mrsaygo Posted December 28, 2011 Posted December 28, 2011 (edited) ARPING 192.168.1.254 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=0 time=195.026 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=1 time=1.747 msec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=2 time=316.858 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=3 time=377.893 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=4 time=1.155 msec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=5 time=1.238 msec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=6 time=524.044 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=7 time=207.708 msec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=8 time=183.105 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=9 time=356.913 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=10 time=722.885 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=11 time=794.888 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=12 time=987.053 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=13 time=1.042 msec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=14 time=226.974 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=15 time=283.957 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=16 time=160.933 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=17 time=287.056 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=18 time=384.808 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=19 time=440.836 usec 60 bytes from 74:ea:3a:e0:c6:c6 (192.168.1.254): index=20 time=226.021 usec 60 bytes from 00:23:cd:1b:3f:81 (192.168.1.254): index=21 time=277.042 usec hostname: <unknown> ip address: 192.168.1.254 interface: eth2 ethernet address: 00:23:cd:1b:3f:81 ethernet vendor: TP-LINK TECHNOLOGIES CO., LTD. old ethernet address: 74:ea:3a:e0:c6:c6 old ethernet vendor: <unknown> timestamp: Wednesday, December 28, 2011 20:41:39 +0200 previous timestamp: Wednesday, December 28, 2011 20:41:39 +0200 delta: 0 seconds На что похоже? Edited December 28, 2011 by mrsaygo Вставить ник Quote
Deac Posted December 28, 2011 Posted December 28, 2011 На что похоже? На дублирование адреса в LAN. ACL то походу нет, да и управляемых свитчей тоже. Вставить ник Quote
mrsaygo Posted December 28, 2011 Author Posted December 28, 2011 (edited) На что похоже? На дублирование адреса в LAN. ACL то походу нет, да и управляемых свитчей тоже. Дублирование-не уверен .. есть подозрение, что железка тупит. Свичи почти все управляшки, по поводу ACL - о какого типа ACL Вы говорите? + ко всему arpwatch сошел с ума, очень много flip flop о смене мака интерфейса шлюза. Edited December 28, 2011 by mrsaygo Вставить ник Quote
Deac Posted December 28, 2011 Posted December 28, 2011 о какого типа ACL Вы говорите? О запрете всего, не относящегося к разрешённому IP. По хорошему - нужен PCF. ко всему arpwatch сошел с ума, очень много flip flop о смене мака интерфейса шлюза Дедовский способ - отключать порты, по очереди и смотреть на каком свистопляска прекратится, дальше - по цепочке. Вставить ник Quote
mrsaygo Posted December 28, 2011 Author Posted December 28, 2011 Тушил все порты кроме аплинка(eth0) на удаленном свиче (DGS-3120-24SC) - не помогло. Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth2 Dec 28 21:08:44 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 Dec 28 21:08:44 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 Dec 28 21:08:44 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:44 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:08:44 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 Dec 28 21:08:44 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 (00:1b:21:5b:98:91) - родной мак eth0 10,0,0,1 - родной IP тазика. Вставить ник Quote
Deac Posted December 28, 2011 Posted December 28, 2011 b0:48:7a:f1:c7:34 А это чей? Dec 28 21:08:43 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth2 А вот это вообще весело. Вставить ник Quote
mrsaygo Posted December 28, 2011 Author Posted December 28, 2011 b0:48:7a:f1:c7:34 А это чей? не выяснил.. но не шлюза, и не ранее известных юзеров. Вставить ник Quote
Deac Posted December 28, 2011 Posted December 28, 2011 (edited) не выяснил.. но не шлюза, и не ранее известных юзеров. Так как он умудряется приходить на eth2? Надо выяснять, по vendor-у - TP-Link. Вдогонку, а не мог ли кто-то замутить радио, напрямую с кем-то за пределами внутренней сети, но в пределах ближайшей внешней. Edited December 28, 2011 by Deac Вставить ник Quote
st_re Posted December 28, 2011 Posted December 28, 2011 Выключить 10.0.0.1 и поарпингать без него ? ответы будут ? прапингать ничьи IP? уж коли сеть управляемая, искать по таблицам коммутаторов источник b0:48:7a:f1:c7:34. Может троян сидеть компрометирующий IP шлюза. Вставить ник Quote
mrsaygo Posted December 28, 2011 Author Posted December 28, 2011 ARPING 10.0.0.1 (напоминаю 10.0.0.1- IP интерфейса прибит к тазику для НАТа) 60 bytes from 00:22:15:9a:f1:28 (10.0.0.1): index=0 time=333.786 usec 60 bytes from 1c:af:f7:ae:33:b1 (10.0.0.1): index=1 time=419.855 usec 64 bytes from 14:da:e9:f9:0b:fa (10.0.0.1): index=2 time=429.869 usec 60 bytes from b0:48:7a:f1:c7:34 (10.0.0.1): index=3 time=438.929 usec 60 bytes from f4:6d:04:8d:4a:e0 (10.0.0.1): index=4 time=447.989 usec 60 bytes from e0:cb:4e:ed:88:d4 (10.0.0.1): index=5 time=467.777 usec 60 bytes from 00:19:db:38:80:54 (10.0.0.1): index=6 time=475.883 usec 60 bytes from 00:26:5a:95:ec:2b (10.0.0.1): index=7 time=483.990 usec 60 bytes from e0:cb:4e:dc:e4:cb (10.0.0.1): index=8 time=491.858 usec Dec 28 21:35:27 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth2 Dec 28 21:35:28 gw arpwatch: flip flop 10.0.0.1 00:1b:21:5b:98:91 (b0:48:7a:f1:c7:34) eth0 Dec 28 21:25:02 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:25:02 gw arpwatch: flip flop 10.0.0.1 b0:48:7a:f1:c7:34 (00:1b:21:5b:98:91) eth0 Dec 28 21:25:03 gw arpwatch: flip flop хх.хх.хх.хх 00:1b:21:5b:98:91 (00:1b:21:5b:98:90) eth0 Dec 28 21:25:03 gw arpwatch: flip flop хх.хх.хх.хх 00:1b:21:5b:98:91 (00:1b:21:5b:98:90) eth2 xx.xx.xx.xx - вообще реальный IP, который висит на eth3 10.0.0.1 прыгает с eth2 на eth0.. Как то не похоже на подмену. Есть подозрение на глюки тазика (linux debian), но какие - не пойму :( Вставить ник Quote
st_re Posted December 28, 2011 Posted December 28, 2011 арппроксей не включали ? Это про внешний IP... Вставить ник Quote
mrsaygo Posted December 28, 2011 Author Posted December 28, 2011 арппроксей не включали ? Это про внешний IP... cat /proc/sys/net/ipv4/conf/eth0/proxy_arp 0 и так для всех Вставить ник Quote
mrsaygo Posted December 28, 2011 Author Posted December 28, 2011 не выяснил.. но не шлюза, и не ранее известных юзеров. Так как он умудряется приходить на eth2? Надо выяснять, по vendor-у - TP-Link. Вдогонку, а не мог ли кто-то замутить радио, напрямую с кем-то за пределами внутренней сети, но в пределах ближайшей внешней. Насчет радио.. не очень понял.. Мы всем юзерам ставим 741Д ТП-Линки... были уже у них нюансы, но как то прошло, и другого типа глюки, это новое. Вставить ник Quote
Deac Posted December 29, 2011 Posted December 29, 2011 Насчет радио.. не очень понял.. А чего тут понимать, кинули клиенты между собой канальчик, типа для резервирования и устроили петлю. Да ещё прописали на одной из точек 10.0.0.1, точке то всё равно, в режиме бриджа, а тебе геморрой. Вставить ник Quote
John_obn Posted December 29, 2011 Posted December 29, 2011 Свичи почти все управляшки Поиск по MAC адресу на свитчах результатов не дает? Вставить ник Quote
mrsaygo Posted January 10, 2012 Author Posted January 10, 2012 Насчет радио.. не очень понял.. А чего тут понимать, кинули клиенты между собой канальчик, типа для резервирования и устроили петлю. Да ещё прописали на одной из точек 10.0.0.1, точке то всё равно, в режиме бриджа, а тебе геморрой. Разобрались... кинули добрые люди по ошибке шнурок для IPTV не в тот влан. И действительно получилась петля, о которой даже мысли не было. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.