https://opennet.ru/openforum/vsluhforumID6/15654.html По понятным причинам не хочется вязяться к мас адресу серверов PPPoE. Известны порты к которым может/не может быть подключен легалльный PPPoE сервер.<br>Сколько не искал, не получилось сделать ничего ранее возникновения PADO пакета ( то есть просто его рубим и не проходит соединением) . Теперь, при наличии ложного сервера в сети, довольно часто клиент получает сообщение "удаленный сервер не ответил". <br>Ситуация, вроде как, не нормальная - при отсутвии PADО пакета клиент должен начать работать со следующим сервисом,предоставившим ему ответет на дискавери пакет.<br>Куда копать ? - В фильтры (хотя много раз проверил) или придется все же по макам. Или тестовый стенд менять. <br><br>Правило фильтрации в данный момент такое. <br>если тип ETH пакета 8863 и поле код PPPoE протокола установлено в 07 - входящий пакет с порта ( не из списка где можно) - deny. <br> https://opennet.ru/openforum/vsluhforumID6/15654.html#4 Mon, 03 Mar 2008 12:45:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;протокола, 07 - PADO - понять быт почему <br>&gt;&gt;при наличии ложного сервера клиент не всегда получает ответ ( <br>&gt;&gt;других фильтров нет в тестовой среде) - при наличии <br>&gt;&gt;только легитимных серверов - никаках задержек не будет . <br>&gt;&gt;<br>&gt;<br>&gt;у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа <br>&gt;сервии Dlink 3500,описание варианта решение : <br>&gt;<br>&gt;http://dlink.ru/technical/faq_hub_switch_75.php <br><br>Все заработало - чертова наука о контактах - достаточно было взять другой патч! <br>там решение с маками, коммутаторы DLINK - 35 - й серии же, фильр выглядит как <br><br>create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x<br>0 profile_id 100<br>config access_profile profile_id 100 add access_id 1 packet_content_mask offset_<br>1-24 0x88630007 0x0 0x0 0x0 port 1 deny <br>то есть без версии протокола :(<br><br> https://opennet.ru/openforum/vsluhforumID6/15654.html#3 Mon, 03 Mar 2008 12:20:00 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;вообще фильтр и должен это делать, у PADO пакет и <br>&gt;будет иметь 07 как признак пакета ( то есть <br>&gt;со смещения 17 смотрим чтобы пакет не был <br>&gt;88630107 - где 8863 - PPPoE пакет, 01 - версия <br>&gt;протокола, 07 - PADO - понять быт почему <br>&gt;при наличии ложного сервера клиент не всегда получает ответ ( <br>&gt;других фильтров нет в тестовой среде) - при наличии <br>&gt;только легитимных серверов - никаках задержек не будет . <br>&gt;<br><br>у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа сервии Dlink 3500,описание варианта решение :<br><br>http://dlink.ru/technical/faq_hub_switch_75.php<br> https://opennet.ru/openforum/vsluhforumID6/15654.html#2 Mon, 03 Mar 2008 12:06:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Правило фильтрации в данный момент такое. <br>&gt;&gt;если тип ETH пакета 8863 и поле код <br>&gt;&gt;PPPoE протокола установлено в 07 - входящий пакет с <br>&gt;&gt;порта ( не из списка где можно) - deny. <br>&gt;<br>&gt;можно так: <br>&gt;на всех портах разрешается PADI <br>&gt;на порту, к которому подключен PPPoE AC разрешается PADO <br>&gt;cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от <br>&gt;клиентов <br><br>вообще фильтр и должен это делать, у PADO пакет и будет иметь 07 как признак пакета ( то есть со смещения 17 смотрим чтобы пакет не был 88630107 - где 8863 - PPPoE пакет, 01 - версия протокола, 07 - PADO - понять быт почему при наличии ложного сервера клиент не всегда получает ответ ( других фильтров нет в тестовой среде) - при наличии только легитимных серверов - никаках задержек не будет . <br><br> https://opennet.ru/openforum/vsluhforumID6/15654.html#1 Mon, 03 Mar 2008 11:32:59 GMT &gt;[оверквотинг удален]<br>&gt;должен начать работать со следующим сервисом,предоставившим ему ответет <br>&gt;на дискавери пакет. <br>&gt;Куда копать ? - В фильтры (хотя много раз проверил) <br>&gt;или придется все же по макам. Или тестовый стенд <br>&gt;менять. <br>&gt;<br>&gt;Правило фильтрации в данный момент такое. <br>&gt;если тип ETH пакета 8863 и поле код <br>&gt;PPPoE протокола установлено в 07 - входящий пакет с <br>&gt;порта ( не из списка где можно) - deny. <br><br>можно так: <br>на всех портах разрешается PADI<br>на порту, к которому подключен PPPoE AC разрешается PADO<br>cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от клиентов <br>