Question about pfSense

[Old_Tuzik]

Так и должно быть. Не убивайте их - они хорошие.

Извините, в этот раз Вы меня не убедили.

Убедились?

Станислав с Вами приятно иметь дело потому как это очевидно что Вы держите дискуссию под контролем и не ленитесь заглянуть в history что бы восстановить цепь событий перед тем как ответить.

В данном случае я убедился (путем анализа самого трафика и анализа ответа провайдера почему сейчас это происходит))что трафик который постоянно идет на мой роутер сгенерирован провайдером а не ботом сканирующим порты снаружи/зараженным двд плэером или инфицированным wifi enabled thermostat / Samsung smart TV из моей внутренней подсети. Согласитесь, это две разные вещи, поверить на слову незнакомому человеку и убедиться самому, в этом вся разница.
Для тех кто верит на слово незнакомцам: Леня Голубков, "Куплю жене сапоги"
https://www.youtube.com/watch?v=5xAa4u3G8JM

[Old_Tuzik]

Ну а собственно чего хотели-то. Подключены к хабу на несколько тыщ портов и хотите чтобы там арп не бегал.

Скажу честно я не люблю гуглить для других и повторять одни и те же вещи многократно но сделаю это что бы ответить на Ваш вопрос.
Люди имеет схожий вопрос про arp broadcast которого просто раньше не наблюдалось (я не возражаю против arp, мне просто кажется что у них получилось через .... :
http://communityforums.rogers.com/t5/fo ... 417/page/1

Ответ Роджерс:
http://communityforums.rogers.com/t5/fo ... 417/page/2
внизу на второй странице. Подобный ответ от Shaw Вы можете найти сами в интернете.

Все бы хорошо, но если Вы погуглите еще, Вы найдете доп. обьяснение от провайдера о причине arp broadcast - они это сделали что бы разрузить свои мощности (иначе вместо того что бы слать постоянно и в колосальном количестве arp они бы долны были держать таблицу mac/IP клиентов у себя вместо простоянного сканирования и обновлять ее в реальном времени, ведь они знают о каждом клиенте получающем динамический IP). Вы со мной согласны?

А что это значит для меня: - у меня шосный интерфейс используется как пассивный, то есть через него я трафик не посылаю до тех пор пока мой основной интерфейс не упадет, а это не случается практически никогда потому как там fiber optics. В тоже время обработка колосального потока arp пакетов с _пассивного интерфеса отнимает мощность моего CPU и тратится абсолютно напрасно - я не использую этот интерфейс.

Вот и получается: грамотные провайдеровские инженеры разрузили свое оборудование, просто возложив эту нагрузку на мое оборудование. И в то время как это на самом деле не проблема и все это имеет скорее академический чем практический интерес (а точнее просто любопытство) это не есть правильно с моей точки зрения как end user. Но я могу и заблуждаться, я не эксперт в этой области.

[borei]

Все это замечательно. Я бы и сам не прочь покопаться в пакетах которые гуляют туда сюда, однако ресурсов не хватает. Всетаки задам вопрос - коим образом моё утверждение о том что шошные пользователи сидят на Хабе идёт в разрез с вашим ресерчем. Арп траффик будет присутствовать и будет виден участниками сети. Или просто количество траффика возросло ? Так если до роутера это долетает и жалко его ресурсы можно модем в режим роутера/нат поставить и не будешь видеть этот арп вообще. Если вопрос принципиальный - тогда надо принципиально менять прова у которого switch like сеть. Только я не знаю есть ли такие или нет.

[Old_Tuzik]

Все это замечательно. Я бы и сам не прочь покопаться в пакетах которые гуляют туда сюда, однако ресурсов не хватает. Всетаки задам вопрос - коим образом моё утверждение о том что шошные пользователи сидят на Хабе идёт в разрез с вашим ресерчем.
Если вопрос принципиальный - тогда надо принципиально менять прова у которого switch like сеть.

Если честно то я не знаю ответ на Ваш вопрос по поводу хаба/свича. По моим наблюдениям я подключен к Cadant Cable Modem Termination System
https://en.wikipedia.org/wiki/Cable_mod ... ion_system

Арп траффик будет присутствовать и будет виден участниками сети. Или просто количество траффика возросло ?

Да и очень значительно. И, да, ARP - неотемлемая часть link layer так что без него никуда.

Так если до роутера это долетает и жалко его ресурсы можно модем в режим роутера/нат поставить и не будешь видеть этот арп вообще.Только я не знаю есть ли такие или нет.

Это как ведь тогда будет двойной нат. В моем случае есть modem - pfSense (transparent firewall, snort, pfBlocker) - USG 50 WAN 1 (AV, IDP, Content filter, anti-spam, NAT).

[borei]

Все это замечательно. Я бы и сам не прочь покопаться в пакетах которые гуляют туда сюда, однако ресурсов не хватает. Всетаки задам вопрос - коим образом моё утверждение о том что шошные пользователи сидят на Хабе идёт в разрез с вашим ресерчем.
Если вопрос принципиальный - тогда надо принципиально менять прова у которого switch like сеть.

Если честно то я не знаю ответ на Ваш вопрос по поводу хаба/свича. По моим наблюдениям я подключен к Cadant Cable Modem Termination System
https://en.wikipedia.org/wiki/Cable_mod ... ion_system

Арп траффик будет присутствовать и будет виден участниками сети. Или просто количество траффика возросло ?

Да и очень значительно. И, да, ARP - неотемлемая часть link layer так что без него никуда.

Так если до роутера это долетает и жалко его ресурсы можно модем в режим роутера/нат поставить и не будешь видеть этот арп вообще.Только я не знаю есть ли такие или нет.

Это как ведь тогда будет двойной нат. В моем случае есть modem - pfSense (transparent firewall, snort, pfBlocker) - USG 50 WAN 1 (AV, IDP, Content filter, anti-spam, NAT).

ну как же так по поводу свитчей и хабов.
Основная разница в том что свитч знает на каком порту сидит определенный МАС адрес, тем самым практически анулируя арп траффик.
хаб этой фичи не имеет ну и дует во все дырки вопросы а кто имеет такой-то мас.
Таблица мас адресов на свитче не резиновая можно устроить мас спуффинг и переполнить ее, тогда свитч перейдет в режим хаба со всеми вытекающими. Таблицы сейчас большой емкости, да и защита есть от такого спуффинга, те волноваться сильно не стоит.
Теперь вернемся к нашим баранам - кабельные сети. Я конечно уже подзабыл все внутреннюю кухню, но попытаюсь изложить мыслю с точки зрения логики, технически я конечно могу попасть в просак. Модемы сидящие на одном DS (down-stream) потоке будуи образовывать арп домен, ну и сам понимаешь что это получается хаб, ни о какой фильтрации в RF даже лапти не шумят, все глаголят со всеми. Мощность CMTS растет, улучшаются технологии уплотнения и тд и тп, те все это ведет к тому что количтво модемов на одном DS растет, соответственно растет арп домен. Количество арп траффика будет расти тоже но что-то мне говорит что это будет выше чем линейная зависимоть от количества модемов.
Можно конечно поднять последовательность регистрации модема на CMTS но там процесс не такой очевидный как кажется.
Боттом лайн - для меня звучит несколько странно та вещь что подкрутив чего-то на CMTS существенно увеличило арп траффик. Опять же голословно тут рубить не возьмусь, может и так, надо читать.

[Old_Tuzik]

Всетаки задам вопрос - коим образом моё утверждение о том что шошные пользователи сидят на Хабе идёт в разрез с вашим ресерчем. Если вопрос принципиальный - тогда надо принципиально менять прова у которого switch like сеть.

Если честно то я не знаю ответ на Ваш вопрос по поводу хаба/свича. По моим наблюдениям я подключен к Cadant Cable Modem Termination System
https://en.wikipedia.org/wiki/Cable_mod ... ion_system

ну как же так по поводу свитчей и хабов.

"Смешались в кучу кони, люди." Бородино (Лермонтов)

Вы спросили сидят ли шошные пользователи на хабе, я ответил не знаю про хаб (я не знаю ни шошной network topology / полного листа используемого оборудования) , но они точно приконекченны к CMTS и даже назвал имя используемого бренда и Вы мне популярно обьяснили разницу между хабом и свичем.

Основная роль CMTS это преобразование физического интерфейсам.

Боттом лайн - для меня звучит несколько странно та вещь что подкрутив чего-то на CMTS существенно увеличило арп траффик. Опять же голословно тут рубить не возьмусь, может и так, надо читать.

Cable ARP Filtering
This document describes the Cable ARP Filtering feature for the Cisco Cable Modem Termination System (CMTS). This feature enables service providers to filter Address Resolution Protocol (ARP) request and reply packets, to prevent a large volume of such packets from interfering with the other traffic on the cable network.

http://www.cisco.com/c/en/us/td/docs/ca ... arpfl.html

[borei]

Всетаки задам вопрос - коим образом моё утверждение о том что шошные пользователи сидят на Хабе идёт в разрез с вашим ресерчем. Если вопрос принципиальный - тогда надо принципиально менять прова у которого switch like сеть.

Если честно то я не знаю ответ на Ваш вопрос по поводу хаба/свича. По моим наблюдениям я подключен к Cadant Cable Modem Termination System
https://en.wikipedia.org/wiki/Cable_mod ... ion_system

ну как же так по поводу свитчей и хабов.

"Смешались в кучу кони, люди." Бородино (Лермонтов)

Вы спросили сидят ли шошные пользователи на хабе, я ответил не знаю про хаб (я не знаю ни шошной network topology / полного листа используемого оборудования) , но они точно приконекченны к CMTS и даже назвал имя используемого бренда и Вы мне популярно обьяснили разницу между хабом и свичем.

Основная роль CMTS это преобразование физического интерфейсам.

Боттом лайн - для меня звучит несколько странно та вещь что подкрутив чего-то на CMTS существенно увеличило арп траффик. Опять же голословно тут рубить не возьмусь, может и так, надо читать.

Cable ARP Filtering
This document describes the Cable ARP Filtering feature for the Cisco Cable Modem Termination System (CMTS). This feature enables service providers to filter Address Resolution Protocol (ARP) request and reply packets, to prevent a large volume of such packets from interfering with the other traffic on the cable network.

http://www.cisco.com/c/en/us/td/docs/ca ... arpfl.html

That is arp filter on the CMTS interface, just to save CMTS gear in case of ARP flood, there is nothing to do with end-user cable modem.


Filtering ARP Traffic

To control the volume of ARP traffic on a cable interface, you can configure the cable arp filter command to specify how many ARP packets are allowed per Service ID (SID) during a user-specified time period. You can configure separate thresholds for ARP request packets and for ARP reply packets.

When a cable interface is configured to filter ARP packets, it maintains a table of the number of ARP request or reply packets that have been received for each SID. If a SID exceeds the maximum number of packets during the window time period, the Cisco CMTS drops the packets until a new time period begins.

sorry no russian layout in the office.

[Old_Tuzik]

That is arp filter on the CMTS interface, just to save CMTS gear in case of ARP flood, there is nothing to do with end-user cable modem.

Наверно так и есть я просто не знаю как работает CMTS поэтому это была просто попытка угадать. Проверьте пож. личные сообщения если это возможно.
Спасибо.