Witajcie, sprawa staje sie dla mnie coraz bardziej pilna, rzeklbym staje sie powoli sprawa krytyczna... [sorki dla Pana Marka - dostanie dwa razy tego maila bo przez przypadek dalem reply do niego a nie popatrzylem ze nie na grupe]
m>> prosze pomozcie, nie moge sobie poradzic. nie wiem co jest m>> przyczyna...ale do rzeczy... m>> Ostatnio neka mnie dosc mocno problem arpwatcha. m>> w konfigu arpwatch.conf wpisuje : ...i dodam ze siedze w linuxie nie od miesiaca czy 2 lat. o wiele dluzej. Jednak tutaj mam problem ktory mnie bardzo zasnatawia i denerwuje jednoczesnie bo z chwila wlaczenia proxyarpa zaczely sie dziac takie chece. M> polecam popatrzez z godzinke co pokazuje M> # tcpdump -ntvi eth0 arp M> bo moze komus w lanie sie nuuuuudzi nie, nikomu sie nie nudzi, to nie jeden komp tylko kazdy jeden jestem prawie pewien ze to cos z konfiguracja. moze grsecurity ? jest zpatchowane, troche rzeczy wlaczone... arp who-has 192.168.1.1 tell 192.168.1.64 arp reply 192.168.1.1 is-at 0:a:5e:4:f4:15 arp who-has 192.168.1.6 tell 192.168.1.210 arp who-has 192.168.0.43 tell 192.168.1.144 arp who-has 192.168.0.20 tell 192.168.1.144 arp reply 192.168.0.20 is-at 0:a:5e:4:f4:15 arp reply 192.168.0.43 is-at 0:a:5e:4:f4:15 czyli kazdy IP ma adres 0:a..:15 ? tu jest wlasnie cos nie tak. stad arpwatch podejrzewam cos znajduje. ale skad takie pakiety ? 24h/dobe. wlam nie wchodzi w gre kombinatorzy rowniez. > z tego wynika ze masz na necie losia, ktory sobie wpisal IP twojego > serwera. Wydaje mi sie ze to jest najbardziej prawdopodobna przyczyna. nie nie, gdyby sobie wpisal to ludzie wogole by neta nie mieli lub mieli go skokowo. a siec dziala normalnie. > po prostu w sieci sa dwa kompy, serwer i komp tego losia, ktore maja > ustawiony ten sam IP. z punktu widzenia arpwatcha to tak, jakby jeden > komputer w kolko zmienial swoj MAC, bez zmiany IP. > taki stan pozwala to na przechwytywanie konekcji. tak ze jesli > masz na serwerze jakies zasoby do ktorych sie trzeba zalogowac, to lepiej > uwazaj. wiem, ale to nie to. > na takie dziadostwo jedynym lekarstwem jest ustawienie statycznego ARP na > firewallu dostepu do internetu. ale jak ten los sie naumie zmieniac MAC, > wowczas jedynym lekarstwem bedzie albo switch ktory umozliwia ustawienie > statycznej tablicy adresow MAC, albo odlaczenie losia od sieci. jest statyczne od samego powstania kazdej z sieci. to nie dotyczy jednej sieci, lecz zdecydowanej wiekszosci. nie jest to mozliwe by w kazdej sieci kazdy komp sial takimi adresami. Ten argument odpada na 100%. Bardziej podejrzewam cos na firewallu nie tak, lub w grsecurity. Ale nie mam pomyslu. a problem jest dosc upierdliwy. Zauwazcie ze podobny efekt jest jesli wlaczy sie proxyarp - wtedy kazdy host w sieci ktory wysyla MACi jest logowany przez arpwatcha - bo proxy arp przechodzi. ale to inna bajka. rpfilter=1 -- Pozdrowienia, Marcin.
