Привет всем!!!
На работе появился продвинутый весельчак:
Назначает своей машине какой-нибудь mac-адрес, и присваивает IP-шник сервера (FreeBSD 5.3 - почта, прокси, www, ftp.. и т.п.) тот в свою очередь опускает в DOWN соответствующий интерфейс и.... идут звоки. Сервер находится вне диапазона DHCP. Мне точно известно что это человеческий фактор, даже примерно знаю кто это делает, но доказаь не могу :(Как сделать так чтобы полюбому интерфейс не падал???
Найду урода, оторву руки, и засуну туда откуда растут ноги :)Помогите пожалуйста!!!
Поставить управляемый свитч layer2 и включить порт секурити
Да это что получается? Проблема безопасности во FreeBSD! Если любой урод может назначить себе IP'шник сервера и тот нежно сожит на пол свой интерфейс, дабы благочестивый юзер использовал его IP'шник. Блин!!!Хотя!!! попытка сэмулировать ситуацию не привела к падению интерфейса! В каком случае интерфейс падает?
Вот последние сообщения перед падением интерфейса:
"
May 19 12:49:53 uran kernel: Limiting closed port RST response from 283 to 200 packets/sec
May 19 14:01:51 uran kernel: arp: 10.200.100.181 moved from 00:04:79:66:69:f6 to 00:11:2f:46:f5:89 on em0
May 19 14:11:41 uran kernel: arp: 10.200.100.181 moved from 00:11:2f:46:f5:89 to 00:04:79:66:69:f6 on em0
May 19 14:13:07 uran kernel: arp: 10.200.100.181 moved from 00:04:79:66:69:f6 to 00:11:2f:46:f5:89 on em0
May 19 14:13:52 uran kernel: arp: 10.200.100.181 moved from 00:11:2f:46:f5:89 to 00:04:79:66:69:f6 on em0
May 19 14:14:33 uran kernel: arp: 10.200.100.181 moved from 00:04:79:66:69:f6 to 00:11:2f:46:f5:89 on em0
May 19 14:23:48 uran kernel: arp: 00:11:2f:46:f5:89 is using my IP address 10.200.0.5!
May 19 14:23:53 uran last message repeated 4 times
May 19 14:23:54 uran kernel: arp: 10.200.100.181 moved from 00:11:2f:46:f5:89 to 00:04:79:66:69:f6 on em0
May 19 14:23:55 uran kernel: arp: 00:11:2f:46:f5:89 is using my IP address 10.200.0.5!
May 19 14:24:26 uran last message repeated 11 times
May 19 14:26:20 uran last message repeated 5 times
May 19 14:31:11 uran login: ROOT LOGIN (root) ON ttyv0
"Вот я пытался сэмулировать:
"
May 19 18:01:29 uran su: xxx to root on /dev/ttyp0
May 19 18:19:12 uran kernel: arp: 00:11:d8:59:b0:f6 is using my IP address 10.200.0.5!
May 19 18:19:18 uran kernel: arp: 00:11:d8:59:b0:f6 is using my IP address 10.200.0.5!
May 19 18:29:42 uran kernel: arplookup 0.0.0.0 failed: host is not on local network
May 19 18:30:27 uran kernel: arplookup 0.0.0.0 failed: host is not on local network
May 19 18:31:24 uran su: xxx to root on /dev/ttyp0
"В чем разница? Почему во втором случае интерфейс не упал? Как это можно сэмулировать?
ПОМОГИТЕ ПОЖАЛУЙСТА!!!
> Да это что получается? Проблема безопасности во FreeBSD! Если любой урод > может назначить себе IP'шник сервера и тот нежно сожит на пол свой >интерфейс, дабы благочестивый юзер использовал его IP'шник. Блин!!!Эт проблема безопасности ethernet а не freebsd
В чем разница? Почему во втором случае интерфейс не упал? Как это можно сэмулировать?
А у тебя сетку никто кольцом не замыкает случайно?
Особенно если на серваке 2 сетевые.
Я понял!!! На этом форуме живут специальные сонные люди. Они выходят в интернет по минуте, ч/з каждые пол-часа. И ещё они очень медленно думают. Даже не думают, рассуждают.
Да........... Мы такие............ ;)
Может у тебя винда не та.... А может и не винда вовсе у твоего соседа.... Если хотишь безопастноти и стабильности ставь управляеммые свитчи....
Так, люди, идите ругайтесь в др. ветке форума!!!!
У меня реальный вопрос, на который я жду ответ!
>В чем разница? Почему во втором случае интерфейс не упал? Как это
>можно сэмулировать?
Вы, просто юзерам руки отрежьте... В смыле запретите трогать настройки. Не на словах, я имею ввиду. Чего мучаться-то? А сэмулировать... Ну, батенька, какие же в пятницу вечером эмуляции? Да и в понедельник занятие на утро будет. За выходные придумаете что-нибудь. А может и кто-нить подскажет в понедельник со свежей головы. Только ветку поднимите и начнётся..
Так а смысл - даже если интерфейс не упадёт, у тебя всё равно проблемы начнутся с пакетами.
1) Если у тебя стоит домен, дать всем права обычного пользователя.
2) Выяснить по ip сетевое имя, убедиться в том кто это и отключить от сети
3) Управляемый свитч
>2) Выяснить по ip сетевое имя, убедиться в том кто это и
>отключить от сети
+ морду набить. А руки все-таки оторвать. Чтоб слачи не дал.
Это не юзеры делают!!!
Другие сисадмины, у них приколы такие!
Мой сервак воткнут в коммутатор, cisco 3750 может на нем как-то можно обезопасится? Дело еще в том что есть у них возможность проделывать те-же операции на др. свиче находящемся в моем VLAN'e к которому у меня доступа нет...Нехотят они со мной дружить. Они здесь полностью всё разделяли и властвовали до тех пор пока я не пришел. Теперь я у них как заноза в ж..е, выгнал их полностью из своего сегмента сети! Вот теперь и гадят по мелочи :)
>Это не юзеры делают!!!
>Другие сисадмины, у них приколы такие!
>Мой сервак воткнут в коммутатор, cisco 3750 может на нем как-то можно
>обезопасится? Дело еще в том что есть у них возможность проделывать
>те-же операции на др. свиче находящемся в моем VLAN'e к которому
>у меня доступа нет...
>
>Нехотят они со мной дружить. Они здесь полностью всё разделяли и властвовали
>до тех пор пока я не пришел. Теперь я у них
>как заноза в ж..е, выгнал их полностью из своего сегмента сети!
>Вот теперь и гадят по мелочи :)arpwatch не пробовал?
> arpwatch не пробовал?Попробую....
противном случае они тебе жить спокойно не дадут. Ведь железо не в твоей власти. Это скорей задачка из области социологии, психологии и административного управления, чем техническая. Хотя, если разведешь боссов на железо, которое будешь контролировать самолично(маршрутизаторы, свичи), то можешь и повоевать.
А на моей cisco3750 можно что-то сделать?
Если они могут подменить МАС адрес, думаю твоя киска здесь погоды не делает. У них есть возможность подключаться к твоему Ethernet-сегменту, чем и обуславливается подмена МАС-а. Ты же сам говорил, что VLAN-ы контролируются не тобой. Кстати, странная у вас топология. Не могу себе ее представить, может прояснишь?
>Если они могут подменить МАС адрес, думаю твоя киска здесь погоды не
>делает. У них есть возможность подключаться к твоему Ethernet-сегменту, чем и
>обуславливается подмена МАС-а. Ты же сам говорил, что VLAN-ы контролируются не
>тобой. Кстати, странная у вас топология. Не могу себе ее представить,
>может прояснишь?Да вот есть соседи (Оорганизация), их админы раньше отвечали за свою сетку и сетку нашей организации, сетки связаны, используются общие ресурсы. С недавних пор работаю я, а админы были выпинаны отсюда с треском в свою контору (на уровне начальства), я отвечаю за наш сегмент сети, но дело в том, что router VLAN'ов находится в их здании, принадлежит им, и они творят что хотят. Я один а их целый отдел! И кто там гадит я не знаю! :(
А вот когда узнаю... ей богу морду разобью за такое Ж:-(
>но дело в том, что router VLAN'ов находится в их здании,
Бр-р-р-р. Давай на пальцах:
1. У тебя свой сегмент Ethernet, который связан с "их" сегментами обычной витой парой.
2. У "них" Ethernet сегментирован посредством VLAN-ов.
3. У тебя еще киска стоитВопрос - а киска-то для чего? Зачем тебе маршрутизатор еще? Куда он "смотрит"?
Коммутатор :)
Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
>Коммутатор :)
>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
Сори! Не посмотрел модельный ряд. Коммутаторы Cisco - дорогое удовольствие, и с моей точки зрения экономически не целесообразные. Но это IMHO. Сейчас посмотрим что он может еще кроме VLAN-ов... Такс... Он у тебя случаем в стек с их коммутаторами по аплинкам не завязан?
>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
Ну если бразды правления этим свичем у тебя в руках, то читай документацию и выставляй правила для своих uplink-портов. Свич, судя по документации много чего умеет. Запрети прохождение через аплинк МАС-адреса своего сервака извне. Как это сделать на этой модели я тебе не скажу, но в документации должно быть.
Ок.
Попробую.
>>Catalyst 3750 48 10/100/1000T Enhanced - мой VLAN
>Ну если бразды правления этим свичем у тебя в руках, то читай
>документацию и выставляй правила для своих uplink-портов. Свич, судя по документации
>много чего умеет. Запрети прохождение через аплинк МАС-адреса своего сервака извне.
>Как это сделать на этой модели я тебе не скажу, но
>в документации должно быть.
В конференцию рядом дуй, там помогут.
>Коммутатор :)
>Catalyst 3750 48 10/100/1000T Enhanced - мой VLANКстати, он у тебя еще и Layer 3 поддерживает! Так что можешь разруливать еще и IP-протокол на этом железе. Срочно иди читай документацию, там все написано! Кста, проверь свои машины на троянов, а то "те" админы настроены сурьезно и без боя сдаваться не будут. Так что знание с тонкостях своего "железа" и архитектуры сети - твой шанс выжить в нелегкой борьбе. Ведь на карту поставлен твой профессионализм. :) Да, и еще, ты случаем не реальные айпишники и названия серверов в логах привел?
А ты где читаешь документацию по нему?
>А ты где читаешь документацию по нему?http://www.cisco.com/en/US/products/hw/switches/ps5023/prod_...
>>А ты где читаешь документацию по нему?
>
>http://www.cisco.com/en/US/products/hw/switches/ps5023/prod_...
Ок. Спасиба, я тамже... :)
Cпасибо огромное за помощь!!! ВСЕМ!!!Буду сидеть, курить, читать доку.... вечер длинный :)
Завтра грёбаная дача Ж) перекопка грядок.... чтоб она сгорела )))