как закрыть внешний DHCP

A

avary

★arbiten und disciplinen!★
Пользователь
Активный участник
Проверенный
Сообщения
185
Реакции
160
Баллы
63
Credits
0
вопрос к знатокам!
есть провайдер, который на DHCP раздает IP-адреса для IP телевидения.
Он же раздает интернет.
когда я поднимаю DHCP сервер на роутере(ADSLмодеме) - мои настройки игнорируются!
присваивается компутеру IPадрес из внешей сети!!!
что делать???
 
Последнее редактирование:
Не совсем понятно как приходит интернет.
Роутер и приходящий интернет не зависисмы друг от друга?
Т.е. интернет не воткнут в роутер, который должен раздавать DHCP?
 
а если твой DHCP сметить к примеру на диапазон IP 10.10.10.XX тоже присвоится внешний?
мож просто роутер не как роутер настроен а как репитор или точка? проверь чтоб входящий инет приходил на порт WAN
 
Последнее редактирование:
goragor написал(а):
Не совсем понятно как приходит интернет.
Роутер и приходящий интернет не зависисмы друг от друга?
Т.е. интернет не воткнут в роутер, который должен раздавать DHCP?
Нажмите для раскрытия...

adsl модем - настроен роутером.Естественно в него воткнут телефонный кабель. На нем поднимаю DHCP. Компьютеры в моей локальной сети получают IP адрес не с моего роутера, а с внешней сети!:shok:
например я ставлю пул 10.10.0.3 - 10.10.0.250
компьютер получает IP 10.30.40.228 и говорит что IP адрес выдало устройство с IP 10.30.40.12 - по команде tracert видно что данное устройство находится за модемом! в интернете.

EVA написал(а):
а если твой DHCP сметить к примеру на диапазон IP 10.10.10.XX тоже присвоится внешний?
мож просто роутер не как роутер настроен а как репитор или точка? проверь чтоб входящий инет приходил на порт WAN
Нажмите для раскрытия...

на мой DHCP компам по барабану!
То есть если отключить интернет (выдернуть телефонный провод из модема) все присваивается правильно! компутеры с моего DHCP получают адреса из назначенного мной пула.
 
Последнее редактирование:
scream написал(а):
модель adsl модема ??
Нажмите для раскрытия...

Интеркросс 5633 (Broadcom)
current software version:1.3.9
ic-blue.png
 
Последнее редактирование:
роутер у тебя случайно не "мостом" (bridge) настроен?
 
Interface VPI/VCI Encap Protocol IP Address Gateway
Internet_R_0_35 0/35 LLC PPPoE 90.189.x.153 213.228.x.15
 
Последнее редактирование:
Проблема решена.
Кому интересно как...
Закрыл на модемном файрволе входящий порт 68 по протоколу UDP

цитата из вики
Протокол DHCP является клиент-серверным, то есть в его работе участвуют клиент DHCP и сервер DHCP. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.
Нажмите для раскрытия...

трабл возник из-за поднятого VPN на модеме! На другой стороне походу тоже DHCP сервак поднят.
 
Проблема вернулась :clap_1:
отказался от ADSL. Поставил оптовокно взял маршрутизатор d-link dir300
885.jpg

там есть WI-FI
Вот в нем и трабла!
то, что идет по проводам, успешно блокируется файрволом (как уже писал 67,68 входящие - исходящие порты)
то, что по wi-fi пох на мои правила в файрволе!!!
Пытался блокировать IP адрес DHCP сервера - не помогает!
:wallbash:
Жду ваших идей!
 
А этот самый дир-300 с какой версией прошивки? Я в свое время обновился на более свежую и возникли проблемы. откатился на более старую прошу и запретил например те же самые вконтакте таким правилом 87.240.128.0/18
и 93.186.224.0/21 Все нормально стало. И по вафле тоже. А до этого с вайфаем проблемы были.
 
Версия прошивки: 1.3.0
Время сборки: Wed Mar 14 11:22:43 MSK 2012
Нажмите для раскрытия...
Прошивка родная.
Нужно попробовать сменить! Спасибо за идею.
 
Не помню уже. Данного девайса сейчас нет. Заменил на другой. 1.3.0 по-моему ставил. А нормально заработало с DIR_300NRUB5_1.2.94. Проши сейчас уже нет под рукой. Но у них свой ftp сервак поднят с прошивками. Можно там посмотреть.
 
Прошивку сменил - проблема осталась.
Как я понял DHCP работает по принципу - кто раньше встал - того и тапки!
От какого сервера придет первый ответ - тот и выдает в аренду IP
На дешевом железе нет механизмов блокировки протокола DHCP
На дорогом есть
DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP - её можно (и нужно) использовать для отсечения "лишних" DHCP серверов в сети.

Я пошел другим путем - нашел простой и ОЧЕНЬ БЫСТРЫЙ DHCP сервер
(вернее это снифер, но мне в нем понадобился только раздел DHCP)
Единственный минус - комп с программой во время получения девайсом IP , естественно, должен быть включен...
Проблема временно решена (через костыли:)).

Собственно с его помощью можно и атаку провести где - нибудь в общественном месте с вай фаем :)
Поскольку именно ваш ноут выдает IP и шлюз в интернет - весь траффик идет через ваш ноут! :harhar: Ну а что с ним делать - это дело десятое :clap_1:

Собственно сам субъект:
Intercepter-NG
http://sniff.su/
 
Можно dd-wrt прошивку попробовать, там роутинг и NAT работают отлично.
 
Войдите или зарегистрируйтесь для ответа.
Сверху