
как меняется мак адресс знает даже школьник
видимо вы как админ об этом не знаете
вам на переквалификацию

[sergicus]

Появился у меня чел который захапывает чужие ip и не дает работать
Решил блокировать его на шлюзе по мак адресу

и как это решит вашу проблему?
как меняется мак адресс знает даже школьник
видимо вы как админ об этом не знаете
вам на переквалификацию

я это знаю , но я надеюсь тот полудурок об этом не знает (хотя как менять ip адреса он знает). К сожелению я не могу пройти по всем компьютерам (их слишком много, на большой территории) поэтому надеюсь что прибив мак адрес я его заткну

[hizel]

Код: Выделить всё

deny log logamount 1000 ip from any to any MAC 00:13:46:8d:28:4a any via wan_kmk

к виду

Код: Выделить всё

deny log logamount 1000 ip from any to any MAC 00:13:46:8d:28:4a any via wan_kmk
allow all ip from any to any layer2 

вообще узнаешь много нового если фильтруешь по layer2

[vadim64]

а вообще, работа системного администратора не только в настройке фаервола заключается. вы должны администрировать систему. в данном случае вы должны сообщить службе безопастности(или кто там у вас есть по этим вопросам) либо руководству о происходящем. ибо когда полудурко научится маки перебивать что будете делать? по порту банить? а есди wlan? может тогда сразу компьютер у человека изьять?

[sergicus]

Код: Выделить всё

deny log logamount 1000 ip from any to any MAC 00:13:46:8d:28:4a any via wan_kmk

вообще узнаешь много нового если фильтруешь по layer2

спасибо за наводку, разобрался таки
А для тех у кого такая же проблема советую сюда в конец темы там неплохо разобрано http://www.opennet.ru/openforum/vsluhfo ... 49503.html