The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"arpwatch: bogon"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"arpwatch: bogon"  +/
Сообщение от qwek (ok) on 28-Ноя-09, 04:56 
Интересная ситуация на роутере и только на одном. Второй в аналогичных условиях работает как надо.
Исходные:
сетевая первая 111,222,333,444 сетевая вторая 555,666,777,888

arpwatch слушает на первой сетевой и видит адрес 555,666,777,888 с мак адресом 111,222,333,444

Это как такое получаться может? Баг в arpwatch?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • arpwatch: bogon, qwek, 12:20 , 28-Ноя-09, (1)  
    • arpwatch: bogon, Dice, 13:33 , 28-Ноя-09, (2)  
      • arpwatch: bogon, qwek, 17:16 , 28-Ноя-09, (3)  
        • arpwatch: bogon, qwek, 18:39 , 28-Ноя-09, (4)  
          • arpwatch: bogon, qwek, 03:16 , 29-Ноя-09, (5)  
            • arpwatch: bogon, qwek, 14:52 , 29-Ноя-09, (6)  

Сообщения по теме [Сортировка по времени | RSS]


1. "arpwatch: bogon"  +/
Сообщение от qwek (ok) on 28-Ноя-09, 12:20 
Такая сложная задача оказалась, что народ щипая бороды плачет глядя в монитор? Неужели никто не может натолкнуть на направление поиска причины?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "arpwatch: bogon"  +/
Сообщение от Dice email on 28-Ноя-09, 13:33 
>Такая сложная задача оказалась, что народ щипая бороды плачет глядя в монитор?
>Неужели никто не может натолкнуть на направление поиска причины?

Нет, это из серии "у меня мотор стучит, куда смотреть". Ну я могу тебе подсказать - у тебя arpproxy включен на какойнить машинке, и что? Так прям помогло?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "arpwatch: bogon"  +/
Сообщение от qwek (ok) on 28-Ноя-09, 17:16 
>>Такая сложная задача оказалась, что народ щипая бороды плачет глядя в монитор?
>>Неужели никто не может натолкнуть на направление поиска причины?
>
>Нет, это из серии "у меня мотор стучит, куда смотреть". Ну я
>могу тебе подсказать - у тебя arpproxy включен на какойнить машинке,
>и что? Так прям помогло?

Спасибо за ответ. Вот вывод значений:
# sysctl -a | grep arp

net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_accept = 0
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.arp_announce = 0
net.ipv4.conf.default.arp_ignore = 0
net.ipv4.conf.default.arp_accept = 0

net.ipv4.conf.lo.proxy_arp = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.arp_announce = 0
net.ipv4.conf.lo.arp_ignore = 0
net.ipv4.conf.lo.arp_accept = 0

net.ipv4.conf.eth0.proxy_arp = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.arp_announce = 0
net.ipv4.conf.eth0.arp_ignore = 0
net.ipv4.conf.eth0.arp_accept = 0

net.ipv4.conf.eth1.proxy_arp = 0
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.arp_announce = 0
net.ipv4.conf.eth1.arp_ignore = 0
net.ipv4.conf.eth1.arp_accept = 0

Я не большой спец в таких делах, иначе наверное давно бы сам всё решил. В настройках есть ответ на мой вопрос?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "arpwatch: bogon"  +/
Сообщение от qwek (ok) on 28-Ноя-09, 18:39 
Версия arpwatch на обоих роутерах одинаковая Version 2.1a15. Настройки одинаковые. Может я не туда смотрю и стоит обратить внимание на машины находящиеся за роутером в сети? Может там следует искать ответ?

Для информации скажу, что я выключал кабель из сетевой 555.666.777.888 при этом её мак-адрес присутствовал в меседжах от arwatch с ip 111,222,333,444. Напомню, что фкзцфеср следит за мак адресами за сетевой 111.222.333.444
При ifdown eth2 записи пропадали. Куда думать дальше? Коллеги, подскажите, мозги уже не работают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "arpwatch: bogon"  +/
Сообщение от qwek (ok) on 29-Ноя-09, 03:16 
tcpdump -i eth1 -p arp

02:08:08.868969 arp who-has 555.666.777.888 (00:11:11:11:11:11 (oui Unknown)) tell aaa.aaa.aaa.aaa
02:08:08.868981 arp reply 555.666.777.888 is-at 00:11:11:11:11:11 (oui Unknown)

ifdown eth0

02:10:15.680464 arp who-has 555.666.777.888 tell aaa.aaa.aaa.aaa
02:10:16.344305 arp who-has 555.666.777.888 tell aaa.aaa.aaa.aaa

У клиента aaa.aaa.aaa.aaa стоит шлюз по умолчанию не той подсети. Поэтому и арпвотч так ругался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "arpwatch: bogon"  +/
Сообщение от qwek (ok) on 29-Ноя-09, 14:52 
Решение по запрету установки в качестве шлюза любого локального адреса маршрутизатора кроме того в которой находится клиент.

Где читал:
http://www.protocols.ru/modules.php?name=News&file=article&s...

решение:
echo "2" > /proc/sys/net/ipv4/conf/all/arp_ignore

Спасибо всем кто помог.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру