https://opennet.ru/openforum/vsluhforumID10/4866.html Добрый день.<br>Есть арендодатель со своею сетью 192.168.0.0/24 раздаёт арендаторам Интернет по ppp. У арендатора altlinux c двумя сетевухами eth0 смотрит в сеть арендодателя eth1 в свою локальную сеть 192.168.90.0/24<br>У арендодатель стоит DHCP сервер и раздает ip. Проблема в том, что DHCP запросы проскакивают через linux в локалку 192.168.90.0 и не могу их никак зарубить. Помогите решить проблему.<br><br><br># ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:50:BA:87:7C:24 <br> inet addr:192.168.0.251 Bcast:192.168.0.255 Mask:255.255.255.0<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:5052 errors:2 dropped:9 overruns:2 frame:0<br> TX packets:2519 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:1000 <br> RX bytes:2085235 (1.9 MiB) TX bytes:373968 (365.2 KiB)<br> Interrupt:9 Base address:0xaf00 <br><br>eth1 Link encap:Ethernet HWaddr 00:80:48:4E:39:D4 <br> inet addr:192.168.90.100 Bcast:192.168.90.255 Mask:25 https://opennet.ru/openforum/vsluhforumID10/4866.html#17 Fri, 03 Jun 2011 11:56:26 GMT &gt;&gt;&gt;&gt; -A FORWARD -i eth0 -p udp --dport 67 -j DROP <br>&gt;&gt;&gt;&gt; -A FORWARD -i eth0 -p udp --dport 68 -j DROP <br>&gt;&gt;&gt;&gt; Все равно проходят <br>&gt;&gt;&gt; Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть.<br>&gt;&gt; А ведь возможно, надо проверить.<br>&gt; Так и есть в одной из комнат воткнули провод из хаба в <br>&gt; розетку арендодателя.<br>&gt; А я уже начал сомневаться в возможностях iptables.<br>&gt; Всем большое спасибо.<br><br>правило логирования удалите, а то логи будут большие<br> https://opennet.ru/openforum/vsluhforumID10/4866.html#16 Fri, 03 Jun 2011 11:53:37 GMT &gt;&gt;&gt; -A FORWARD -i eth0 -p udp --dport 67 -j DROP <br>&gt;&gt;&gt; -A FORWARD -i eth0 -p udp --dport 68 -j DROP <br>&gt;&gt;&gt; Все равно проходят <br>&gt;&gt; Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть.<br>&gt; А ведь возможно, надо проверить.<br><br>Так и есть в одной из комнат воткнули провод из хаба в розетку арендодателя.<br><br>А я уже начал сомневаться в возможностях iptables.<br>Всем большое спасибо.<br><br> https://opennet.ru/openforum/vsluhforumID10/4866.html#15 Fri, 03 Jun 2011 11:52:04 GMT &gt;[оверквотинг удален]<br>&gt; [ 5771.559701] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.38 LEN=30 <br>&gt; TOS=0x00 PREC=0x00 TTL=127 ID=56362 PROTO=UDP SPT=3476 DPT=2001 LEN=10 <br>&gt; [ 5771.786201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.41 LEN=30 <br>&gt; TOS=0x00 PREC=0x00 TTL=127 ID=56372 PROTO=UDP SPT=3477 DPT=2001 LEN=10 <br>&gt; [ 5771.816201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.44 LEN=30 <br>&gt; TOS=0x00 PREC=0x00 TTL=127 ID=56375 PROTO=UDP SPT=3478 DPT=2001 LEN=10 <br>&gt; [ 5771.994643] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=130.117.190.195 <br>&gt; LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56379 PROTO=UDP SPT=3479 DPT=2001 LEN=10 <br>&gt; [ 5772.014655] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=130.117.190.198 <br>&gt; LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56380 PROTO=UDP SPT=3480 DPT=2001 LEN=10 <br><br>вот же, опять интерфейсы попутал, -i eth0 вместо -i eth1<br> https://opennet.ru/openforum/vsluhforumID10/4866.html#14 Fri, 03 Jun 2011 10:09:15 GMT &gt;&gt; -A FORWARD -i eth0 -p udp --dport 67 -j DROP <br>&gt;&gt; -A FORWARD -i eth0 -p udp --dport 68 -j DROP <br>&gt;&gt; Все равно проходят <br>&gt; Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть. <br><br>А ведь возможно, надо проверить.<br> https://opennet.ru/openforum/vsluhforumID10/4866.html#13 Fri, 03 Jun 2011 10:07:56 GMT &gt;&gt;&gt;&gt; изменяйте ступил, это же не от ваших машин.<br>&gt;&gt;&gt;&gt; а если политику по умолчанию в drop перевести?<br>&gt;&gt;&gt; Пока сижу удаленно, координально менять политику опасно.<br>&gt;&gt;&gt; Всетаки непонятно как зарубить бродкасты.<br>&gt;&gt; iptables -A FORWARD -i eth1 -j LOG --log-prefix "IPT INPUT eth1: " <br>&gt;&gt; --log-level 7 <br>&gt;&gt; в логах увидите что проходит через правила но умолчанию.<br>&gt;&gt; нужное разрешить, а потом <br>&gt;&gt; iptables -A FORWARD -i eth1 -j DROP <br>&gt; если и это сташно, запланировать востановление правил через xxx минут <br><br>В понедельник буду на месте политики переделаю.<br><br>А LOG только такие сообщения, ничего криминального<br><br>[ 5771.559395] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.35 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56361 PROTO=UDP SPT=3475 DPT=2001 LEN=10 <br>[ 5771.559701] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.38 LEN=30 TOS=0x00 PREC=0x00 TTL=127 ID=56362 PROTO=UDP SPT=3476 DPT=2001 LEN=10 <br>[ 5771.786201] IPT INPUT eth1: IN=eth1 OUT=ppp1 SRC=192.168.90.3 DST=117.79.92.41 LE https://opennet.ru/openforum/vsluhforumID10/4866.html#12 Fri, 03 Jun 2011 09:40:02 GMT &gt;&gt;&gt; изменяйте ступил, это же не от ваших машин.<br>&gt;&gt;&gt; а если политику по умолчанию в drop перевести?<br>&gt;&gt; Пока сижу удаленно, координально менять политику опасно.<br>&gt;&gt; Всетаки непонятно как зарубить бродкасты.<br>&gt; iptables -A FORWARD -i eth1 -j LOG --log-prefix "IPT INPUT eth1: " <br>&gt; --log-level 7 <br>&gt; в логах увидите что проходит через правила но умолчанию.<br>&gt; нужное разрешить, а потом <br>&gt; iptables -A FORWARD -i eth1 -j DROP <br><br>если и это сташно, запланировать востановление правил через xxx минут<br> https://opennet.ru/openforum/vsluhforumID10/4866.html#11 Fri, 03 Jun 2011 09:37:52 GMT &gt; -A FORWARD -i eth0 -p udp --dport 67 -j DROP <br>&gt; -A FORWARD -i eth0 -p udp --dport 68 -j DROP <br>&gt; Все равно проходят <br><br>Моэжет, сегменты (~свичи) с обоих сторон _соединениы_? Напрямую, мимо роутера, то есть.<br> https://opennet.ru/openforum/vsluhforumID10/4866.html#10 Fri, 03 Jun 2011 09:36:18 GMT &gt; Пока сижу удаленно, координально менять политику опасно.<br><br> Cкрипт сварганьте. Который переводит дефолтную политику в DROP, а через (например) 2-3 минуты все сбрасывает обратно. В баше, например, через sleep. <br><br><br> https://opennet.ru/openforum/vsluhforumID10/4866.html#9 Fri, 03 Jun 2011 09:33:56 GMT &gt;&gt; изменяйте ступил, это же не от ваших машин.<br>&gt;&gt; а если политику по умолчанию в drop перевести?<br>&gt; Пока сижу удаленно, координально менять политику опасно.<br>&gt; Всетаки непонятно как зарубить бродкасты.<br><br>iptables -A FORWARD -i eth1 -j LOG --log-prefix "IPT INPUT eth1: " --log-level 7 <br><br>в логах увидите что проходит через правила но умолчанию.<br>нужное разрешить, а потом <br>iptables -A FORWARD -i eth1 -j DROP<br>