удпшный Шторм на двух интерфейсах.

WY6EPT

схема сети  клиенты=>vlan12=>igb0=>pf=>igb1=>vlan12=>вышестоящий роутер
схема работает на время перелопачивания основного канала.
ситуация.
на igb1 идёт исходящий трафф 500 мегабит
а на igb0 идёт входящий трафф 300 мегабит
по pftop показывает
169.254.124.113

pfTop: Up State 1-100/5300, View: default, Order: bytes
PR    D SRC                  DEST                STATE  AGE  EXP  PKTS BYTES
udp  I 169.254.124.113:137  169.254.255.255:137  0:1  39562    30  12G 1140G
udp  O 169.254.124.113:137  169.254.255.255:137  1:0  39562    30  12G 1140G

айпишники виндовые дефолтные без dhcp

залочил на интерфейсах udp\tcp 137 на какое то время помогло.

тогда создал float правило для igb1 блокировать исходящий tcp\udp 137 порта.
убил состояние
траффик пропал, жду надолго ли.

у кого какие мыли на этот счёт?

derwin

с чего вы взяли что это шторм?
это обычный smb траффик. Кто то качает файлы по сетке. Так же видел как по нему работают вирусы.
Я бы рекомендовал на длинках:
config filter netbios state enable
или просто закрыть на коммутаторе 137-139 порты

WY6EPT

а нет у меня самбистов, которые брудкастовые пакеты гоняют.
да еще и с адреса винды которая по дхцп ничего не получила.
тоесть вообще не из моих подсетей

WY6EPT

сегодня проявился еще и 138 порт =)
что то где то я накосячил

WY6EPT

@derwin:

с чего вы взяли что это шторм?
это обычный smb траффик. Кто то качает файлы по сетке. Так же видел как по нему работают вирусы.
Я бы рекомендовал на длинках:
config filter netbios state enable
или просто закрыть на коммутаторе 137-139 порты

это был шторм.
2 интерфейса смотрели в один vlan.
они друг друга зафигачивали пакетами =)
закрыть брудкаст не вариант, dhcp и ARP гулять не будут, а это значит. что всё ляжет

smils

2 интерфейса смотрели в один vlan.

так что не так?
для связности нужно минимум два интерфейса.

:o

WY6EPT

да как бы всё нормально, но до запрета UDP эти два интерфейса  смотрящие в 1 vlan но в разные подсети друг друга брудкастили аж по 500-1000 тысяч пакетов в секунду.
с чем это связано я так и не понял.
мой то коммутатор это переваривал, а вот когда это влетало в коммут провайдера, они звонили мне и просили поправить, потому, что через аплинк в гигабит улетало очень много пакости в том числе и к нашим клиентам =)
если у кого есть желание попробуйте так 2 интерфейса в один свич впихать и разные подсетки настроить. но дхцп поднимать только в одной =)

smils

@WY6EPT:

если у кого есть желание попробуйте так 2 интерфейса в один свич впихать и разные подсетки настроить. но дхцп поднимать только в одной =)

ни чего не будет. что тут пробовать.

проблема однако железная. такой флуд или петля или битый порт или витая пара коротнувшая.

попробуйте Tx Rx закольцевать. некоторым коммутаторам крышу сносит.

поумнее коммутаторы отключают порт.

я так выгорешие от грозы порты гасил, чтоб не вешали коммутатор.

И да!! летит такой флуд в сеть провайдера за милу душу. пока пров умнее не станет.

наматывайте на ус пакостники как  домосетям вредить.