Винда выпихивает FreeBSD 7.2

[stvol 4]

Вобщем ситуация следующая.Кто-то вбил у себя ИП фтпхи.Можно конечно бегать по свичам и найти но это полумера завтра кто-то другой вобьет и танцевать придется заново.

Если не ошибаюсь то на Фре 5.2 такого небыло.Фря работала и продолжала выполнять свою задачу и ей было положить на виндовую машину.

Сечас имею следующее.

 

Запущена машина под виндой.Запускаю сервер с фрей (на ней крутится форум и небольшой фтп) он начинает работать,доступ есть.А виндовая машина жалуется на конфликт итд.

Минут через 5-15 перестает отвечать. На серваке пишет что такойто мак принял ип моего интерфейса.Отключение виндовой машины беду не решает.Помогает только ребут сервера.

Подскажите можно ли что сделать и если можно то что ?

 

PS: Управляемые свичи не предлагать.Не тот материальный уровень.

[y_brother 2]

Вобщем ситуация следующая.Кто-то вбил у себя ИП фтпхи.Можно конечно бегать по свичам и найти но это полумера завтра кто-то другой вобьет и танцевать придется заново.

Если не ошибаюсь то на Фре 5.2 такого небыло.Фря работала и продолжала выполнять свою задачу и ей было положить на виндовую машину.

Сечас имею следующее.

 

Запущена машина под виндой.Запускаю сервер с фрей (на ней крутится форум и небольшой фтп) он начинает работать,доступ есть.А виндовая машина жалуется на конфликт итд.

Минут через 5-15 перестает отвечать. На серваке пишет что такойто мак принял ип моего интерфейса.Отключение виндовой машины беду не решает.Помогает только ребут сервера.

Подскажите можно ли что сделать и если можно то что ?

 

PS: Управляемые свичи не предлагать.Не тот материальный уровень.

 

Тебе одного 3028 хватит в голове чтобы лочил левые маки. Лучше один раз нормально сделать - потом легче будет.

[NightNET 57]

 

Тебе одного 3028 хватит в голове чтобы лочил левые маки. Лучше один раз нормально сделать - потом легче будет.

 

Функция мак биндинга ?

[cr0wn 48]

Не мешало бы, освоить навык вланов.

А так, будет шемить всякая школота.

[natiss 16]

Дооо Один дес-3028 не спасет. Ну оградит он сервер от "плохого" мака. А хосты в сети за свичом к кому обращаться будут?

Правило ipfw add 1 drop ip from any to any mac any 10:20:30:40:50:60 при включенном sysctl net.link.ether.ipfw=1 по идее "спасет" ТС.

[aike 60]

Как по сети раздаются IP? если dhcp , он мог в логах засветить мак (если не сменил). Если статика только выдергивать.

Выдергивать, находить хулигана и давать в лоб до раскаяния )))

[natiss 16]

Не мешало бы, освоить навык вланов.

А так, будет шемить всякая школота.

Особенно на клиентской винде.

[aike 60]

Я ставил IP-Sentinel. Не от всего но помогает.

http://www.opennet.ru/prog/info/1507.shtml

 

PS

IP-Sentinel - prevent unauthorized usage of IP

Пояснение Программа для предотвращения факта самовольного присвоения IP-адресов пользователями в локальной сети. Программа периодически посылает ARP-запросы, и сохраняет MAC-адреса машин во внутренней базе, если обнаружен ответ с несовпадающим MAC-адресом, самовольное присвоение IP блокируется.

Відредаговано 2011-02-13 15:49:06 aike

[kvirtu 315]

попробуй IPguard - контролирует привязку IP&MAC - Если кто-то пытается сменить себе адрес, этой машине вообще адрес не присваивается . А у урода на машине выдается что такой адрес уже используется в сети.

[Kucher2 122]

Я ARP'om регулярно собирал статистику по связкам МАК+ИП. Это удобно не только в таких вот ситуациях, особенно если сеть на мыльницах, всегда можно отследить кто чего поменял.

Под виндой есть подобная arpwatch утилита, врода как - "ARP monitor", на ХР точно пашет.

Помогает если делается юзером подобное ненарочно или ламером каким. Ну а тем кто делает это специально - можно сразу по рукам и кабель отрезать, ибо винда должна при этом орать "АЛАРМ!".

 

Может Вы недостаточно хорошо их инструктируете, раз они адрес ФТП себе вбивают? Я например памятку каждому давал при подключении. Да, путали настройки, но чтоб левый IP вбить - небыло никогда такого.

 

Ещё вариант - сегментация сети, когда искать станет просто.

 

Ну и крайний, анархичный - всех на PPPoE и локальный торрент. Кстати, если тарифы высокоскоростные - частенько это неплохой вариант.

 

Ещё почитайте про ipguard под FreeBSD, может пригодится.

[natiss 16]

попробуй IPguard - контролирует привязку IP&MAC - Если кто-то пытается сменить себе адрес, этой машине вообще адрес не присваивается . А у урода на машине выдается что такой адрес уже используется в сети.

А если у урода nix?

[aike 60]

попробуй IPguard - контролирует привязку IP&MAC - Если кто-то пытается сменить себе адрес, этой машине вообще адрес не присваивается . А у урода на машине выдается что такой адрес уже используется в сети.

А если у урода nix?

Выдернуть и всего делов

[cr0wn 48]

Не мешало бы, освоить навык вланов.

А так, будет шемить всякая школота.

Особенно на клиентской винде.

А що клиентская винда?

Не умеет спуфить маки?

Или рулить вланами(при соот. сет.карточках)?

[stvol 4]

Дооо Один дес-3028 не спасет. Ну оградит он сервер от "плохого" мака. А хосты в сети за свичом к кому обращаться будут?

Правило ipfw add 1 drop ip from any to any mac any 10:20:30:40:50:60 при включенном sysctl net.link.ether.ipfw=1 по идее "спасет" ТС.

 

Подскажите что делает данная команда ?

Юзеры вбиты статично.Свет вылитает часто (общаги у нас) Возможно кто-то вбил в винде тогда когда свет в доме с сервачком потух.А когда запустился на винде просто показывает что конфликт.Но чел то уже в сети может подумал что кто-то ошибся и ненапрягается.Можно конечно магистраль откинуть запустить сервак и тогда он в сетку не попадет.Но хотелось бы решить это в следующем стиле.Сервачек подымается и не падает независимо от ошибок ипов итд.

 

Ведь он работает какое-то время возможно за это время он узнает что на этом ИП есть еще ПК и отваливается чтоб не мешать.А Более старые этой функции лишены и работают топорно напролом.Помоему давно мы с товарищем поспорили и я проспорил так как виинда не могла выпихнуть фрю 5.4 у нас тогда вроде была.(и еще могу заблуждатся может спор не об этом был давно это было)

Так вот интересно можно ли эту функцию если она существует как-то отрубить?

[natiss 16]

Ну смотрите, что значит узнает... это пакет, причем arp пакет

 

Вот смотрите берем винду 192.168.128.15 и пингуем с нее хост core (FreeBSD8)

 

core# arp -d 192.168.128.15 && tcpdump -vvv -n -i sk0 src host 192.168.128.15 and arp

(удаляем арп-запись и запускаем тисипидамп)

192.168.128.15 (192.168.128.15) deleted

tcpdump: listening on sk0, link-type EN10MB (Ethernet), capture size 96 bytes

18:23:49.017857 ARP, Ethernet (len 6), IPv4 (len 4), Reply 192.168.128.15 is-at 00:1b:9e:a7:18:2e, length 50

^C

1 packets captured

915 packets received by filter

0 packets dropped by kernel

 

пришел пакет, сообщающий айпи и мак, если айпи будет совпадать с айпи сервера будет коллизия, да?

Посему малюем:

 

core# ipfw add 1 drop mac any 00:1b:9e:a7:18:2e

00001 deny ip from any to any MAC any 00:1b:9e:a7:18:2e

те же действия

core# arp -d 192.168.128.15 && tcpdump -vvv -n -i sk0 src host 192.168.128.15 and arp

192.168.128.15 (192.168.128.15) deleted

tcpdump: listening on sk0, link-type EN10MB (Ethernet), capture size 96 bytes

^C

0 packets captured

5180 packets received by filter

0 packets dropped by kernel

 

пакетов нема! тисипидамп не видит

 

core# arp -an |grep 192.168.128.15

арп-таблица тоже чистая

 

значит ядро не будет паниковать, как у вас

 

core# ipfw delete 1

 

убираем запрет

 

core# arp -an | grep 192.168.128.15

? (192.168.128.15) at 00:1b:9e:a7:18:2e on sk0 [ethernet]

 

сразу возникла арп

 

То, о чем вам говорили мои коллеги работает примерно по такой же логике. Я вам показал саму физику процесса.

[natiss 16]

Не мешало бы, освоить навык вланов.

А так, будет шемить всякая школота.

Особенно на клиентской винде.

Или рулить вланами(при соот. сет.карточках)?

А они далеко не всегда соответствуют. Верно?

[NightNET 57]

попробуй IPguard - контролирует привязку IP&MAC - Если кто-то пытается сменить себе адрес, этой машине вообще адрес не присваивается . А у урода на машине выдается что такой адрес уже используется в сети.

 

Что-то типо такого можно реализовать на Микротике ?

 

 

 

пс Если серв на винде есть классная и "легкая" программа Ipchmon-

 

* Программа пассивно (не сканируя сети) мониторит подключения к этому компьютеру и фиксирует связку MAC-адрес и IP-адрес. Все это фиксируется в своей базе. На экране отображается два списка - слева MAC-адреса, справа IP-адреса, соответствующие выбранному MAC-адресу.

* MAC-адреса выделяются жирным, если по ним есть более одного IP-адреса.

* Красным цветом выделены MAC-адреса, у которых за последние 24 часа произошли изменения.

* Программа может работать с несколькими сетевыми интерфейсами (сетевыми картами).

* Сортируются MAC и IP-адреса - последние изменения сверху.

* Фильтрация по IP-адресу.

* Копирование в буфер обмена MAC или IP-адрес.

* Проверка новых MAC и IP-адресов производится автоматически раз в минуту.

[stvol 4]

Вобщем незнаю что это такое.Может чья-то машина подмает виртуалку и ломится на 192.168.0.1 на котором находится этот файловичек.Постоянно меняет маки всего определил 7 шт.

Хз вирус это или балуется кто.Подозрения на вирус.Так как толку с этого немного доступа в нет этот ип не имеет.

забил в фаервол.

ipfw add 100 drop mac any 00:1b:9e:a7:18:2e

ipfw add 101 drop mac any xx:xx:xx:xx

ipfw add 102 drop mac any xY:xx:xx:xx

и т.д.

Вобщем что-то не работает.Вылитает всеравно.От тех же маков.Будут еще какие-нибудь предложения?

Вбил на виндовой машине этот ип.Ни ругнулось ничего посидел на нем с час.Ни конфликтов ничего.

[zulu_Radist 856]

Блин да ну вынеси сервисы в отдельную подсеть. Либо вилан поднять либо физически в другую сетевую. Делов то.

[stvol 4]

Блин да ну вынеси сервисы в отдельную подсеть. Либо вилан поднять либо физически в другую сетевую. Делов то.

В отдельную подсеть уже позно там внутри столько всего прикручено к этому ипу.Убирать абонов с этой подсети это еще тот секс.

Что значит физически в другую сетевую? Ставлю другую настраиваю те же яйца...

[alex_o 1 194]

Покупаешь свич длинк DES-3200-10 (это всего где-то в районе 1000грн), втыкаешь его между сервером и сеткой, настраиваешь на нем функционал arp_spoofing_prevention. Да, юзеров это не спасет, но твой сервак больше дохнуть не будет. А если тебе понравится - поставь несколько таких свичиков и сегментируй сетку. Чем мельче сегменты - тем меньше юзеров будет страдать.