Freesco, NND, CDN, EOS • Wyświetl temat

Posty bez odpowiedzi | Aktywne tematy

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

*sypie sie tablica ARP

Moderatorzy: tasiorek, JakubC, Mis'

Strona 1 z 1

[ Posty: 14 ]

Podgląd wydruku

Poprzedni temat | Następny temat

Autor

Wiadomość

janusz

Tytuł: *sypie sie tablica ARP

: niedziela, 16 lipca 2006, 17:41

Rejestracja: niedziela, 16 lipca 2006, 17:27
Posty: 14

Witam. Od może ponad tygodnia w mojej sieci zaczęły się dziać różne dziwne rzeczy. Na kompie klienckim jeśli problem go dotknie sprawa wygląda tak: żadna z usług internetowych nie działa z wyjątkiem gg... tzn nie można prowadzić rozmów ale na liście kontaktów pokazuje użytkowników online. Tj jedyna zauważona działająca sprawa, być może coś jeszcze śmiga ale nie wszystko jestem w stanie sprawdzić. Co do servera to oczywiście NND i zauważone przezemnie nieprawidłowości to: w niceshaperze pokazane są kompy które na 100% nie mogą być włączone oraz po wydaniu komendy ARP tablica wygląda tak:

: [/] [] ()

Address                  HWtype  HWaddress           Flags Mask            Iface
kustra                   ether   00:07:E9:AD:42:46   C                     eth1
tarka2                   ether   00:0C:6E:1C:AD:EF   C                     eth1
swiat                    ether   00:0E:2E:20:2C:B3   C                     eth1
sasi                     ether   00:E0:4C:03:8E:8D   C                     eth1
gerard                   ether   00:50:8D:51:7E:D6   C                     eth1
rylek                    ether   00:A1:B0:A2:B9:82   C                     eth1
tarka                    ether   B2:CC:BA:E9:CB:AE   C                     eth1
jagiello                 ether   B2:CC:BA:E9:CB:AE   C                     eth1
s_polak_laptop           ether   B2:CC:BA:E9:CB:AE   C                     eth1
michalek                 ether   B2:CC:BA:E9:CB:AE   C                     eth1
misiak                   ether   B2:CC:BA:E9:CB:AE   C                     eth1
olczyk                   ether   B2:CC:BA:E9:CB:AE   C                     eth1
kozik                    ether   00:13:D4:C1:05:A7   C                     eth1
jash                     ether   00:E0:4C:E5:BE:8A   C                     eth1
pacek                    ether   B2:CC:BA:E9:CB:AE   C                     eth1
chrzanek                 ether   B2:CC:BA:E9:CB:AE   C                     eth1
pajt                     ether   B2:CC:BA:E9:CB:AE   C                     eth1
rozek                    ether   B2:CC:BA:E9:CB:AE   C                     eth1
kaleta                   ether   B2:CC:BA:E9:CB:AE   C                     eth1
cyprys                   ether   B2:CC:BA:E9:CB:AE   C                     eth1
mincer                   ether   B2:CC:BA:E9:CB:AE   C                     eth1
janda                    ether   B2:CC:BA:E9:CB:AE   C                     eth1
hubert                   ether   B2:CC:BA:E9:CB:AE   C                     eth1

GeSHi © Codebox Plus

Przyznam się że w zime miałem identyczny problem, jednak fartem go zlikwidowałem. Wtedy przy tak dziwnym zachowaniu po prostu wyjąłem kość RAMu ktora okazyjnie kupiłem i nie byłem co do niej pewny. Pomogło - aż do teraz. Owej kości już tam nie ma więc nie wiem co może powodować takie dziwadła. Poczytałem trochę na forum o dziwnych zachowaniach ARP jednak nie znalazłem nic co by oddawało w 100% mój problem. Z góry dziękuje za podpowiedzi. Pozdr.

Na górę

MAC!EK

Tytuł:

: niedziela, 16 lipca 2006, 19:04

MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa

może ktoś sieje jakimś wirusem? spróbuj zrestartować lan i wtedy sprawdzić czy wszystko zacznie działać

: [/] [] ()

/etc/rc.d/lan restart

GeSHi © Codebox Plus

Jesli zacznie i znowu przestanie to spróbuj odpinać paru ludzi od switcha i znowu restartować lan, jak się coś znowu spaprze to wiesz że to nie ci, i odłączasz innych restartujesz i czekasz, może w ten sposób namierzysz kto coś rozsyła.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

Na górę

adi

Tytuł:

: niedziela, 16 lipca 2006, 19:17

Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec

zainstaluj arpwatch - w logu messages będziesz widział co sie dzieje.

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Na górę

janusz

Tytuł:

: niedziela, 16 lipca 2006, 20:10

Rejestracja: niedziela, 16 lipca 2006, 17:27
Posty: 14

Hmm zarzuciłem wczoraj tego arpwatch'a cała sprawa fazuje się w dalszym ciągu. Dziś znowu takie jaja nikt prawie nie ma netu a log pokazuje:

: [/] [] ()

b2:cc:ba:e9:cb:ae       192.168.0.21    1153099548      rozek
0:a1:b0:a1:77:1f        192.168.0.21    1153086934      rozek
c1:f5:b9:e2:c3:f7       192.168.0.1     1153099558      sunburn
0:a1:b0:a2:b9:96        192.168.0.1     1153099558      sunburn
b2:cc:ba:e9:cb:ae       192.168.0.26    1153099558      gerard
0:50:8d:51:7e:d6        192.168.0.26    1153099547      gerard
b2:cc:ba:e9:cb:ae       192.168.0.2     1153099548      plaskota
0:e0:4c:e0:5:66 192.168.0.2     1153092019      plaskota
0:7:e9:ad:42:46 192.168.0.31    1153086842      kustra
0:80:5f:6c:5e:22        192.168.0.29    1153086675      cieniek
0:a1:b0:a1:58:3 192.168.0.20    1153086582      misiak
b2:cc:ba:e9:cb:ae       192.168.0.7     1153099558      jagiello
0:50:8d:73:4d:29        192.168.0.7     1153093207      jagiello
b2:cc:ba:e9:cb:ae       192.168.0.6     1153099558      sasi
0:e0:4c:3:8e:8d 192.168.0.6     1153092937      sasi
b2:cc:ba:e9:cb:ae       192.168.0.27    1153099418      chrzanek
0:40:f4:24:b5:11        192.168.0.27    1153090837      chrzanek
b2:cc:ba:e9:cb:ae       192.168.0.8     1153099558      michalek
0:b:6a:4f:c2:71 192.168.0.8     1153094896      michalek
b2:cc:ba:e9:cb:ae       192.168.0.24    1153099548      rylek
b2:cc:ba:e9:cb:ae       192.168.0.35    1153099348      cyprys
0:13:d4:c1:5:a7 192.168.0.3     1153099510      kozik
0:e0:4c:11:2a:7a        192.168.0.18    1153090813      karpeta
0:3:d:37:d9:38  192.168.0.23    1153098571      kaleta

GeSHi © Codebox Plus

nie mam pojęcia jak to interpretować. Jedyne co podejrzewam to to żeby arpwatch pokazywał niechciane MACi to wrzucenie poprawnych to /etc/ethers i arp -f . Pomocyyyy

Btw restart interfejsu od strony sieci nie pomaga.

Na górę

Koriolan

Tytuł:

: wtorek, 18 lipca 2006, 17:16

MODERATOR

Rejestracja: poniedziałek, 29 lipca 2002, 15:45
Posty: 1385
Lokalizacja: Polska

IMHO ktoś apoofuje Twoje switche.
Szukaj : arpspoofing
Może to jeszcze być uszkodzenie któregoś urządzenia sieciowego - karty, switcha itp...
Jeśli to uszkodzenie to trzaby go znaleźć ..
jeśli to spoofing ..... to też :-(

Ustawienie STATIC ARP ( arp -f .../etc/ethers) pomoże na to, że ludkowie będą mieli internet.
Jeśli chcesz natomiast się zabezpieczyć to najlepiej przełączniki zarządzalne.

_________________
Określenie przy nicku to tylko dla 'jaj'; tytuł za ilość postów.
Ja ciągle się uważam za niewinne dziecię w sprawach linuksa; żaden guru czy inny moderator :-)

Na górę

janusz

Tytuł:

: wtorek, 18 lipca 2006, 18:04

Rejestracja: niedziela, 16 lipca 2006, 17:27
Posty: 14

Wydaje mi się że problem rozwiązany, z obserwacji widze że to jeden użytkownik szkodnik, zawsze sprawiał problemy i jest zdolny do takich rzeczy, jest spokój jak go nie ma online, nie mam jeszcze 100% pewności ale obserwuje, czym można robić takie wałki? A może on nieświadomie ma na kompie jakiegoś shita?

Na górę

zciech

Tytuł:

: wtorek, 18 lipca 2006, 19:00

PGF

Rejestracja: niedziela, 14 lipca 2002, 14:33
Posty: 3234
Lokalizacja: Radziejów

B2:CC:BA:E9:CB:AE to jest twoj winowajca, zmienia IP i sprawdza czy wejdzie.

rozwiazanie to statyczny arp (ethers) i firewall z powiazanym IP i adresem MAC.

No i szczypce z bocznym cieciem by go odciac od swicza.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Na górę

janusz

Tytuł:

: poniedziałek, 14 sierpnia 2006, 19:52

Rejestracja: niedziela, 16 lipca 2006, 17:27
Posty: 14

Witam ponownie, zrobiłem jak radziliście, wiązanie arp'em oraz maskarade po mac'ach w iptables i niestety wczoraj znowu wystąpiły takie problemy. Nie mam pojęcia jak znaleźć winowajce i jak to działa. Komputer po restarcie wraca do normy, na klika minut, godzin. Nie występuje żadna regularność. U mnie tak to się objawia że net pada i pomaga restart kompa (ipconfig /renew o dziwo nie pomaga, nie znajduje servera dhcp) a co do klientów mówią że net jest ale bardzo muli. Pomóżcie bo niedługo nie będzie czym zapłacić DSL'a

jestem bezsilny

Na górę

puchatek007

Tytuł:

: poniedziałek, 14 sierpnia 2006, 21:56

Użytkownik

Rejestracja: czwartek, 3 października 2002, 16:23
Posty: 271
Lokalizacja: Częstochowa

Odłącz od sieci tego delikwenta i popatrz co będzie się działo.
Najlepiej odłącz wszystkich, zostaw tylko siebie. Jak będzie działało ok, to stopniowo podłączaj jakąś partie userów (oczywiście jak masz taką możliwość).
Może iptraf pokaże jakiś wzmożony ruch któregoś ipka??

Na górę

adi

Tytuł:

: poniedziałek, 14 sierpnia 2006, 22:09

Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec

Jeśli masz odpalony arpwatch to poszukaj w logu /var/log/messages czegoś takiego jak

: [/] [] ()

flip

GeSHi © Codebox Plus

lub

: [/] [] ()

flop

GeSHi © Codebox Plus

Jak MAC się powtarza przy każdym z flipów (flopów) to WYMIEŃ switch, do którego jest podpięta osoba z tym adresem MAC. To tak na początek.

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Na górę

janusz

Tytuł:

: wtorek, 15 sierpnia 2006, 11:24

Rejestracja: niedziela, 16 lipca 2006, 17:27
Posty: 14

Switch'e mam bardzo rozrzucone po po innych klatkach i ciężko mi jest coś odłączać. Planuje zmiane wszystkich switchy ale to wymaga czasu na przebudowe sieci. Tymczasem dzięki za porady, wczoraj nic sie nie działo, zobaczymy dzisiaj.

Ciężko mi też kogoś odłączyć od sieci bo spyta "dlaczego?" tymbardziej mogę go na dzień odłączyć i nic mi to nie powie bo nie dzieje się to tak często :/

Dopisane:

O właśnie zdarzyło się coś interesującego. Kolega chciał abym przekierował mu port. Wyłączyłem Niceshapera wg zalecen. Wlaczylem FW czerwa, przekierowalem port i zapomnialem wlaczyc NS. Po paru minutach strony przestaly mi sie wczytywac, albo bardzo sie wszystko muliło - to logiczne. Podobnie to wyglądało jak przedwczoraj ale wtedy nie wyłączałem niceshaper'a :/

Druga rzecz. Wczoraj load average było około 1.5 a dziś jest 0.30 (duron 1ghz, 512ram i 38 uzytkownikow, bez squid'a) arpwatch nic nie zapisuje narazie do logów.

Na górę

aphex

Tytuł:

: środa, 18 października 2006, 23:39

Użytkownik

Rejestracja: niedziela, 5 lutego 2006, 21:27
Posty: 251

adi mam wlasnie takie akcje z flip i flop

: [/] [] ()

            hostname: adsl.nnd (eth1)
          ip address: 192.168.0.1
    ethernet address: 00:14:78:73:31:D5
     ethernet vendor: <unknown>
old ethernet address: 00:01:02:20:E5:42
 old ethernet vendor: <unknown>
           timestamp: Wednesday, October 18, 2006 21:51:17 +0200
  previous timestamp: Wednesday, October 18, 2006 21:51:16 +0200
               delta: 1 second

: [/] [] ()

Oct 18 20:53:47 adsl arpwatch: eth1: flip flop 192.168.0.1 00:14:78:73:31:D5 (00:01:02:20:E5:42)
Oct 18 20:53:47 adsl arpwatch: eth1: hostname changed 192.168.0.1 00:14:78:73:31:D5  -> adsl

musi to zawsze znaczyc ze swich jest badniety ???

Na górę

adi

Tytuł:

: czwartek, 19 października 2006, 08:25

Użytkownik

Rejestracja: wtorek, 13 sierpnia 2002, 11:27
Posty: 823
Lokalizacja: Lubliniec

aphex pisze:

hostname: adsl.nnd (eth1)
ip address: 192.168.0.1
ethernet address: 00:14:78:73:31:D5

old ethernet address: 00:01:02:20:E5:42

Wygląda jakby ktoś ustawiał na swoim komputerze adres routera (192.168.0.1). Albo rzeczywiście któryś switch. Masz - MAC więc dojdziesz kto to.

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Na górę

marask

Tytuł:

: czwartek, 19 października 2006, 18:42

Użytkownik

Rejestracja: sobota, 26 listopada 2005, 07:47
Posty: 864

i patrz rada Zciecha - szczypce boczne

Na górę

Strona 1 z 1

[ Posty: 14 ]

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 9 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników