The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Блокировка IGMP трафика PF"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Блокировка IGMP трафика PF"  +/
Сообщение от KomaLex (ok) on 29-Сен-16, 09:04 
В общем задача заблокировать igmp трафик от всех, кроме разрешенных.
На шлюзе стоит igmpproxy, все настроено все работает, но после запуска igmpproxy начинает жутко тормозить локальная сеть. tcpdump дает кучу потоков с тех устройств которые вообще не имеют iptv клиента. Вот пример.

14:36:26.523992 IP (tos 0xc0, ttl 1, id 19859, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.10.4 > 232.44.44.233: igmp v2 report 232.44.44.233
14:36:26.539987 IP (tos 0xc0, ttl 1, id 8505, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.10.4 > hp-device-disc.mcast.net: igmp v2 report hp-device-disc.mcast.net
14:36:27.524170 IP (tos 0xc0, ttl 1, id 19861, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.10.4 > 232.44.44.233: igmp v2 report 232.44.44.233
14:36:27.685491 IP (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
    192.168.10.56 > 225.1.2.8: igmp v2 report 225.1.2.8
14:36:27.722590 IP (tos 0xc0, ttl 1, id 8507, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.10.4 > hp-device-disc.mcast.net: igmp v2 report hp-device-disc.mcast.net
14:36:28.524018 IP (tos 0xc0, ttl 1, id 19863, offset 0, flags [none], proto IGMP (2), length 28)
    192.168.10.4 > 232.44.44.233: igmp v2 report 232.44.44.233

Это на самом деле точка доступа dap-2310. Не понятно что и куда она шлет.
Пытаюсь ограничить ее фаеволом

block proto igmp all

в выводе tcpdump ничего не меняется. В чем дело? Почему не блокируется? или tcpdump захватывает пакеты до того, как они попадают в PF?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокировка IGMP трафика PF"  +/
Сообщение от Z (??) on 29-Сен-16, 15:04 
Именно:
> или tcpdump захватывает пакеты до того, как они попадают в PF?

смотрите счетчики своего правила pfctl -sr -vv

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру