LINUX.ORG.RU
ФорумAdmin

iptables + vlan - как фильтровать пакеты с vlan?


0

1

суть вопроса:
2 провайдера захядят тегированно в eth0, локалка у него же, нужно порезать пакеты на порт 67 от них, но оставить эти пакеты с самого eth0

Чёт я запутался.... Ткните носом в man куда, плиз!

сеть на сервере выглядит так (с провайдеров настройка по DHCP):

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 70:71:bc:ad:6b:14 brd ff:ff:ff:ff:ff:ff
inet 192.168.7.7/24 brd 192.168.7.255 scope global eth0
inet6 fe80::7271:bcff:fead:6d0a/64 scope link
valid_lft forever preferred_lft forever
3: eth0.1001@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 00:04:ac:58:3b:2c brd ff:ff:ff:ff:ff:ff
inet 10.123.*.*/27 brd 10.123.2.159 scope global eth0.1001
inet6 fe80::204:acff:fe58:4ebc/64 scope link
valid_lft forever preferred_lft forever
4: eth0.1002@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 00:04:ac:58:3b:2c brd ff:ff:ff:ff:ff:ff
inet 37.194.*.*/24 brd 37.194.54.255 scope global eth0.1002
inet6 fe80::204:acff:fe58:4ebc/64 scope link
valid_lft forever preferred_lft forever

в качестве интерфейса в правиле указывать транковый интерфейс (eth0.1002)

как же еще??

nixtrian ()
Ответ на: комментарий от nixtrian

Ну, т.е.
----
iptables -A INPUT -p tcp -i eth0.1001 --dport 67 -j DROP
iptables -A INPUT -p tcp -i eth0.1002 --dport 67 -j DROP
----
должно бы работать?

EuGeneus ★★ ()
Ответ на: комментарий от nixtrian

ну или логичнее наоборот: в разрешающем правиле указать eth0 в качестве интерфейса

nixtrian ()
Ответ на: комментарий от EuGeneus

ну да. и udp еще.

нужно порезать пакеты на порт 67 от них, но оставить эти пакеты с самого eth0

давай на всякий случай уточним. имеется в виду блокировать входящие пакеты на интерфейсах eth0.1001 и eth0.1002, но оставить входящие (?) пакеты на eth0 ?

nixtrian ()
Ответ на: комментарий от EuGeneus

а еще можно dhcp-сервер твой привязать к конкретному интерфейсу.

nixtrian ()
Ответ на: комментарий от nixtrian

Интерфейс - один, eth0
---
# cat /etc/default/isc-dhcp-server | grep eth0
# Separate multiple interfaces with spaces, e.g. «eth0 eth1».
INTERFACES=«eth0»

EuGeneus ★★ ()
Ответ на: комментарий от EuGeneus

и что? сервер отвечает на запросы дхцп, приходящие на теггированные интерфейсы?

nixtrian ()
Ответ на: комментарий от nixtrian

кстати есть еще одно «но». ипстолами блокировать трафик по портам не получится, dhcpd слушает интерфейс на более низком уровне. то есть клиент получит айпи от isc-dhcp даже при отсутствии разрешающих правил.

nixtrian ()
Ответ на: комментарий от EuGeneus

в общем у меня на одном из серверов dhcp-server от ISC прекрасно дружит с влан. не только не пропуская запросы dhcp-клиентов из других вланоинтерфейсов, но и раздавая разные подсети на разные теггированные интерфейсы. причем в /etc/default/isc-dhcp-server не прописаны интерфейсы. прописаны подсети в dhcpd.conf.

nixtrian ()
Ответ на: комментарий от nixtrian

Ой спасибо тебе милый человек... Я попался на это (логично, ведь у клиента сперва нет никакого ip ардеса, вот я дубина), никак не мог понять почему при DROP политике dhcp работал... Добавил на всякий случай разрешающие правила. - Но до сего момента недоумевал. А на каком уровне оно работает получается? На L2. Но как блокировать его тогда? :)

DALDON ★★★★★ ()
Ответ на: комментарий от EuGeneus

Ух чёрт, даже я в той ветке отметился тогда... Хэх. В общем чтоб не лезло dhcp куда не надо, настраивать нужно конфиг егонный. Прописывать или подсети правильно, или описывать прям интерфейсы.

DALDON ★★★★★ ()
Ответ на: комментарий от nixtrian

Святая корова..! Как я жил ранее без таких базовых знаний... - Спасибо!

DALDON ★★★★★ ()
Ответ на: комментарий от nixtrian

ebtables в моей ситуации не проканало...

пока в конце dhcp.conf сделано:

deny unknown-clients;

и всех клиентов в статику. Для дома - нормально, а на работе нет роутеров с 1 сетевухой (D510MO) :)

EuGeneus ★★ ()
Ответ на: комментарий от DALDON

Забавно, что года 4 назад я ругал мелкософт за дыру с raw socket,а тут так верил в безупречность дефолтовых настроек в Debian.....
Поди и деда мороза нет? Ну да дней через 29 я им побуду!

EuGeneus ★★ ()
Ответ на: комментарий от EuGeneus

Во, отлично! А то меня подруга вечно просит побыть дедморозом для её чайлдов, теперь я точно знаю кто отправится на этот год вместо меня :)

DALDON ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.