Re: блокирование dhcp серверов из сети провайдера

To: "debian-russian@lists.debian.org" <debian-russian@lists.debian.org>
Subject: Re: блокирование dhcp серверов из сети провайдера
From: Скубриев Владимир <vladimir@skubriev.ru>
Date: Tue, 12 Mar 2013 12:25:03 +0400
Message-id: <[🔎] 768561363076703@web16d.yandex.ru>
In-reply-to: <[🔎] 555021363067597@web15f.yandex.ru>
References: <[🔎] 513E144D.7060907@skubriev.ru> <[🔎] 513E2358.10300@solarnet.ru> <[🔎] 555021363067597@web15f.yandex.ru>

Еще один момент

Я пытаюсь отслеживать пакеты программой tshark

tshark -i ppp0 port 67 or port 68

вообще ни чего не показывает, когда мобильные клиенты активны в поиске конфигурации беспроводного сетевого адаптера

tshark -i eth0 port 67 or port 68

показывает следующее

  0.000000 192.168.0.62 -> 192.168.0.5  DHCP DHCP Request  - Transaction ID 0xecb75e3f
  0.002368  192.168.0.5 -> 192.168.0.62 DHCP DHCP ACK      - Transaction ID 0xecb75e3f
  4.732998      0.0.0.0 -> 255.255.255.255 DHCP DHCP Request  - Transaction ID 0x87ba5a81
  4.750155    10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0x87ba5a81
  4.766011    10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0x87ba5a81
  4.773167  192.168.0.5 -> 192.168.0.173 DHCP DHCP ACK      - Transaction ID 0x87ba5a81
  4.934345      0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0x87ba5a82
  4.934653  192.168.0.5 -> 192.168.0.173 DHCP DHCP Offer    - Transaction ID 0x87ba5a82
  5.964758      0.0.0.0 -> 255.255.255.255 DHCP DHCP Request  - Transaction ID 0x87ba5a82
  5.970703    10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0x87ba5a82
  5.970760    10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0x87ba5a82
  5.997087  192.168.0.5 -> 192.168.0.173 DHCP DHCP ACK      - Transaction ID 0x87ba5a82
  7.427253      0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xd0cb55e3
  7.663504  192.168.0.5 -> 192.168.0.183 DHCP DHCP Offer    - Transaction ID 0xd0cb55e3
  7.756495      0.0.0.0 -> 255.255.255.255 DHCP DHCP Request  - Transaction ID 0xd0cb55e3
  7.762104    10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0xd0cb55e3
  7.762177    10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0xd0cb55e3
  7.829244  192.168.0.5 -> 192.168.0.183 DHCP DHCP ACK      - Transaction ID 0xd0cb55e3
 67.979901 192.168.0.22 -> 192.168.0.5  DHCP DHCP Request  - Transaction ID 0x9554d248
 67.981642  192.168.0.5 -> 192.168.0.22 DHCP DHCP ACK      - Transaction ID 0x9554d248

192.168.0.5 - местный сервер, и нас он по сути не интересует, т.к. у него цепочка INPUT и OUTPUT, он работает нормально. И даже договаривается, если клиенту другие ответы других серверов не попадают. Несколько правил у меня все таки получилось вставить в самое начало файла /tmp/iptables-saved цепочки FORWARD.

Т.е. правила 

iptables -A FORWARD -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j DROP
iptables -A FORWARD -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j DROP

Пусть они перегружены слегка в плане портов - не беда по фиксим позже.
Но они заработали.

Проблема была в том, что их надо было добавить в самое начало, т.е. туда, где начинаются правила цепочки FORWARD
...
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j idrop
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 3 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 4 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 11 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 12 -m state --state NEW -j ACCEPT
-A INPUT -j idrop
вот здесь
-A FORWARD -m state --state INVALID -j fdrop
...

маршрут к 10.0.2.52 проходит через ppp0 и провайдерский шлюз, который выдает нам их ppp сервер.


Но есть несколко вопросов:

1. tcpdump и tshark захватывают пакеты до правил iptables на входе и после правил iptables на выходе.

   Следовательно не смотря не на какие правила фильрации пакетов цепочки filter tcpdump является бескомпромисным решением для отладки правил фильтрации и наблюдением за трафиком который ходит на/через сервер шлюз ?

   А где они захватывают пакеты в случае если пакеты адресованы не на шлюз, а например клиентам сети или серверам Интернет ?

2. Как можно увидеть какие пакеты прошли цепочку FORWARD и не отфильтрованы правилами цепочки filter таблицы FORWARD ?

 Если tcpdump показывает все - то поидее в ЛЕС его ?

 Наверное преложите -j LOG ? Но опять же где на eth0 после правил для фильтрации ?

Если пакеты отбросятся, то в логе будет пусто. Если нет, то лог будет ?

3. Даже не смотря на то, что правила работают не понимаю почему я вижу 

  4.750155    10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0x87ba5a81
  4.766011    10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK      - Transaction ID 0x87ba5a81

Этот вопрос отчасти переплетается со вторым и первым.

Как увидеть и удостовериться в том, что пакеты от 10.0.2.52 не попадают в локальную сеть ?

Reply to:

References:
- блокирование dhcp серверов из сети провайдера
  - From: Владимир Скубриев <vladimir@skubriev.ru>
- Re: блокирование dhcp серверов из сети провайдера
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: блокирование dhcp серверов из сети провайдера
  - From: Скубриев Владимир <vladimir@skubriev.ru>

Prev by Date: Re: блокирование dhcp серверов из сети провайдера
Next by Date: Re: блокирование dhcp серверов из сети провайдера
Previous by thread: Re: блокирование dhcp серверов из сети провайдера
Next by thread: Re: блокирование dhcp серверов из сети провайдера
Index(es):
- Date
- Thread