Левые мак адреса

digital_punk

Система: freebsd 8.2
Настроен: ipfw + nat

Проблема: провайдер решил сделать привязку mac адреса к ip. И после этого инет стал пропадать по причине того, что у него проскакивают мои некоторые локальные ip.

Ворде все настраивал правильно, но скорее всего где-то не прав. Ткните плз хоть в какую сторону смотреть

Вот конфиг ipfw:

Код: Выделить всё

#!/bin/sh

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

# local nets table;
${fwcmd} table 10 flush
${fwcmd} table 10 add 192.168.101.0/24
${fwcmd} table 10 add 192.168.102.0/24
${fwcmd} table 10 add 192.168.110.0/24
${fwcmd} table 10 add 192.168.104.0/24

# out local ips table;
${fwcmd} table 20 flush
${fwcmd} table 20 add 212.109.39.186
${fwcmd} table 20 add 94.45.58.202
${fwcmd} table 20 add 80.245.120.146
${fwcmd} table 20 add 195.60.71.102
${fwcmd} table 20 add 82.207.121.43
${fwcmd} table 20 add 213.227.208.183
${fwcmd} table 20 add 80.78.41.22
${fwcmd} table 20 add 195.225.144.23
${fwcmd} table 20 add 212.90.161.202
${fwcmd} table 20 add 83.238.96.145
${fwcmd} table 20 add 193.138.187.3
${fwcmd} table 20 add 213.154.220.60
${fwcmd} table 20 add 93.127.99.69
${fwcmd} table 20 add 82.207.42.115
${fwcmd} table 20 add 93.127.17.137
${fwcmd} table 20 add 217.24.168.26
${fwcmd} table 20 add 77.222.148.50
${fwcmd} table 20 add 85.198.139.2
${fwcmd} table 20 add 213.227.206.142
${fwcmd} table 20 add 212.109.39.186
${fwcmd} table 20 add 212.109.39.187
${fwcmd} table 20 add 212.109.39.188
${fwcmd} table 20 add 212.109.39.189
${fwcmd} table 20 add 212.109.39.190
${fwcmd} table 20 add 93.127.101.123
${fwcmd} table 20 add 195.64.225.100
${fwcmd} table 20 add 172.23.130.10
${fwcmd} table 20 add 80.91.190.251
${fwcmd} table 20 add 213.154.200.77
${fwcmd} table 20 add 17.149.36.86
${fwcmd} table 20 add 213.227.217.202
${fwcmd} table 20 add 62.80.162.254
${fwcmd} table 20 add 212.3.107.242
${fwcmd} table 20 add 212.109.45.77
${fwcmd} table 20 add 85.238.96.145

# local ip access to 102/24 subnet;
${fwcmd} table 30 flush
${fwcmd} table 30 add 192.168.102.200
${fwcmd} table 30 add 192.168.102.21
${fwcmd} table 30 add 192.168.102.70
${fwcmd} table 30 add 192.168.102.40
${fwcmd} table 30 add 192.168.102.28
${fwcmd} table 30 add 192.168.102.24
${fwcmd} table 30 add 192.168.102.50
${fwcmd} table 30 add 192.168.102.17
${fwcmd} table 30 add 192.168.102.35
# retalix test;
${fwcmd} table 30 add 192.168.102.250
${fwcmd} table 30 add 192.168.102.251
${fwcmd} table 30 add 192.168.102.252

# all subnet except 101/24;
${fwcmd} table 40 flush
${fwcmd} table 40 add 192.168.102.0/24
${fwcmd} table 40 add 192.168.104.0/24
${fwcmd} table 40 add 192.168.110.0/24
#${fwcmd} table 40 add 10.0.0.0/24

# allow loopback for sockets;
${fwcmd} add 90 allow ip from any to any via lo0

# allow icmps;
${fwcmd} add 100 allow icmp from me to any
${fwcmd} add 110 allow icmp from table\(10\) to 192.168.101.0/24
${fwcmd} add 120 allow icmp from table\(10\) to 192.168.102.0/24
${fwcmd} add 130 allow icmp from table\(10\) to 192.168.110.0/24
${fwcmd} add 140 allow icmp from table\(10\) to 192.168.104.0/24

# deny;
#${fwcmd} add 150 deny ip from me to 91.211.117.87
#${fwcmd} add 151 deny ip from 91.211.177.87 to me
# divert and hide our local ips with nat;
${fwcmd} add 200 divert natd all from any to any via sk0 in

# divert icpms with nat;
${fwcmd} add 210 divert natd icmp from table\(10\) to any

# divert news.ntu-kpi.kiev.ua with nat;
${fwcmd} add 215 divert natd tcp from table\(10\) to 77.47.128.140 dst-port 119 via sk0 out
# divert allow pop3;
${fwcmd} add 216 divert natd tcp from table\(10\) to any dst-port 110 via sk0 out

# redirecting ports out;
${fwcmd} add 250 divert natd tcp from 192.168.101.222 8050,3389 to any via sk0 out
# test camera;
#${fwcmd} add 251 divert natd tcp from 192.168.101.0/24 to any 81,82,83,7070,5938,64021 via sk0 out
# klo kerio vpn client;
${fwcmd} add 252 divert natd tcp from table\(10\) to any 4090 via sk0 out
${fwcmd} add 253 divert natd udp from table\(10\) to any 4090 via sk0 out
# other;
${fwcmd} add 256 divert natd tcp from 192.168.101.150 9998 to any via sk0 out
# rdp access to 1c servers;
${fwcmd} add 260 divert natd tcp from 192.168.104.33 3389 to any via sk0 out
${fwcmd} add 261 divert natd tcp from 192.168.102.70 3389,3390,8192,8193,11112 to any via sk0 out
${fwcmd} add 262 divert natd tcp from 192.168.101.3 3389,7777,8888 to any via sk0 out
${fwcmd} add 270 divert natd tcp from 192.168.102.28 8070,8071,8072 to any via sk0 out
# test host;
#${fwcmd} add 290 divert natd tcp from 192.168.102.200 to any 80,21,443,3389,3390 via sk0 out
#${fwcmd} add 292 divert natd tcp from 192.168.102.125 to any 80,21,443 via sk0 out
#${fwcmd} add 293 divert natd tcp from 192.168.102.1 to any 80,21,443 via sk0 out
# radio;
${fwcmd} add 295 divert natd tcp from 192.168.102.0/24 to any 8000,8006,5125,8102 via sk0 out

# vnedrenci out to AZS;
${fwcmd} add 299 divert natd ip from 192.168.101.3 to any 3389,3390
# nat to out ip - test servers, NGC, etc.;
${fwcmd} add 300 divert natd ip from table\(10\) to table\(20\)

# allow vpn to LukOil and other servers;
${fwcmd} add 300 allow gre from any to any
${fwcmd} add 310 allow gre from any to any via sk0
${fwcmd} add 320 allow gre from any to any via msk0
${fwcmd} add 330 allow gre from any to any via re0
${fwcmd} add 340 allow gre from any to any via sk1

# local access;
${fwcmd} add 400 allow ip from table\(30\) to 192.168.101.0/24
${fwcmd} add 401 allow tcp from table\(30\) to 192.168.101.0/24
${fwcmd} add 402 allow tcp from 192.168.101.0/24 to table\(30\)
${fwcmd} add 410 allow ip from 192.168.101.0/24 to table\(30\)
${fwcmd} add 420 allow ip from 192.168.102.0/24 to 192.168.101.23
${fwcmd} add 430 allow ip from 192.168.101.23 to 192.168.102.0/24
# deny to 101/24 subnet;
${fwcmd} add 440 deny ip from table\(40\) to 192.168.101.0/24
${fwcmd} add 450 deny ip from 192.168.101.0/24 to table\(40\)
# allow to other subnet;
${fwcmd} add 460 allow ip from table\(40\) to 192.168.102.0/24
${fwcmd} add 461 allow ip from 192.168.102.0/24 to table\(40\)
${fwcmd} add 462 allow ip from table\(40\) to 192.168.104.0/24
${fwcmd} add 463 allow ip from 192.168.104.0/24 to table\(40\)
${fwcmd} add 464 allow ip from table\(40\) to 192.168.110.0/24
${fwcmd} add 465 allow ip from 192.168.110.0/24 to table\(40\)

# open only known ports; other ports will be droped by router;
${fwcmd} add 600 allow ip from any 20,21,47,51,1494,1723,186,3390 to any via sk0 in
${fwcmd} add 610 allow ip from any 80,20,25,53,110,119,123,143,443,465,587,995,1494,1723,1782,3390,3389,8194 to any via sk0
${fwcmd} add 620 allow ip from any to me dst-port 20,21,25,47,53,80,110,123,222,443,1723,1863,3310,3389,3390,8194 via sk0

${fwcmd} add 640 allow ip from any to 192.168.102.0/24 via re0 out
${fwcmd} add 641 allow ip from 192.168.102.0/24 to any via re0 in
${fwcmd} add 642 allow ip from any to 192.168.101.0/24 via msk0 out
${fwcmd} add 643 allow ip from 192.168.101.0/24 to any via msk0 in
${fwcmd} add 644 allow ip from any to 192.168.110.0/24 via sk1 out
${fwcmd} add 645 allow ip from 192.168.110.0/24 to any via sk1 in
${fwcmd} add 646 allow ip from any to 192.168.104.0/24 via sk1 out
${fwcmd} add 647 allow ip from 192.168.104.0/24 to any via sk1 in

# construction ports;
${fwcmd} add 650 allow ip from any to any 3389,3390,8192,8193,8070,8071,8072,9998,11112,22201,22202,8194 via sk0 in

${fwcmd} add 700 allow ip from any to any established
${fwcmd} add 65000 allow ip from any to any

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

fox · Непрочитанное сообщение **fox** » 2011-01-25 6:17:08

Почему ты решил что проскакивают?)))

digital_punk

Потому что инет падает. У них там на цыске настроено порт секурити. Так вот как только проскакивает левый мак - канал отрубает на минуту, а потом эта железка его через 2 мин и поднимает. А список маков, которые проскакивают, мне пров сообщил. Иногда там бывает какой-то комп из локалки, а иногда одна из сетевух, которые установлены на серваке.

Он работает как шлюз. Опция

Код: Выделить всё

gateway_enable="YES"

Куда хоть смотреть?

fox · Непрочитанное сообщение **fox** » 2011-01-25 11:07:15

Что то Вы не то говорите!
Либо на прове бред сумашедшего...
IP привязывается к маку, пров привязал ip карточки которая к ним смотрет к её маку, что значит проскакивают? Подмена чтоли происходит, цыску должен волновать тот мак который связан с ip и интерфейсом смотрящим от вас к прову...

digital_punk

fox писал(а):Что то Вы не то говорите!
Либо на прове бред сумашедшего...
IP привязывается к маку, пров привязал ip карточки которая к ним смотрет к её маку, что значит проскакивают? Подмена чтоли происходит, цыску должен волновать тот мак который связан с ip и интерфейсом смотрящим от вас к прову...

это я и имел ввиду

происходит подмена мак адреса.

но когда мне пров показывает список подменных мак-адресов - они из моей локальной сети!

NAT - работает...где грабли? может я неправильно настроил ipfw???

Непрочитанное сообщение **ADRE** » 2011-01-25 16:41:23

digital_punk писал(а):
fox писал(а):Что то Вы не то говорите!
Либо на прове бред сумашедшего...
IP привязывается к маку, пров привязал ip карточки которая к ним смотрет к её маку, что значит проскакивают? Подмена чтоли происходит, цыску должен волновать тот мак который связан с ip и интерфейсом смотрящим от вас к прову...
это я и имел ввиду происходит подмена мак адреса.

но когда мне пров показывает список подменных мак-адресов - они из моей локальной сети!

NAT - работает...где грабли? может я неправильно настроил ipfw???

Нат подменяет адрес. и собственно идет от внешнего интерфейса.
http://www.opennet.ru/base/net/arp_fix_bsd.txt.html
выложите сюда:arp -a
короче:

Код: Выделить всё

# arp -an | awk -v OFS="\t" '{print(substr($2, 2, length($2)-2), $4)}' > /usr/ethers

пусть потом меняют маки как хотят внутри сети, но! как по вашему их маки могут попасть во внешнюю сеть?

Код: Выделить всё

ns1# cat statarp.sh
#!/bin/sh
# Static ARP-table loader

        case $1 in
                start)
                        arp -d -a > /dev/null
                        arp -f /usr/ethers > /dev/null
                        echo 'Static ARP-table is loaded'
                        ;;
                stop)
                        arp -d -a > /dev/null
                        echo 'Static ARP-table is unloaded'
                        ;;
                restart)
                        arp -d -a > /dev/null
                        arp -f /usr/ethers > /dev/null
                        echo 'Static ARP-table is reloaded'
                        ;;
                status)
                        arp -an
                ;;

        *)
                echo "Usage: `basename $0` {start|stop|restart|status}" >&2
                ;;
        esac
        exit 0
ns1#

dmtr · Непрочитанное сообщение **dmtr** » 2011-01-25 16:43:25

а проверьте /var/log/messages на наличие строк типа

Код: Выделить всё

arp: 66.41.23.107 moved from 00:02:dd:30:0a:00 to 00:02:dd:30:4a:e2 on dc0
arp: 66.41.23.107 moved from 00:02:dd:30:4a:e2 to 00:02:dd:30:0a:00 on dc0

и покажите их сюда, если есть

snorlov · Непрочитанное сообщение **snorlov** » 2011-01-25 23:56:14

Я бы сделал ipfw -a list и посмотрел бы количество на последнем правиле, может лучше сделать deny а не allow

Dark_ASU · Непрочитанное сообщение **Dark_ASU** » 2011-01-26 1:23:38

Читать основы сетей и работы NAT до полного просветления.
Такое возможно только для некоторого набора протоколов типа SIP.

digital_punk

dmtr писал(а):а проверьте /var/log/messages на наличие строк типа
Код: Выделить всё
arp: 66.41.23.107 moved from 00:02:dd:30:0a:00 to 00:02:dd:30:4a:e2 on dc0
arp: 66.41.23.107 moved from 00:02:dd:30:4a:e2 to 00:02:dd:30:0a:00 on dc0
и покажите их сюда, если есть

Таких записей нет.

digital_punk

ADRE писал(а): Нат подменяет адрес. и собственно идет от внешнего интерфейса.
http://www.opennet.ru/base/net/arp_fix_bsd.txt.html

За статью спасибо. Читал в первую очередь, но 200 компов так прописывать и мотаться между двумя офисами как-то не охота...
Я думаю, что есть более может элегантное решение.

digital_punk

Dark_ASU писал(а):Читать основы сетей и работы NAT до полного просветления.
Такое возможно только для некоторого набора протоколов типа SIP.

Прочитано до дыр. SIP - нет. Так что это где-то глубже.

dmtr · Непрочитанное сообщение **dmtr** » 2011-01-26 11:05:45

эта, а шнурок от прова в твою сетевушку воткнут непосредственно или в коммутатор в котрый и вся твоя локалка смотрит?
сразу извиняюсь если сильно не прав, но как я понимаю - МАКи из твоей локалки могут светиться у прова тока в этом случае.

digital_punk

dmtr писал(а):эта, а шнурок от прова в твою сетевушку воткнут непосредственно или в коммутатор в котрый и вся твоя локалка смотрит?
сразу извиняюсь если сильно не прав, но как я понимаю - МАКи из твоей локалки могут светиться у прова тока в этом случае.

Идет так: роутер прова - Оптика - DWDM - сетевая сервера - локалка

Непрочитанное сообщение **ADRE** » 2011-01-26 19:04:51

digital_punk писал(а):
ADRE писал(а): Нат подменяет адрес. и собственно идет от внешнего интерфейса.
http://www.opennet.ru/base/net/arp_fix_bsd.txt.html
За статью спасибо. Читал в первую очередь, но 200 компов так прописывать и мотаться между двумя офисами как-то не охота...
Я думаю, что есть более может элегантное решение.

А мозг на что? динамически всё таблицами делается, также крон и проверка изменений... я в шоке... данная статья должна была навести на кучу мыслей. Хоть мульён пользователей заводи, да хоть весь интернет.... ssh на что?

digital_punk

ADRE писал(а):А мозг на что? динамически всё таблицами делается, также крон и проверка изменений... я в шоке... данная статья должна была навести на кучу мыслей. Хоть мульён пользователей заводи, да хоть весь интернет.... ssh на что?

Нет. Я согласен, что так можно сделать. Но я хотел РАЗОБРАТЬСЯ почему так происходит? Ведь по теории должно все работать. NAT закрывает локалку от нета...

а на практике ....не пойму....

fox · Непрочитанное сообщение **fox** » 2011-01-26 20:16:49

Нат закрывает точнее создаёт экран на уровне протакола TCP/IP но mac-адрес это протакол другого уровня ниже... И у него вообще другая природа. Причём тут нат, провайдер в любом случае не как не должен видеть маки локалки!

digital_punk

fox писал(а):Нат закрывает точнее создаёт экран на уровне протакола TCP/IP но mac-адрес это протакол другого уровня ниже... И у него вообще другая природа. Причём тут нат, провайдер в любом случае не как не должен видеть маки локалки!

хмм.. а Вы правы... как-то я совсем на НАТе зацыклился

хорошо. смотрим в сторону АРПа. Но если происходит подмена мака, значит это делает сама freebsd. Только как? Пока почитаю маны и прочее, может там что-то схожее. Но ЗАЧЕМ ей подменять маки?

hranitel_y2k

digital_punk писал(а): но когда мне пров показывает список подменных мак-адресов - они из моей локальной сети!

Маки принадлежат серверу или клиентам ваших локалок? Если клиентам,то к какому интерфейсу они соединены?
На каком из интерфейсов висит инет?

digital_punk

hranitel_y2k писал(а):Маки принадлежат серверу или клиентам ваших локалок? Если клиентам,то к какому интерфейсу они соединены?
На каком из интерфейсов висит инет?

Ща нарисую.

digital_punk

Все сетевухи стотят на шлюзе с freebsd.

hranitel_y2k

digital_punk писал(а): но когда мне пров показывает список подменных мак-адресов - они из моей локальной сети!

За схему спасибо,но вы так и не ответили:
Левые маки принадлежат серверу или клиентам ваших локалок? Если клиентам,то к какому интерфейсу они соединены?

digital_punk

hranitel_y2k писал(а): За схему спасибо,но вы так и не ответили:
Левые маки принадлежат серверу или клиентам ваших локалок? Если клиентам,то к какому интерфейсу они соединены?

Обычно это маки сетевых на серваке, либо кого-то из локальной сети (любой)...

hranitel_y2k

digital_punk писал(а): Обычно это маки сетевых на серваке, либо кого-то из локальной сети (любой)...

Вертиться в голове мысль,но не знаю как вам это проверить (может более опытные люди подскажут?), что некоторые пакеты передаются от вас к прову напрямую, т.е, вместо ната, отрабатывает маршрутизация (ведь фаир открытый).
Мысль появилась после прочтения: http://ru.wikipedia.org/wiki/ARP#.D0.A1 ... 1.82.D0.B0

fox · Непрочитанное сообщение **fox** » 2011-01-27 20:55:25

hranitel_y2k писал(а):
digital_punk писал(а): Обычно это маки сетевых на серваке, либо кого-то из локальной сети (любой)...
Вертиться в голове мысль,но не знаю как вам это проверить (может более опытные люди подскажут?), что некоторые пакеты передаются от вас к прову напрямую, т.е, вместо ната, отрабатывает маршрутизация (ведь фаир открытый).
Мысль появилась после прочтения: http://ru.wikipedia.org/wiki/ARP#.D0.A1 ... 1.82.D0.B0

Что то в этом есть у автора divert не правельный нельзя писать all не красиво надо было писать вот так было:

Код: Выделить всё

${fwcmd} add 200 divert natd all from any to any via sk0 in

а я бы:

Код: Выделить всё

${fwcmd} add 200 divert natd ip4 from any to any via sk0 in

И не any to any а статю прочесть надо бы:
http://www.lissyara.su/articles/freebsd/tuning/ipfw/

forum.lissyara.su

Левые мак адреса

Левые мак адреса

Услуги хостинговой компании Host-Food.ru

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса

Re: Левые мак адреса