Re: блокирование dhcp серверов из сети провайдера
Еще один момент
Я пытаюсь отслеживать пакеты программой tshark
tshark -i ppp0 port 67 or port 68
вообще ни чего не показывает, когда мобильные клиенты активны в поиске конфигурации беспроводного сетевого адаптера
tshark -i eth0 port 67 or port 68
показывает следующее
0.000000 192.168.0.62 -> 192.168.0.5 DHCP DHCP Request - Transaction ID 0xecb75e3f
0.002368 192.168.0.5 -> 192.168.0.62 DHCP DHCP ACK - Transaction ID 0xecb75e3f
4.732998 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request - Transaction ID 0x87ba5a81
4.750155 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
4.766011 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
4.773167 192.168.0.5 -> 192.168.0.173 DHCP DHCP ACK - Transaction ID 0x87ba5a81
4.934345 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0x87ba5a82
4.934653 192.168.0.5 -> 192.168.0.173 DHCP DHCP Offer - Transaction ID 0x87ba5a82
5.964758 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request - Transaction ID 0x87ba5a82
5.970703 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a82
5.970760 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a82
5.997087 192.168.0.5 -> 192.168.0.173 DHCP DHCP ACK - Transaction ID 0x87ba5a82
7.427253 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xd0cb55e3
7.663504 192.168.0.5 -> 192.168.0.183 DHCP DHCP Offer - Transaction ID 0xd0cb55e3
7.756495 0.0.0.0 -> 255.255.255.255 DHCP DHCP Request - Transaction ID 0xd0cb55e3
7.762104 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0xd0cb55e3
7.762177 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0xd0cb55e3
7.829244 192.168.0.5 -> 192.168.0.183 DHCP DHCP ACK - Transaction ID 0xd0cb55e3
67.979901 192.168.0.22 -> 192.168.0.5 DHCP DHCP Request - Transaction ID 0x9554d248
67.981642 192.168.0.5 -> 192.168.0.22 DHCP DHCP ACK - Transaction ID 0x9554d248
192.168.0.5 - местный сервер, и нас он по сути не интересует, т.к. у него цепочка INPUT и OUTPUT, он работает нормально. И даже договаривается, если клиенту другие ответы других серверов не попадают. Несколько правил у меня все таки получилось вставить в самое начало файла /tmp/iptables-saved цепочки FORWARD.
Т.е. правила
iptables -A FORWARD -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j DROP
iptables -A FORWARD -o eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j DROP
Пусть они перегружены слегка в плане портов - не беда по фиксим позже.
Но они заработали.
Проблема была в том, что их надо было добавить в самое начало, т.е. туда, где начинаются правила цепочки FORWARD
...
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j idrop
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 0 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 3 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 4 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 11 -m state --state NEW -j ACCEPT
-A INPUT -p icmp ! -f -m icmp --icmp-type 12 -m state --state NEW -j ACCEPT
-A INPUT -j idrop
вот здесь
-A FORWARD -m state --state INVALID -j fdrop
...
маршрут к 10.0.2.52 проходит через ppp0 и провайдерский шлюз, который выдает нам их ppp сервер.
Но есть несколко вопросов:
1. tcpdump и tshark захватывают пакеты до правил iptables на входе и после правил iptables на выходе.
Следовательно не смотря не на какие правила фильрации пакетов цепочки filter tcpdump является бескомпромисным решением для отладки правил фильтрации и наблюдением за трафиком который ходит на/через сервер шлюз ?
А где они захватывают пакеты в случае если пакеты адресованы не на шлюз, а например клиентам сети или серверам Интернет ?
2. Как можно увидеть какие пакеты прошли цепочку FORWARD и не отфильтрованы правилами цепочки filter таблицы FORWARD ?
Если tcpdump показывает все - то поидее в ЛЕС его ?
Наверное преложите -j LOG ? Но опять же где на eth0 после правил для фильтрации ?
Если пакеты отбросятся, то в логе будет пусто. Если нет, то лог будет ?
3. Даже не смотря на то, что правила работают не понимаю почему я вижу
4.750155 10.0.2.52 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
4.766011 10.0.2.51 -> 255.255.255.255 DHCP DHCP NAK - Transaction ID 0x87ba5a81
Этот вопрос отчасти переплетается со вторым и первым.
Как увидеть и удостовериться в том, что пакеты от 10.0.2.52 не попадают в локальную сеть ?
Reply to: