Шлюз в интернет. FreeBSD 6.2-RELEASE.
2 интерфейса, внутренний rl0 и внешний nfe1.Так вот регулярно отпадает часть интерфейса.
Из сети регулярно перестает пинговаться один из внутренних адресов - 195.246.105.1.
При этом другие алиасы (как 10.62.4.1) пигуются все время без проблем.Часто ситуацию исправляет
ifconfig rl0 -alias 195.246.105.1
ifconfig rl0 alias 195.246.105.1 netmask 255.255.255.0
Инфо:
ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=48<VLAN_MTU,POLLING>
inet 10.62.4.1 netmask 0xffff0000 broadcast 10.62.255.255
inet 10.62.5.1 netmask 0xffffff00 broadcast 10.62.5.255
inet 10.62.6.1 netmask 0xffffff00 broadcast 10.62.6.255
inet 10.62.7.1 netmask 0xffffff00 broadcast 10.62.7.255
inet 195.246.105.1 netmask 0xffffff00 broadcast 195.246.105.255
ether 00:e0:4c:35:0b:32
media: Ethernet autoselect (100baseTX <full-duplex>)
status: activeЧто это может быть? Сервер стоит давно, никогда ничего подобного не было. А потом внезапно началось.
>Что это может быть? Сервер стоит давно, никогда ничего подобного не было.
>А потом внезапно началось.Для начала, поменять сетевуху.
Потом в /etc/rc.conf добавить опцию:
router_flags="-q -T /var/log/routed.log"
и потом ловить ошибки в момент пропадания алиаса.
>Для начала, поменять сетевуху.Менял. Была nfe0 теперь rl0, то же самое.
>Потом в /etc/rc.conf добавить опцию:
>router_flags="-q -T /var/log/routed.log"
>и потом ловить ошибки в момент пропадания алиаса.Сделаю.
>А ничего что маска основного IP 10.62.4.1 - /16 и алиасов /24 перекрываются?
Уже с год так работает, и ничего. Траблов раньше не было.
>[оверквотинг удален]
>rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> options=48<VLAN_MTU,POLLING>
> inet 10.62.4.1 netmask 0xffff0000 broadcast 10.62.255.255
> inet 10.62.5.1 netmask 0xffffff00 broadcast 10.62.5.255А ничего что маска основного IP 10.62.4.1 - /16 и алиасов /24 перекрываются?
man ifconfig:
alias If the address
is on the same subnet as the first network address for this
interface, a non-conflicting netmask must be given. Usually
0xffffffff is most appropriate.
>man ifconfig:
>
>alias If the address
>
> is on the same subnet as the first network address
>for this
>
> interface, a non-conflicting netmask must be given. Usually
>
> 0xffffffff is most appropriate.Переделал на вот так:
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=48<VLAN_MTU,POLLING>
inet 195.246.105.1 netmask 0xffffff00 broadcast 195.246.105.255
inet 10.62.4.1 netmask 0xffff0000 broadcast 10.62.255.255
inet 10.62.5.1 netmask 0xffffffff broadcast 10.62.5.1
inet 10.62.6.1 netmask 0xffffffff broadcast 10.62.6.1
inet 10.62.7.1 netmask 0xffffffff broadcast 10.62.7.1
ether 00:e0:4c:35:0b:32
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
>[оверквотинг удален]
>broadcast 10.62.255.255
> inet 10.62.5.1 netmask 0xffffffff
>broadcast 10.62.5.1
> inet 10.62.6.1 netmask 0xffffffff
>broadcast 10.62.6.1
> inet 10.62.7.1 netmask 0xffffffff
>broadcast 10.62.7.1
> ether 00:e0:4c:35:0b:32
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: activeЛихо ты однако маски на алиасах правишь ;)
Может надо было у 10.62.4.1- /24 поставить (может какая историческая описка)? Тогда и /32 на других интерфейсах не надо.
Какие маски на хостах подключенных к этому интерфейсу?
Кстате на счет пропадения пинга: тисипидампом пробовал в момент пропаденя пакетов на интерфейсе смотреть?
>Лихо ты однако маски на алиасах правишь ;)
>Может надо было у 10.62.4.1- /24 поставить (может какая историческая описка)?Тогда
>и /32 на других интерфейсах не надо.Адресация с расчётом на маршрутизацию в будущем.
Есть несколько подсетей 10.62.4.0/24 10.62.5.0/24 10.62.7.0/24 и на всех одна
маска 255.255.0.0.
Но есть еще сети 10.62.8.0/24 и 10.62.2.0/24 адреса из которых я серверу отдать не могу.
Следовательно адрес 10.62.4.1 255.255.0.0 служит как для своей сети, так и для этих.>Какие маски на хостах подключенных к этому интерфейсу?
255.255.0.0
>Кстате на счет пропадения пинга: тисипидампом пробовал в момент пропаденя пакетов на
>интерфейсе смотреть?Смотрел, но ничего путного не увидел. С какими ключами tcpdump запускать нужно,
чтоб понятно было что происходит?Сама соль проблемы исчезла. Отключили недавно подключённого пользователя, и все
вернулось на свои места. Это не был Leyer 2 флуд. Что то другое. Может вирус,
может так выглядит DoS атака, не знаю точно. Пока пользователь отключен,
посмотрим что у него не так.
>Адресация с расчётом на маршрутизацию в будущем.
>Есть несколько подсетей 10.62.4.0/24 10.62.5.0/24 10.62.7.0/24 и на всех одна
>маска 255.255.0.0.
>Но есть еще сети 10.62.8.0/24 и 10.62.2.0/24 адреса из которых я серверу
>отдать не могу.
>Следовательно адрес 10.62.4.1 255.255.0.0 служит как для своей сети, так и для
>этих.Не понятно зачем тогда алиасы 5,6,7 висят, если они не используются. Или у некторых 5.1,6.1,7.1 как шлюзы настроены? Вобщем здесь рекомендую в порядок привести все префиксы используемых сетей.
>>Кстате на счет пропадения пинга: тисипидампом пробовал в момент пропаденя пакетов на
>>интерфейсе смотреть?Да собственно icmp пакеты ловить на интерфейсе:
tcpdump -i rl0 -n icmp and host 195.246.105.1>Сама соль проблемы исчезла. Отключили недавно подключённого пользователя, и все
>вернулось на свои места. Это не был Leyer 2 флуд. Что то
>другое. Может вирус,
>может так выглядит DoS атака, не знаю точно. Пока пользователь отключен,
>посмотрим что у него не так.Есть идея, что проблема из-за того, что кто-то занял 195.246.105.1. Проверить это можно было бы, посмотрев ARP таблицы на любом из хостов из сети 195.246.105.0/24 и сравнить с MAC на интерфейсе. Или запустив там же tcpdump -i rlX -n not ip, для простомотра запросов-ответов ARP. Если действительно кто-то занял ип. То реплаев будет два.
Был у меня случай, когда на одном из хостов в сети включился а-ля arp-proxy. На все арп-реквесты, которые этот хост принимал, он генерил арп-реплаи со своим маком.