далее расширил pcf

create access_profile profile_id 5 ipv6 source_ipv6_mask FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF destination_ipv6_mask FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
config access_profile profile_id 5 add access_id 1 ipv6 source_ipv6 FE80::22C9:D0FF:FE99:C024 destination_ipv6 FF02::FB port 1 permit rx_rate no_limit
config access_profile profile_id 5 add access_id 2 ipv6 source_ipv6 FE80::22C9:D0FF:FE99:C024 destination_ipv6 FE80::3E07:54FF:FE4A:EB9E port 1 permit rx_rate no_limit
config access_profile profile_id 5 add access_id 3 ipv6 source_ipv6 FE80::22C9:D0FF:FE99:C024 destination_ipv6 FE80::129A:DDFF:FE5A:AACD port 1 permit rx_rate no_limit
config access_profile profile_id 5 add access_id 4 ipv6 source_ipv6 FE80::22C9:D0FF:FE99:C024 destination_ipv6 FE80::644A:92B7:FA11:5BE7 port 1 permit rx_rate no_limit

create access_profile profile_id 6 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 6 add access_id 1 ethernet source_mac 20-C9-D0-99-C0-24 port 1 deny

что он делает - ip6 точки разрешён доступ до мультикаста mDNS и до 3 устройств потом блокируем точку

вопрос

почему проходят нейдборхуд ? хотел их прописать но потом увидел что они проходят - что не так с правилом?

12:49:52.437647 20:c9:d0:99:c0:24 > 33:33:ff:5a:aa:cd, ethertype IPv6 (0x86dd), length 86: fe80::22c9:d0ff:fe99:c024 > ff02::1:ff5a:aacd: ICMP6, neighbor solicitation, who has fe80::129a:ddff:fe5a:aacd, length 32

13:24:52.155728 20:c9:d0:99:c0:24 > 10:40:f3:eb:2b:bc, ethertype IPv6 (0x86dd), length 78: :: > ff02::1:ffeb:2bbc: ICMP6, neighbor solicitation, who has fe80::1240:f3ff:feeb:2bbc, length 24
13:25:03.965927 20:c9:d0:99:c0:24 > 10:40:f3:eb:2b:bc, ethertype IPv6 (0x86dd), length 78: :: > ff02::1:ffeb:2bbc: ICMP6, neighbor solicitation, who has fe80::1240:f3ff:feeb:2bbc, length 24
13:25:04.975925 20:c9:d0:99:c0:24 > 10:40:f3:eb:2b:bc, ethertype IPv6 (0x86dd), length 78: :: > ff02::1:ffeb:2bbc: ICMP6, neighbor solicitation, who has fe80::1240:f3ff:feeb:2bbc, length 24
13:25:05.985937 20:c9:d0:99:c0:24 > 10:40:f3:eb:2b:bc, ethertype IPv6 (0x86dd), length 78: :: > ff02::1:ffeb:2bbc: ICMP6, neighbor solicitation, who has fe80::1240:f3ff:feeb:2bbc, length 24

PS. нагрузка на cpu упала и продолжает падать

отловил фековый пакет - кто то умудрился получить доступ к мультикасту точки - такое же вижу на другом планте где стоит dap-2553

с точки вылетает поддельный пакет как будто он Apple-TV

15:21:45.606029 20:c9:d0:99:c0:24 > 01:00:5e:00:00:fb, ethertype IPv4 (0x0800), length 206: (tos 0x0, ttl 255, id 416, offset 0, flags [none], proto UDP (17), length 192)
172.16.1.100.5353 > 224.0.0.251.5353: [udp sum ok] 0*- [0q] 2/0/3 1040F3EB2BBC@Apple TV._raop._tcp.local. (Cache flush) [2m] SRV Apple-TV.local.:5000 0 0, Apple-TV.local. (Cache flush) [2m] A 172.16.4.2 ar: Apple-TV.local. (Cache flush) [2m] AAAA fe80::1240:f3ff:feeb:2bbc, Apple-TV.local. (Cache flush) [2m] NSEC, 1040F3EB2BBC@Apple TV._raop._tcp.local. (Cache flush) [2m] NSEC (164)
0x0000: 0100 5e00 00fb 20c9 d099 c024 0800 4500
0x0010: 00c0 01a0 0000 ff11 2b1d ac10 0164 e000
0x0020: 00fb 14e9 14e9 00ac 6fc9 0000 8400 0000
0x0030: 0002 0000 0003 1531 3034 3046 3345 4232
0x0040: 4242 4340 4170 706c 6520 5456 055f 7261
0x0050: 6f70 045f 7463 7005 6c6f 6361 6c00 0021
0x0060: 8001 0000 0078 0011 0000 0000 1388 0841
0x0070: 7070 6c65 2d54 56c0 2dc0 4400 0180 0100
0x0080: 0000 7800 04ac 1004 02c0 4400 1c80 0100
0x0090: 0000 7800 10fe 8000 0000 0000 0012 40f3
0x00a0: fffe eb2b bcc0 4400 2f80 0100 0000 7800
0x00b0: 08c0 4400 0440 0000 08c0 0c00 2f80 0100
0x00c0: 0000 7800 09c0 0c00 0500 0080 0040
15:21:45.610295 20:c9:d0:99:c0:24 > 33:33:00:00:00:fb, ethertype IPv6 (0x86dd), length 226: (hlim 255, next-header UDP (17) payload length: 172) fe80::22c9:d0ff:fe99:c024.5353 > ff02::fb.5353: [udp sum ok] 0*- [0q] 2/0/3 1040F3EB2BBC@Apple TV._raop._tcp.local. (Cache flush) [2m] SRV Apple-TV.local.:5000 0 0, Apple-TV.local. (Cache flush) [2m] A 172.16.4.2 ar: Apple-TV.local. (Cache flush) [2m] AAAA fe80::1240:f3ff:feeb:2bbc, Apple-TV.local. (Cache flush) [2m] NSEC, 1040F3EB2BBC@Apple TV._raop._tcp.local. (Cache flush) [2m] NSEC (164)
0x0000: 3333 0000 00fb 20c9 d099 c024 86dd 6000
0x0010: 0000 00ac 11ff fe80 0000 0000 0000 22c9
0x0020: d0ff fe99 c024 ff02 0000 0000 0000 0000
0x0030: 0000 0000 00fb 14e9 14e9 00ac 4d33 0000
0x0040: 8400 0000 0002 0000 0003 1531 3034 3046
0x0050: 3345 4232 4242 4340 4170 706c 6520 5456
0x0060: 055f 7261 6f70 045f 7463 7005 6c6f 6361
0x0070: 6c00 0021 8001 0000 0078 0011 0000 0000
0x0080: 1388 0841 7070 6c65 2d54 56c0 2dc0 4400
0x0090: 0180 0100 0000 7800 04ac 1004 02c0 4400
0x00a0: 1c80 0100 0000 7800 10fe 8000 0000 0000
0x00b0: 0012 40f3 fffe eb2b bcc0 4400 2f80 0100
0x00c0: 0000 7800 08c0 4400 0440 0000 08c0 0c00
0x00d0: 2f80 0100 0000 7800 09c0 0c00 0500 0080
0x00e0: 0040

вот вид нормального пакета

15:22:53.315692 20:c9:d0:99:c0:24 > 01:00:5e:00:00:fb, ethertype IPv4 (0x0800), length 232: (tos 0x0, ttl 255, id 418, offset 0, flags [none], proto UDP (17), length 218)
172.16.1.100.5353 > 224.0.0.251.5353: [udp sum ok] 0*- [0q] 1/0/5 20C9D099C024@airport-cloud._raop._tcp.local. (Cache flush) [2m] SRV airport-cloud.local.:5000 0 0 ar: airport-cloud.local. (Cache flush) [2m] A 172.16.1.100, airport-cloud.local. (Cache flush) [2m] AAAA fe80::22c9:d0ff:fe99:c024, airport-cloud.local. (Cache flush) [2m] A 169.254.191.140, airport-cloud.local. (Cache flush) [2m] NSEC, 20C9D099C024@airport-cloud._raop._tcp.local. (Cache flush) [2m] NSEC (190)
0x0000: 0100 5e00 00fb 20c9 d099 c024 0800 4500
0x0010: 00da 01a2 0000 ff11 2b01 ac10 0164 e000
0x0020: 00fb 14e9 14e9 00c6 b4bf 0000 8400 0000
0x0030: 0001 0000 0005 1a32 3043 3944 3039 3943
0x0040: 3032 3440 6169 7270 6f72 742d 636c 6f75
0x0050: 6405 5f72 616f 7004 5f74 6370 056c 6f63
0x0060: 616c 0000 2180 0100 0000 7800 1600 0000
0x0070: 0013 880d 6169 7270 6f72 742d 636c 6f75
0x0080: 64c0 32c0 4900 0180 0100 0000 7800 04ac
0x0090: 1001 64c0 4900 1c80 0100 0000 7800 10fe
0x00a0: 8000 0000 0000 0022 c9d0 fffe 99c0 24c0
0x00b0: 4900 0180 0100 0000 7800 04a9 febf 8cc0
0x00c0: 4900 2f80 0100 0000 7800 08c0 4900 0440
0x00d0: 0000 08c0 0c00 2f80 0100 0000 7800 09c0
0x00e0: 0c00 0500 0080 0040
15:22:53.319923 20:c9:d0:99:c0:24 > 33:33:00:00:00:fb, ethertype IPv6 (0x86dd), length 252: (hlim 255, next-header UDP (17) payload length: 198) fe80::22c9:d0ff:fe99:c024.5353 > ff02::fb.5353: [udp sum ok] 0*- [0q] 1/0/5 20C9D099C024@airport-cloud._raop._tcp.local. (Cache flush) [2m] SRV airport-cloud.local.:5000 0 0 ar: airport-cloud.local. (Cache flush) [2m] A 172.16.1.100, airport-cloud.local. (Cache flush) [2m] AAAA fe80::22c9:d0ff:fe99:c024, airport-cloud.local. (Cache flush) [2m] A 169.254.191.140, airport-cloud.local. (Cache flush) [2m] NSEC, 20C9D099C024@airport-cloud._raop._tcp.local. (Cache flush) [2m] NSEC (190)
0x0000: 3333 0000 00fb 20c9 d099 c024 86dd 6000
0x0010: 0000 00c6 11ff fe80 0000 0000 0000 22c9
0x0020: d0ff fe99 c024 ff02 0000 0000 0000 0000
0x0030: 0000 0000 00fb 14e9 14e9 00c6 9229 0000
0x0040: 8400 0000 0001 0000 0005 1a32 3043 3944
0x0050: 3039 3943 3032 3440 6169 7270 6f72 742d
0x0060: 636c 6f75 6405 5f72 616f 7004 5f74 6370
0x0070: 056c 6f63 616c 0000 2180 0100 0000 7800
0x0080: 1600 0000 0013 880d 6169 7270 6f72 742d
0x0090: 636c 6f75 64c0 32c0 4900 0180 0100 0000
0x00a0: 7800 04ac 1001 64c0 4900 1c80 0100 0000
0x00b0: 7800 10fe 8000 0000 0000 0022 c9d0 fffe
0x00c0: 99c0 24c0 4900 0180 0100 0000 7800 04a9
0x00d0: febf 8cc0 4900 2f80 0100 0000 7800 08c0
0x00e0: 4900 0440 0000 08c0 0c00 2f80 0100 0000
0x00f0: 7800 09c0 0c00 0500 0080 0040

решение - дропнул мультикасты самой точки - тестирую далее

закончив анализ атаки - выявил что перехватывают рукопожатие wifi - устройств - следствие доступ к брудкасту и мультикасту - смысл не понятен - такой аттаки - думать не когда было

пришлось переписать freeradius что бы динамически пересоздавал random файл - который подмешивает данные при авторизации. так как смена сертификата не помогает - через час - два начинается всё заново

только динамика помогла.