-)

для работы ему нужен л2 канал, но работает он на 3 уровне

понял. тут да, немного нестыкуется с классической 7 уровневой. по 4 уровневой норм объясняется

но при соответвующих механизмах дцхп можно релеить, на уникаст адрес и следовательно маршрутизировать дальше по сети

у него там в настройках есть всегда бкаст

дуров допили в телеграм лойсы и заметки к сообщениям!!!

как будто обычно он уникаст

дуров допили в телеграм лойсы и заметки к сообщениям!!!

?

дхцп овер телеграмм

получение ип по телеграм.паспорт

DHCP работает на третьем уровене, ip клиента 0.0.0.0 , но обязательно через широковещательный второй уровень DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff . сервер отвечает на DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff и ip 0.0.0.0 так как второй широковещательный то узлы взаимодействуют на третьем даже без "нормального" ip

Есть в наличии кто IPSec в туннельном режиме настраивал? Подсказка нужна небольшая

важный момент: сервер - на убунте

DHCP работает на третьем уровене, ip клиента 0.0.0.0 , но обязательно через широковещательный второй уровень DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff . сервер отвечает на DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff и ip 0.0.0.0 так как второй широковещательный то узлы взаимодействуют на третьем даже без "нормального" ip

а сервер не может уже ответить клиенту на конкретный его мак?

нет, т.к. на третьем уровне нет МАС

маки на втором

во, тогда получается винбокс на втором уровне работает?

так он и называется MACwinbox

но может и по третьему

DHCP работает на третьем уровене, ip клиента 0.0.0.0 , но обязательно через широковещательный второй уровень DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff . сервер отвечает на DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff и ip 0.0.0.0 так как второй широковещательный то узлы взаимодействуют на третьем даже без "нормального" ip

во понятно обиснил

выделение не смотри

смотри на заголовок

таааак, пошел разбор пакетов )

кто уже пинганул четыре нуля?

так а что с пакетом то не так ?

ну там мак клиента в запросе

клиента отправляет л2 бкаст в поисках дхцп

и что ? dst = широковещательный

дхцп отвечает

дхцп отвечает

Отвечает на конкретный мак

может ответить юникастом может бкастом

"always broadcast" option

там может или нет фаервол заблокировать дхцп?

вообще то это пакет от клиента к серверу (discover) https://c2n.me/3WCbOsm

мудрые тиоритеги подскажите

вообще то это пакет от клиента к серверу (discover) https://c2n.me/3WCbOsm

да

л3 фаервол может блочить дхцп иль нет?

или нужен л2 фаербол чтоб их заблочить

может, я даже больше скажу в kerio если не разрешать весь траф. из локалки то нужно заморочить правило чтоб узлы могли обратиться к его DHCP

ладно, если в вашей сети на работе какой нить уехорошие человек влепил дхцп в общий сегмент

куда полезете блочить это?

DHCP snooping

ну пока найдете куда воткнули

Давно

Я тут всё обсуждение проспал... Этот ответ прямо всё объясняет. 99% что никаких новых уязвимостей нет.

ладно, если в вашей сети на работе какой нить уехорошие человек влепил дхцп в общий сегмент

бля, так это гемор .) идём на ПК получившый неправильные настройки , смотрим MAC злодея, шерстим по свичам, благо управляемые, ищем МАС злодея, розетки пронумерованы, нашли на свиче нашли и розетку, идём быть дубинами.)

бля, так это гемор .) идём на ПК получившый неправильные настройки , смотрим MAC злодея, шерстим по свичам, благо управляемые, ищем МАС злодея, розетки пронумерованы, нашли на свиче нашли и розетку, идём быть дубинами.)

Физический фаерволл

ладно, если в вашей сети на работе какой нить уехорошие человек влепил дхцп в общий сегмент

а свитчики управляемые?

только хардкор только микротик

?

ну можно ещё offer отловить снефером , там МАС , потом по тротарённому пути через свич,дырку,розетку.)

хап да мап

ну если свичи управляемые, можно дропать на уровне доступа 67-68 порты

ну можно ещё offer отловить снефером , там МАС , потом по тротарённому пути через свич,дырку,розетку.)

Свич, дырка, розетка, дырка в голове?

усли неуправляемые, то только вилы

усли неуправляемые, то только вилы

а фаерволом оно блокируется?

а фаерволом оно блокируется?

на неуправляемом свиче еще нет фаервола

а фаерволом оно блокируется?

А толку то от блокировки на МТ? Я думаю он это имел в виду

ну оно же через мт ходит

а фаерволом оно блокируется?

https://forum.mikrotik.com/viewtopic.php?t=101249

ну оно же через мт ходит

Куда? У Вас МТ выдаёт адреса?

ну оно же через мт ходит

оно ходит через неуправляемый свич сначала, а потом уже в микротик

Куда? У Вас МТ выдаёт адреса?

конечно

а почему бридж фаервол а не ип фаервол?

ERROR: S client not available

говорили же что дхцп л3

удп 67-68

ип 0,0,0,0

а лочить полезли в ебтаблес

такая реализация у МТ, он отвечает раньше фаервола

а почему бридж фаервол а не ип фаервол?

Remember to turn on "use-ip-firewall=yes"

так без этой опции ебтаблес не функционирует просто

ну если свичи управляемые, можно дропать на уровне доступа 67-68 порты

я тут как-то жаловался на HP. функция есть, но не работает :(

в длинке ацл, либо dhcp filter На остальном не помню как

https://forum.mikrotik.com/viewtopic.php?t=101249

А он так свой дхцп не залочит?

ладно с дхцп вроде разобрались

обязательно залочит )

а как насчет ospf?

?

его фаервол может заблокировать?

обязательно залочит )

Так у него ж на МТ дхцп

в вашей сети кроме левого дхцп еще живет левый рухтор с оспф ?

его фаервол может заблокировать?

Вы там решили в Китай поиграть ?)))

в вашей сети кроме левого дхцп еще живет левый рухтор с оспф ?

нет, я навсякий случай

а вдруг кто что воткнет

Не сеть, а чудеса в решете))

вот я смотрю у оспфа мультикаст адрес назначения

а вдруг кто что воткнет

Тогда Вам нужны свичи с авторизацией на радиус

у мня только микротики есть

хап мап

парни, подскадите плз, коллега маковод интересуется, какие лучшие рекомендации по винбоксу? сейчас работает в виртуалке, но не устраивает возня

можно ли как то проще?

фаервол в микротике работает с мультикастом?

у мня только микротики есть

В них втыкают dhcp и ospf?

нет

но возможность есть