[Решено] Шлюз c VLAN'ами дублирует бродкасты по всем подсетям интерфейса.

Автор ft845, 02 июля 2013, 22:58:28

« назад - далее »

0 Пользователи и 3 гостей просматривают эту тему.

ft845

Добрый день.
Есть шлюз на Debian 6.0.4.
На внутреннем интерфейсе настроены с десяток виланов, интерфейс подключен к транковому порту Cisco 3550.
Все работает, все внутренние подсети выходят через шлюз в интернет, к нужным ресурсам между подсетями настроен доступ в iptables.
По дефолту FORWARD заблокирован.
Но,  я обнаружил на интерфейсах внутренних хостов бродкасты, исодящие от шлюза, которые в эти подсети рассылаться не должны.
Например DHCP запросы от хостов других подсетей.
У мнея на шлюзе стоит dhcp-helper, я грешил на него, но его отключение проблему не убрало. Хосты адреса получать перестали, а бродкасты не исчесзи.

На коммутаторе, я настроил зеркалирование порта, к которому подключен внутренний интерфейс шлюза, подключил ПК c wireshark, и обнаружил, что шлюз любой полученный бродкаст рассылает
по всем подинтерфейсам (интерфейсам виланов).
Также, если помотреть на самом интерфейсе можно увидеть:

eth1.40 - интерфейс подсети 192.168.40.0/24
#tcpdump -i eth1.40

23:21:08.291354 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:09.041050 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:09.310682 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8028.00:08:7c:3a:58:00.8001, length 42
23:21:09.791113 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:10.534990 IP 192.168.70.57.55788 > 255.255.255.255.1947: UDP, length 40
23:21:10.859693 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:11.309918 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8028.00:08:7c:3a:58:00.8001, length 42
23:21:11.609207 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:12.359274 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:13.310558 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8028.00:08:7c:3a:58:00.8001, length 42
23:21:13.426713 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
23:21:14.176421 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Прошу совета- куда копать?

seisros

Автор, ты русский знаеш? Напиши матом, так понятнее. кто там чё у тебя дублирует? Ты интернет раздаёш или что? И зачем комутатор?

Сообщение объединено: 02 июля 2013, 23:16:00

Вбил в гугл Cisco 3550, я таких древних технологий вообще не видел. Хотя работал с ПК на котором HHD всего 20 гигабайт и процессор 300 с чем-то.

*устное предупреждение, п 2.5 правил форума, и просто завязывайте флуд., qupl

ft845

Уважаемый, так бы и написали- первыйнах... было бы честнее... раз по делу сказать нечего...

seisros

Цитата: ft845 от 02 июля 2013, 23:20:06
Уважаемый, так бы и написали- первыйнах... было бы честнее... раз по делу сказать нечего...
Брандмауер есть?

ft845

Вы очень внимательны. В вопросе фигурирует iptables, Конечно есть брендмауэр :)

seisros

Цитата: ft845 от 02 июля 2013, 23:53:52
Вы очень внимательны. В вопросе фигурирует iptables, Конечно есть брендмауэр :)
Мне кажется проблема не с операционкой а с тем самым старым железом. я на нём не работал. Может режим зеркала так и должен реагировать, я не знаю. Знаю одно от слова "Свич, сниффер, концентратор" надо просто бежать. Это технологии в 99% работают с такими глюками что железо горит и приходится выбрасывать. Я за 3 месяца один концентратор да убиваю. Вроде не горят с белым дымом, а серавно неадекватно себя ведут. В магазане проверяю, отлично. Гарантия проходит и начинается. То питание исчезнет, то ещё чтонибудь.

xbsd

блокирование этого типа трафика правилами iptables поможет решить проблему?
Цитата: seisros от 02 июля 2013, 23:09:27Вбил в гугл Cisco 3550, я таких древних технологий вообще не видел. Хотя работал с ПК на котором HHD всего 20 гигабайт и процессор 300 с чем-то.


Vitsliputsli


ft845

root@gw:/home/stalker# ip a
Открыть содержимое (спойлер)

root@gw:/home/stalker# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 30:85:a9:40:e1:ec brd ff:ff:ff:ff:ff:ff
    inet 10X.233.240.34/29 brd 10X.233.240.39 scope global eth0
    inet 10X.233.240.35/29 brd 10X.233.240.39 scope global secondary eth0:0
    inet6 fe80::3285:a9ff:fe40:e1ec/64 scope link
       valid_lft forever preferred_lft forever
3: eth2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 00:50:da:49:f3:ee brd ff:ff:ff:ff:ff:ff
    inet 5.5.5.2/29 brd 5.5.5.255 scope global eth2
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
5: eth1.20@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.20.4/24 brd 192.168.20.255 scope global eth1.20
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
6: eth1.30@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.30.4/24 brd 192.168.30.255 scope global eth1.30
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
7: eth1.35@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.35.4/24 brd 192.168.35.255 scope global eth1.35
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
8: eth1.40@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.40.4/24 brd 192.168.40.255 scope global eth1.40
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
9: eth1.42@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.4/24 brd 192.168.42.255 scope global eth1.42
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
10: eth1.45@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.45.4/24 brd 192.168.45.255 scope global eth1.45
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
11: eth1.50@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.50.4/24 brd 192.168.50.255 scope global eth1.50
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
12: eth1.55@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.55.4/24 brd 192.168.55.255 scope global eth1.55
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
13: eth1.60@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.60.4/24 brd 192.168.60.255 scope global eth1.60
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
14: eth1.70@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
    link/ether 00:0a:5e:54:10:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.70.4/24 brd 192.168.70.255 scope global eth1.70
    inet6 fe80::20a:5eff:fe54:101f/64 scope link
       valid_lft forever preferred_lft forever
16: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 192.168.15.4 peer 192.168.15.114/32 scope global ppp0
[свернуть]

root@gw:/home/stalker# ip r
Открыть содержимое (спойлер)

root@gw:/home/stalker# ip r
192.168.15.114 dev ppp0  proto kernel  scope link  src 192.168.15.4
5.5.5.0/29 dev eth2  proto kernel  scope link  src 5.5.5.2
10X.233.240.32/29 dev eth0  proto kernel  scope link  src 10X.233.240.34
192.168.55.0/24 dev eth1.55  proto kernel  scope link  src 192.168.55.4
192.168.70.0/24 dev eth1.70  proto kernel  scope link  src 192.168.70.4
192.168.20.0/24 dev eth1.20  proto kernel  scope link  src 192.168.20.4
192.168.50.0/24 dev eth1.50  proto kernel  scope link  src 192.168.50.4
192.168.35.0/24 dev eth1.35  proto kernel  scope link  src 192.168.35.4
192.168.30.0/24 dev eth1.30  proto kernel  scope link  src 192.168.30.4
192.168.60.0/24 dev eth1.60  proto kernel  scope link  src 192.168.60.4
192.168.45.0/24 dev eth1.45  proto kernel  scope link  src 192.168.45.4
192.168.42.0/24 dev eth1.42  proto kernel  scope link  src 192.168.42.4
192.168.40.0/24 dev eth1.40  proto kernel  scope link  src 192.168.40.4
default via 10X.233.240.33 dev eth0  src 10X.233.240.35
default via 10X.233.240.33 dev eth0
root@gw:/home/stalker#
[свернуть]

root@gw:/home/stalker# iptables-save
Открыть содержимое (спойлер)

root@gw:/home/stalker# iptables-save
# Generated by iptables-save v1.4.8 on Wed Jul  3 11:22:38 2013
*mangle
:PREROUTING ACCEPT [2870239:1923843353]
:INPUT ACCEPT [906258:605136791]
:FORWARD ACCEPT [1962625:1318590562]
:OUTPUT ACCEPT [957220:633182279]
:POSTROUTING ACCEPT [2906176:1948904112]
COMMIT
# Completed on Wed Jul  3 11:22:38 2013
# Generated by iptables-save v1.4.8 on Wed Jul  3 11:22:38 2013
*nat
:PREROUTING ACCEPT [132349:11228990]
:POSTROUTING ACCEPT [28467:2091533]
:OUTPUT ACCEPT [17740:1588348]
-A PREROUTING ! -d 192.168.20.0/24 -i eth1.20 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.20.4:3128
-A PREROUTING ! -d 192.168.30.0/24 -i eth1.30 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.30.4:3128
-A PREROUTING ! -d 192.168.35.0/24 -i eth1.35 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.35.4:3128
-A PREROUTING ! -d 192.168.40.0/24 -i eth1.40 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.40.4:3128
-A PREROUTING ! -d 192.168.42.0/24 -i eth1.42 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.42.4:3128
-A PREROUTING ! -d 192.168.50.0/24 -i eth1.50 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.50.4:3128
-A PREROUTING ! -d 192.168.60.0/24 -i eth1.60 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.60.4:3128
-A PREROUTING ! -d 192.168.70.0/24 -i eth1.70 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.70.4:3128
-A POSTROUTING -s 192.168.20.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.30.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.40.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.42.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.45.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.55.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.50.0/24 -o eth0 -j SNAT --to-source 10X.233.240.34
-A POSTROUTING -s 192.168.70.0/24 -o eth0 -j SNAT --to-source 10X.233.240.35
-A POSTROUTING -s 192.168.60.0/24 -o eth0 -j SNAT --to-source 10X.233.240.35
COMMIT
# Completed on Wed Jul  3 11:22:38 2013
# Generated by iptables-save v1.4.8 on Wed Jul  3 11:22:38 2013
*filter
:INPUT DROP [73963:6285584]
:FORWARD DROP [4136:282181]
:OUTPUT ACCEPT [887822:619092383]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --dport 4422 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name radiator --rsource
-A INPUT -p tcp -m tcp --dport 4422 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 5 --name radiator --rsource -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -d 10X.233.240.34/32 -p tcp -m tcp --dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 4422 -j ACCEPT
-A INPUT -i eth1.40 -p tcp -m tcp --dport 4422 -j ACCEPT
-A INPUT -i eth1.50 -p tcp -m tcp --dport 4422 -j ACCEPT
-A INPUT -i eth1.45 -p tcp -m tcp --dport 4422 -j ACCEPT
-A INPUT -i eth1.42 -p tcp -m tcp --dport 4422 -j ACCEPT
-A INPUT -i eth1.50 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.42 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.30 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.20 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.35 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.40 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.60 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -i eth1.70 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -p icmp -f -j DROP
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.40 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth1.50 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth1.45 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth1.42 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth1.20 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth1.20 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.20 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.20 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i eth1.30 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth1.30 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.30 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.30 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i eth1.35 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth1.35 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.35 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.35 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -s 192.168.40.0/24 -p tcp -m conntrack --ctstate NEW -m multiport --ports 80,8080,443,137:139,445,1541 -j ACCEPT
-A INPUT -i eth1.40 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -s 192.168.42.0/24 -p tcp -m conntrack --ctstate NEW -m multiport --ports 80,8080,443,137:139,445,1541 -j ACCEPT
-A INPUT -i eth1.50 -p udp -m udp --sport 67:68 -j ACCEPT
-A INPUT -i eth1.55 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -i eth1.55 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1.55 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -i eth1.55 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i eth1.60 -p udp -m udp --dport 67:68 -j ACCEPT
-A INPUT -i eth1.70 -p udp -m udp --dport 67:68 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -o eth0 -p tcp -m tcp --sport 31337:31340 --dport 31337:31340 -j DROP
-A FORWARD -s 10.0.0.0/8 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth0 -j DROP
-A FORWARD -s 172.16.0.0/16 -i eth0 -j DROP
-A FORWARD -d 192.168.15.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.42.150/32 -m set --match-set GR_NET-VPN_ACCEPT_TO_FILE-SRV src -j ACCEPT
-A FORWARD -s 192.168.15.110/32 -d 192.168.42.150/32 -p tcp -m multiport --dports 137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.15.110/32 -d 192.168.42.150/32 -p udp -m multiport --dports 137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.15.110/32 -d 192.168.42.150/32 -p tcp -m multiport --dports 80,443 -j ACCEPT
-A FORWARD -s 192.168.15.110/32 -d 192.168.45.20/32 -p tcp -m multiport --dports 3389,3390 -j ACCEPT
-A FORWARD -s 192.168.15.110/32 -d 192.168.0.5/32 -p tcp -m multiport --dports 3389,3390 -j ACCEPT
-A FORWARD -s 192.168.15.110/32 -d 192.168.50.10/32 -p tcp -m multiport --dports 22,4422,80,10000 -j ACCEPT
-A FORWARD -s 192.168.15.113/32 -d 192.168.42.150/32 -j ACCEPT
-A FORWARD -s 192.168.15.113/32 -d 192.168.42.150/32 -p tcp -m multiport --dports 137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.15.113/32 -d 192.168.42.150/32 -p udp -m multiport --dports 137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.15.113/32 -d 192.168.42.150/32 -p tcp -m multiport --dports 80,443 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.35.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.40.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.30.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.20.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.45.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.42.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.50.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.60.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.111/32 -d 192.168.70.0/24 -j ACCEPT
-A FORWARD -s 192.168.15.112/32 -d 192.168.42.150/32 -p tcp -m multiport --dports 137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.15.112/32 -d 192.168.42.150/32 -p udp -m multiport --dports 137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.15.114/32 -d 192.168.50.5/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.15.0/24 -j DROP
-A FORWARD -s 192.168.20.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.20.0/24 -i eth1.20 -o eth1.42 -p tcp -m tcp --dport 161 -j ACCEPT
-A FORWARD -s 192.168.20.0/24 -i eth1.20 -o eth1.42 -p tcp -m tcp --dport 515 -j ACCEPT
-A FORWARD -s 192.168.20.0/24 -i eth1.20 -o eth1.42 -p udp -m multiport --dports 137,54925,54926 -j ACCEPT
-A FORWARD -d 192.168.20.0/24 -i eth1.20 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.20.0/24 -i eth1.20 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.20.0/24 -i eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.20.0/24 -i eth1.20 -j DROP
-A FORWARD -s 192.168.30.0/24 -i eth1.30 -o eth1.42 -p tcp -m tcp --dport 161 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth1.30 -o eth1.42 -p tcp -m tcp --dport 515 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth1.30 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.30.0/24 -i eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -i eth1.30 -j DROP
-A FORWARD -d 192.168.35.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -i eth1.35 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p udp -m multiport --ports 389,88,445,123,464,138,67,2535,137 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p tcp -m multiport --ports 389,636,3268,3269,88,53,445,25,135,5722,464,9389,139 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.50.5/32 -p tcp -m multiport --ports 5051,3600,3609 -j ACCEPT
-A FORWARD -d 192.168.42.150/32 -i eth1.35 -m set --match-set GR_NET-USER_ACCEPT_TO_FILE-SRV src -j ACCEPT
-A FORWARD -d 192.168.42.78/32 -i eth1.35 -p tcp -m set --match-set GR_NET-USER_ACCEPT_TO_1C_RDP src -m multiport --dports 3389,3390 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.42.247/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.42.17/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.42.15/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -d 192.168.42.151/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -i eth1.35 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.35.0/24 -i eth1.35 -j DROP
-A FORWARD -d 192.168.40.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -i eth1.40 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p udp -m multiport --ports 389,88,445,123,464,138,67,2535,137 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p tcp -m multiport --ports 389,636,3268,3269,88,53,445,25,135,5722,464,9389,139 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.50.5/32 -p tcp -m multiport --ports 5051,3600,3609 -j ACCEPT
-A FORWARD -s 192.168.40.50/32 -d 192.168.50.5/32 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.30.0/24 -i eth1.40 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.42.150/32 -i eth1.40 -m set --match-set GR_NET-USER_ACCEPT_TO_FILE-SRV src -j ACCEPT
-A FORWARD -d 192.168.42.78/32 -i eth1.40 -p tcp -m set --match-set GR_NET-USER_ACCEPT_TO_1C_RDP src -m multiport --dports 3389,3390 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.42.0/24 -i eth1.40 -p tcp -m multiport --dports 35,170,515,631,3396,4007,9303,34443,54925,54926,161,162,199 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.42.0/24 -i eth1.40 -p udp -m multiport --dports 35,170,515,631,3396,4007,9303,34443,54925,54926,161,162,199 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.42.247/32 -i eth1.40 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.42.17/32 -i eth1.40 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.42.15/32 -i eth1.40 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -d 192.168.42.151/32 -i eth1.40 -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -i eth1.40 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.40.0/24 -i eth1.40 -j DROP
-A FORWARD -d 192.168.42.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.30.0/24 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.30.0/24 -j ACCEPT
-A FORWARD -s 192.168.42.150/32 -d 192.168.50.5/32 -p udp -m multiport --ports 389,88,445,123,464,138,67,2535,137 -j ACCEPT
-A FORWARD -s 192.168.42.150/32 -d 192.168.50.5/32 -p tcp -m multiport --ports 389,636,3268,3269,88,53,445,25,135,5722,464,9389,139 -j ACCEPT
-A FORWARD -s 192.168.42.150/32 -d 192.168.50.5/32 -p tcp -m tcp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.42.150/32 -d 192.168.50.5/32 -p udp -m udp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.42.150/32 -d 192.168.50.5/32 -p tcp -m tcp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.42.150/32 -d 192.168.50.5/32 -p udp -m udp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.42.0/24 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.42.0/24 -i eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.50.5/32 -d 192.168.45.20/32 -p tcp -m multiport --ports 475,137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.50.5/32 -d 192.168.45.20/32 -p udp -m multiport --ports 475,137,138,139,445 -j ACCEPT
-A FORWARD -s 192.168.50.0/24 -i eth1.50 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.50.0/24 -i eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.50.5/32 -d 192.168.45.20/32 -j ACCEPT
-A FORWARD -s 192.168.45.20/32 -d 192.168.50.5/32 -j ACCEPT
-A FORWARD -d 192.168.50.0/24 -i eth1.45 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.50.5/32 -d 192.168.45.20/32 -j ACCEPT
-A FORWARD -s 192.168.50.5/32 -d 192.168.42.151/32 -j ACCEPT
-A FORWARD -s 192.168.50.5/32 -d 192.168.42.150/32 -j ACCEPT
-A FORWARD -s 192.168.50.0/24 -i eth1.50 -j DROP
-A FORWARD -d 192.168.55.0/24 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -i eth1.55 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p udp -m multiport --ports 389,88,445,123,464,138,67,2535,137 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p tcp -m multiport --ports 389,636,3268,3269,88,53,445,25,135,5722,464,9389,139 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 49152:65535 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p tcp -m tcp --dport 1025:5000 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 1025:5000 -j ACCEPT
-A FORWARD -d 192.168.42.150/32 -i eth1.55 -m set --match-set GR_NET-USER_ACCEPT_TO_FILE-SRV src -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.42.247/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.42.17/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.42.15/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -d 192.168.42.151/32 -i eth1.35 -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -i eth1.55 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.55.0/24 -i eth1.55 -j DROP
-A FORWARD -s 192.168.60.0/24 -d 192.168.50.5/32 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -s 192.168.60.0/24 -i eth1.60 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.60.0/24 -i eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.60.0/24 -i eth1.60 -j DROP
-A FORWARD -s 192.168.70.0/24 -i eth1.70 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.70.0/24 -i eth0 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.70.0/24 -i eth1.70 -j DROP
-A FORWARD -m pkttype --pkt-type broadcast -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A OUTPUT -o eth0 -p tcp -m tcp --sport 31337:31340 --dport 31337:31340 -j DROP
-A OUTPUT -s 10X.233.240.34/32 -p tcp -m tcp --sport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 4422 -j ACCEPT
-A OUTPUT -o eth1.40 -p tcp -m tcp --sport 4422 -j ACCEPT
-A OUTPUT -o eth1.50 -p tcp -m tcp --sport 4422 -j ACCEPT
-A OUTPUT -o eth1.45 -p tcp -m tcp --sport 4422 -j ACCEPT
-A OUTPUT -o eth1.42 -p tcp -m tcp --sport 4422 -j ACCEPT
-A OUTPUT -p icmp -f -j DROP
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1.40 -p tcp -m tcp --sport 10000 -j ACCEPT
-A OUTPUT -o eth1.50 -p tcp -m tcp --sport 10000 -j ACCEPT
-A OUTPUT -o eth1.45 -p tcp -m tcp --sport 10000 -j ACCEPT
-A OUTPUT -o eth1.42 -p tcp -m tcp --sport 10000 -j ACCEPT
-A OUTPUT -o eth1.20 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth1.20 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth1.20 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1.20 -p udp -m udp --sport 67:68 -j ACCEPT
-A OUTPUT -o eth1.30 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth1.30 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth1.30 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1.30 -p udp -m udp --sport 67:68 -j ACCEPT
-A OUTPUT -o eth1.35 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth1.35 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth1.35 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1.35 -p udp -m udp --sport 67:68 -j ACCEPT
-A OUTPUT -o eth1.40 -p udp -m udp --sport 67:68 -j ACCEPT
-A OUTPUT -o eth1.50 -p udp -m udp --dport 67:68 -j ACCEPT
-A OUTPUT -o eth1.55 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A OUTPUT -o eth1.55 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth1.55 -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -o eth1.55 -p udp -m udp --sport 67:68 -j ACCEPT
-A OUTPUT -o eth1.60 -p udp -m udp --sport 67:68 -j ACCEPT
-A OUTPUT -o eth1.70 -p udp -m udp --sport 67:68 -j ACCEPT
COMMIT
# Completed on Wed Jul  3 11:22:38 2013
root@gw:/home/stalker#
[свернуть]

Vitsliputsli

У шлюза адрес 192.168.42.4, бродкасты приходят от 192.168.42.73. Так что проблема не в шлюзе, а в клиентах. Проверяйте настройки порта и/или сетевухи для 192.168.42.73.

ft845

Проблема решена.
Виновник- демон pptpd у которого была поднята служба bcrelay, которая и флудила бродкастами по всему физическому внутреннему интерфейсу, на котором были подняты VLAN'ы

Спасибо.