witam!
na wstepie chcialbym zaznaczyc ze mam skonfigurowane blokowanie adresow MAC zgodnie ze wszystkimi Przykazaniami FAQ (no chyba ze cos przeoczylem ale po to wlasnie ten post
)
/etc/iptables/ip_masq - tylko te IP na ktorych ma byc maskarada;
/etc/ethers - ip i mac dla WSZYSTKICH hostow z ip_masq;
jest wywolanie arp -f w /etc/rc.d/rc.local;
/etc/dhcpd.conf - range dla nielegalnych podlaczen (adresow z range nie ma w /etc/iptables/ip_masq oczywiscie), wpisy statyczne dla adresow MAC sa poza range; opcja authoritative;
zapuszczone uslugi:
niceshaper
tcpdump (tylko pakiety SYN)
dnsmasq
statmat
thttpd (siec lokalna)
lacze: DSL512;
routery: edimax br-6104k, nnd;
apeki: linksys wap54, linksys wap11;
switche: lantech, planet, eusso;
huby: 3com superstack II ps 50;
wersja nnd: z lipca 2005;
firewall Czerwa;
nnd jest wpiete miedzy router edimaxa (bezpieczenstwo przede wszystkim) a reszte sieci (apeki, switche, huby). robi maskarade z klasy adresowej 10.0.0.xxx na 192.168.1.xxx;
router edimaxa ma WYLACZONE dhcp jakby kto pytal, uPnP rowniez;
bez zadnych przekierowan portow ani na edimaxie ani na nnd;
*** OPIS PROBLEMU: ***
dzisiaj sobota rano slysze jak dysk w serwerze dostaje napadu utrzymujacego sie kaszlu (mam ramu tyle ze swapa nigdy wczesniej nie dotykal), switche dostaja swira (diodki mrugaja jakby lecial miedzy userami jakis divx).
odpalam mojego kompa i okazuje sie ze siec lezy - wogole zero kontaktu z zarzadzalnymi switchami, apekami nie mowiac o serwie nnd, czy routerze obslugujacym modem xdsl. nie zdarzylo mi sie to na nnd jeszcze nigdy, jak linuxa kocham.
chwile pozniej moj komputer robi samoczynny reset (nie zdarza mu sie to, a na pewno nie 5 minut po starcie, eh te windy).
nauczony doswiadczeniem zapuszczam tym razem mandaryne, przy czym dalej nie moge sie przebic do ssh. ifconfig pokazuje ze nie uzyskano adresu z dhcp, a pingi naturalnie nie przechodza nigdzie. startuje Xy (w sumie sam nie wiem po co) ale sie efektownie wieszaja (zdarza im sie, rzadko odkurzane
i maja namieszane w konfigu dri).
wylaczam wszedzie zasilanie na 10 minut. potem zapinam (bez skojarzen) sie kablem bezposrednio do serwa nnd odlaczonego od reszty sieci. chodzi. sprawdzam logi z tcpdump i /var/log.
w logach tcpdump nic szczegolnego nie znalazlem, ale troche jeszcze poogladam moze na cos trafie;
w /var/log/errors znajduje (miedzy innymi):
Jul 15 09:00:59 shaper_nnd dhcpd: send_packet: No buffer space available
Jul 15 09:01:30 shaper_nnd last message repeated 315 times
Jul 15 09:02:31 shaper_nnd last message repeated 596 times
Jul 15 09:03:32 shaper_nnd last message repeated 668 times
Jul 15 09:04:44 shaper_nnd last message repeated 388 times
Jul 15 09:05:44 shaper_nnd last message repeated 404 times
Jul 15 09:06:55 shaper_nnd last message repeated 355 times
Jul 15 09:10:48 shaper_nnd last message repeated 140 times
Jul 15 09:11:50 shaper_nnd last message repeated 81 times
Jul 15 09:15:18 shaper_nnd last message repeated 4 times
Jul 15 09:16:27 shaper_nnd last message repeated 8 times
wchodze na net na zestawie windowze + edimax i googluje, znalezione mozliwe przyczyny:
- problemy sprzetowe;
- przepelnienie tablicy ARP (ponad 1k adresow) wywolane: ruchem z zawirusowanych hostow lub probami podstawienia adresu MAC;
przychylam sie do tego ostatniego. w miedzyczasie na wszelki wypadek ztargzipowalem dysk z nnd i uruchomilem siec ponownie. ruszylo jak po masle. zdazylem zanim rozdzwonilby sie telefon. ktokowlwiek to byl, albo z ogromnym poswieceniem zlamal 64bit WEP na ktoryms linksysie
albo probuje podlaczyc kabelkiem sasiada. w kazdym razie probowal wykorzystac moment kiedy nikt nie siedzi na necie a admin spi i udalo mu sie... polozyc mi siec.
wygoglowane rozwiazanie:
- http://nast.berlios.de/
nawet fajny program, pisza ze trzeba zapuscic kiedy jestesmy pewni ze nikt nie spoofuje, a potem tylko sprawdzac output.
bede probowac to uruchomic, dam znac o wyniku.
jakies inne pomysly? szczegolnie widziane cos co pozwoliloby sie zabezpieczyc przed spoofingiem MAC.
pozdrawiam!
mam za malo many?