D
Кейсы веселее ифэлс
Size: a a a
2021 February 13
ag
Коллеги а знатоки ebtables есть? чтото я никак не могу понять как мне зафильтровать исходящие arp-requests для определенной подсети.
AA
limit'ом
AA
To limit to accepting one ARP request per second (any source considered).по аналогии
ebtables -A INPUT -p ARP --arp-opcode 1 --limit 1/second --limit-burst 2 -j ACCEPT
ebtables -A INPUT -p ARP --arp-opcode 1 -j DROP
AA
видимо:
ebtables -A OUTPUT -p ARP -d <tut_vasha_network> -j REJECTag
-p ARP -o br-d --arp-op Request --arp-ip-dst 10.100.0.0/16 -j DROP
я вот так попробовал... но непашет
я вот так попробовал... но непашет
AA
а змени drop на reject
ag
Illegal target name 'REJECT'.
AA
--log-level debug --log-prefix "ebtables-out" --log-ip --log-arp -j
ACCEPT
залогируй - глянь че там ходит
AA
а-ля
Oct 8 12:16:54 frail ebtables-broute IN=eth1 OUT= MAC source = 00:0c:29:d9:59:d8 MAC dest = ff:ff:ff:ff:ff:ff proto = 0x0806 ARP HTYPE=1, PTYPE=0x0800, OPCODE=1 ARP MAC SRC=00:0c:29:d9:59:d8 ARP IP SRC=10.1.1.16 ARP MAC DST=00:00:00:00:00:00 ARP IP DST=10.1.1.15
ag
12:04:51.096457 ARP, Request who-has 10.100.43.10 tell 178.18.225.191, length 28
12:04:51.097502 ARP, Reply 10.100.43.10 is-at 00:08:e3:ff:fc:18, length 46
12:04:51.135474 ARP, Request who-has 10.100.16.139 tell 178.18.225.191, length 28
12:04:51.137453 ARP, Reply 10.100.16.139 is-at 00:08:e3:ff:fc:18, length 46
12:04:51.144099 ARP, Reply 10.100.16.139 is-at a0:e0:af:94:1d:01, length 46
12:04:51.175485 ARP, Request who-has 10.100.28.225 tell 178.18.225.191, length 28
12:04:51.181342 ARP, Reply 10.100.28.225 is-at 00:08:e3:ff:fc:18, length 46
12:04:51.184123 ARP, Reply 10.100.28.225 is-at a0:e0:af:94:1d:01, length 46
12:04:51.189937 ARP, Reply 10.100.28.225 is-at a8:d0:e5:57:a3:d8, length 42
12:04:51.215457 ARP, Request who-has 10.100.20.228 tell 178.18.225.191, length 28
12:04:51.225301 ARP, Reply 10.100.20.228 is-at f8:66:f2:eb:c6:16, length 46
12:04:51.255438 ARP, Request who-has 10.100.35.45 tell 178.18.225.191, length 28
12:04:51.257412 ARP, Reply 10.100.35.45 is-at 00:08:e3:ff:fc:18, length 46
ну вот такое там ходит...
p
Коллеги а знатоки ebtables есть? чтото я никак не могу понять как мне зафильтровать исходящие arp-requests для определенной подсети.
А если nft?
AS
кажется это надо фильтровать на сетевом уровне а не на хостовом
ag
нет там нфт. это древний свитч
p
нет там нфт. это древний свитч
А это интерфейс бриджа?
ag
А это интерфейс бриджа?
да. бриджа с повешенным на него ип 178.18.225.191
ag
т.е вроде в форвард попадать не должно
AS
@amavlyanov ты пользуешься keepassxc на форточке?
AS
ему отдельный ssh agent нужен да?