Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
Мммм честно казано не съм сигурен, по стандарт DHCPNAK трябва да се праща само до този който е пуснал DHCPOFFER-а, но ако нашият любим провайдър използва proxyarp има известна вероятност и неговата машина да поеме NAK-а. Не че е правилно ама ... shit happens. За мен проблема съм го решил със статичен арп на гейта + пълен игнор на всякакви други обявяванки от мрежата. Така или иначе не разчитам на хората на switch-а ми за почти нищо. Допълнително съм рязнал всякакви broadcast-и на външният интерфейс. On 11/03/2008, Peter Pentchev <[EMAIL PROTECTED]> wrote: > On Tue, Mar 11, 2008 at 10:27:16AM +0200, [EMAIL PROTECTED] wrote: > > Аз използвам това: > > # grep reject /etc/dhclient.conf > > reject ; > > > > с цел да "пропусна" нежелания дхцп сървър. > > > Да де, само че още в първоначалното съобщение на Свилен, това с > Message-ID: <[EMAIL PROTECTED]> > от вчера, той споменава, че: > > > > Използвам dhclient на убунту в който мога да кажа "reject" > > [1], но това не помага - DHCP сървъра на доставчика не желае да ми > > върне адрес след като reject-на "фалшивия" DHCP. > > > ...така че *за момента* не може да ползва "reject". > > Друг въпрос е, че това е много, ама много неправилно поведение от страна > на DHCP сървъра на доставчика, за което май трябва да им бъде съобщено. > > Поздрави, > Петър > > > -- > Peter Pentchev [EMAIL PROTECTED][EMAIL PROTECTED][EMAIL PROTECTED] > PGP key:http://people.FreeBSD.org/~roam/roam.key.asc > Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 > I am the thought you are now thinking. > > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg > > > -- С уважение, Владимир Витков http://www.netsecad.com http://www.supportbg.com ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
On Monday 10 March 2008 16:40:16 Svilen Ivanov wrote: > На 10.03.08, Marian Marinov <[EMAIL PROTECTED]> написа: > > Защо не пробваш: > > ebtables -I INPUT -s XX:XX:XX:XX:XX:XX DROP > > > > това е директно на layer 2 още преди iptables и би трябвало да отреже > > всякакви заявки от този MAC адрес. > > Тъй като нямам Интернет, не мога да си инсталирам ebtables (малко > "параграф 22") - но ако го подкарам със dhclient -s IP_PROVIDER ще > отрежа лошия DHCP. Със сигурност провайдера трябва да се справи > някакси, защото вместо PC ще трябва да свържа wifi рутер, а той не ги > умее тия неща. > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg Някои WiFi устройства поддържат тази опция. signature.asc Description: This is a digitally signed message part. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
На 10.03.08, Marian Marinov <[EMAIL PROTECTED]> написа: > Защо не пробваш: > ebtables -I INPUT -s XX:XX:XX:XX:XX:XX DROP > > това е директно на layer 2 още преди iptables и би трябвало да отреже > всякакви > заявки от този MAC адрес. Тъй като нямам Интернет, не мога да си инсталирам ebtables (малко "параграф 22") - но ако го подкарам със dhclient -s IP_PROVIDER ще отрежа лошия DHCP. Със сигурност провайдера трябва да се справи някакси, защото вместо PC ще трябва да свържа wifi рутер, а той не ги умее тия неща. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
Защо не пробваш: ebtables -I INPUT -s XX:XX:XX:XX:XX:XX DROP това е директно на layer 2 още преди iptables и би трябвало да отреже всякакви заявки от този MAC адрес. Мариян On Monday 10 March 2008 14:08:47 Svilen Ivanov wrote: > На 10.03.08, Vasil Kolev <[EMAIL PROTECTED]> написа: > > Говори си с доставчика да го набара тоя и да му счупи ръцете... Или да > > си направи филтри по въпроса (възможно е, ако му е свястна топологията). > > Проблемът не е в теб в крайна сметка :) > > Абсолютно - само, че тъпото е, че когато идваха "техниците" всичко си > работи - тоя със счупения DHCP троши само нощтно време, когато > support-а спи ;) > ___ > Lug-bg mailing list > Lug-bg@linux-bulgaria.org > http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
На 10.03.08, Vasil Kolev <[EMAIL PROTECTED]> написа: > Говори си с доставчика да го набара тоя и да му счупи ръцете... Или да > си направи филтри по въпроса (възможно е, ако му е свястна топологията). > Проблемът не е в теб в крайна сметка :) Абсолютно - само, че тъпото е, че когато идваха "техниците" всичко си работи - тоя със счупения DHCP троши само нощтно време, когато support-а спи ;) ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
> Не съм сигурен, но опитай това : > > iptables -t mangle -A PREROUTING -s 192.168.1.1 -d 255.255.255.255 -j DROP > > отделно, че има опция да си избереш от кой сървър да искаш настройките : > > dhclient -s Ще пробвам това - успях да видя кой сървър най-вероятно е този на доставчика. Благодаря ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
В 10:49 +0200 на 10.03.2008 (пн), Svilen Ivanov написа: > Здравейте, > > В локалната мрежа на моя интернет доставчик има зле конфигуриран DHCP > сървър, който "раздава" IP адреси вместо DHCP сървъра на доставчика. > Имате ли идея как да го блокирам, и да използвам само този на > доставчика? Използвам dhclient на убунту в който мога да кажа "reject" > [1], но това не помага - DHCP сървъра на доставчика не желае да ми > върне адрес след като reject-на "фалшивия" DHCP. След това опитах да > блокирам този host с iptables -A INPUT -m mac --mac-source > xx:xx:xx:xx:xx:xx -j DROP - отново без успех - пакетите от този адрес > продължават да се получават. Преполагам, че има значение това, че DHCP > сървъра отговаря по broadcast, но не знам дали това е проблем. Опитах > и по IP адрес (192.168.1.1) на "фалшивия" DHCP - отново без успех. > Говори си с доставчика да го набара тоя и да му счупи ръцете... Или да си направи филтри по въпроса (възможно е, ако му е свястна топологията). Проблемът не е в теб в крайна сметка :) signature.asc Description: Това е цифрово подписана част от писмото ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] Блокиране на зле к онфигуриран DHCP
On Monday 10 March 2008 10:49:32 Svilen Ivanov wrote: > Здравейте, > > В локалната мрежа на моя интернет доставчик има зле конфигуриран DHCP > сървър, който "раздава" IP адреси вместо DHCP сървъра на доставчика. > Имате ли идея как да го блокирам, и да използвам само този на > доставчика? Използвам dhclient на убунту в който мога да кажа "reject" > [1], но това не помага - DHCP сървъра на доставчика не желае да ми > върне адрес след като reject-на "фалшивия" DHCP. След това опитах да > блокирам този host с iptables -A INPUT -m mac --mac-source > xx:xx:xx:xx:xx:xx -j DROP - отново без успех - пакетите от този адрес > продължават да се получават. Преполагам, че има значение това, че DHCP > сървъра отговаря по broadcast, но не знам дали това е проблем. Опитах > и по IP адрес (192.168.1.1) на "фалшивия" DHCP - отново без успех. > > Някакви идеи? > > Благодаря предварително, > Сви > > > [1] http://www.gsp.com/cgi-bin/man.cgi?section=5&topic=dhclient.conf#8 Не съм сигурен, но опитай това : iptables -t mangle -A PREROUTING -s 192.168.1.1 -d 255.255.255.255 -j DROP отделно, че има опция да си избереш от кой сървър да искаш настройките : dhclient -s или опитай да сложиш в конфиг-а опция : "server" но за това също не съм убеден само предоложения, не коства да опиташ. signature.asc Description: This is a digitally signed message part. ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg