URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81166
[ Назад ]

Исходное сообщение
"Отваливается интерфейс под FreeBSD"

Отправлено Lgo , 14-Июл-08 15:23 
Шлюз в интернет. FreeBSD 6.2-RELEASE.
2 интерфейса, внутренний rl0 и внешний nfe1.

Так вот регулярно отпадает часть интерфейса.
Из сети регулярно перестает пинговаться один из внутренних адресов - 195.246.105.1.
При этом другие алиасы (как 10.62.4.1) пигуются все время без проблем.

Часто ситуацию исправляет
ifconfig rl0 -alias 195.246.105.1
ifconfig rl0 alias 195.246.105.1 netmask 255.255.255.0


Инфо:
ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 10.62.4.1 netmask 0xffff0000 broadcast 10.62.255.255
        inet 10.62.5.1 netmask 0xffffff00 broadcast 10.62.5.255
        inet 10.62.6.1 netmask 0xffffff00 broadcast 10.62.6.255
        inet 10.62.7.1 netmask 0xffffff00 broadcast 10.62.7.255
        inet 195.246.105.1 netmask 0xffffff00 broadcast 195.246.105.255
        ether 00:e0:4c:35:0b:32
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Что это может быть? Сервер стоит давно, никогда ничего подобного не было. А потом внезапно началось.


Содержание

Сообщения в этом обсуждении
"Отваливается интерфейс под FreeBSD"
Отправлено universite , 15-Июл-08 04:02 

>Что это может быть? Сервер стоит давно, никогда ничего подобного не было.
>А потом внезапно началось.

Для начала, поменять сетевуху.
Потом в /etc/rc.conf добавить опцию:
router_flags="-q -T /var/log/routed.log"
и потом ловить ошибки в момент пропадания алиаса.


"Отваливается интерфейс под FreeBSD"
Отправлено Lgo , 15-Июл-08 15:25 
>Для начала, поменять сетевуху.

Менял. Была nfe0 теперь rl0, то же самое.

>Потом в /etc/rc.conf добавить опцию:
>router_flags="-q -T /var/log/routed.log"
>и потом ловить ошибки в момент пропадания алиаса.

Сделаю.

>А ничего что маска основного IP 10.62.4.1 - /16 и алиасов /24 перекрываются?

Уже с год так работает, и ничего. Траблов раньше не было.


"Отваливается интерфейс под FreeBSD"
Отправлено RSG , 15-Июл-08 11:08 
>[оверквотинг удален]
>rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
>       options=48<VLAN_MTU,POLLING>
>        inet 10.62.4.1 netmask 0xffff0000 broadcast 10.62.255.255
>       inet 10.62.5.1 netmask 0xffffff00 broadcast 10.62.5.255

А ничего что маска основного IP 10.62.4.1 - /16 и алиасов /24 перекрываются?

man ifconfig:

alias      If the address
             is on the same subnet as the first network address for this
             interface, a non-conflicting netmask must be given.  Usually
             0xffffffff is most appropriate.


"Отваливается интерфейс под FreeBSD"
Отправлено Lgo , 15-Июл-08 15:32 

>man ifconfig:
>
>alias      If the address
>            
> is on the same subnet as the first network address
>for this
>            
> interface, a non-conflicting netmask must be given.  Usually
>            
> 0xffffffff is most appropriate.

Переделал на вот так:

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 195.246.105.1 netmask 0xffffff00 broadcast 195.246.105.255
        inet 10.62.4.1 netmask 0xffff0000 broadcast 10.62.255.255
        inet 10.62.5.1 netmask 0xffffffff broadcast 10.62.5.1
        inet 10.62.6.1 netmask 0xffffffff broadcast 10.62.6.1
        inet 10.62.7.1 netmask 0xffffffff broadcast 10.62.7.1
        ether 00:e0:4c:35:0b:32
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active


"Отваливается интерфейс под FreeBSD"
Отправлено RSG , 15-Июл-08 15:42 
>[оверквотинг удален]
>broadcast 10.62.255.255
>        inet 10.62.5.1 netmask 0xffffffff
>broadcast 10.62.5.1
>        inet 10.62.6.1 netmask 0xffffffff
>broadcast 10.62.6.1
>        inet 10.62.7.1 netmask 0xffffffff
>broadcast 10.62.7.1
>        ether 00:e0:4c:35:0b:32
>        media: Ethernet autoselect (100baseTX <full-duplex>)
>        status: active

Лихо ты однако маски на алиасах правишь ;)
Может надо было у 10.62.4.1- /24 поставить (может какая историческая описка)? Тогда и /32 на других интерфейсах не надо.
Какие маски на хостах подключенных к этому интерфейсу?
Кстате на счет пропадения пинга: тисипидампом пробовал в момент пропаденя пакетов на интерфейсе смотреть?


"Отваливается интерфейс под FreeBSD"
Отправлено Lgo , 18-Июл-08 18:17 

>Лихо ты однако маски на алиасах правишь ;)
>Может надо было у 10.62.4.1- /24 поставить (может какая историческая описка)?

Тогда
>и /32 на других интерфейсах не надо.

Адресация с расчётом на маршрутизацию в будущем.
Есть несколько подсетей 10.62.4.0/24 10.62.5.0/24 10.62.7.0/24 и на всех одна
маска 255.255.0.0.
Но есть еще сети 10.62.8.0/24 и 10.62.2.0/24 адреса из которых я серверу отдать не могу.
Следовательно адрес 10.62.4.1 255.255.0.0 служит как для своей сети, так и для этих.

>Какие маски на хостах подключенных к этому интерфейсу?

255.255.0.0

>Кстате на счет пропадения пинга: тисипидампом пробовал в момент пропаденя пакетов на
>интерфейсе смотреть?

Смотрел, но ничего путного не увидел. С какими ключами tcpdump запускать нужно,
чтоб понятно было что происходит?

Сама соль проблемы исчезла. Отключили недавно подключённого пользователя, и все
вернулось на свои места. Это не был Leyer 2 флуд. Что то другое. Может вирус,
может так выглядит DoS атака, не знаю точно. Пока пользователь отключен,
посмотрим что у него не так.


"Отваливается интерфейс под FreeBSD"
Отправлено RSG , 21-Июл-08 10:03 
>Адресация с расчётом на маршрутизацию в будущем.
>Есть несколько подсетей 10.62.4.0/24 10.62.5.0/24 10.62.7.0/24 и на всех одна
>маска 255.255.0.0.
>Но есть еще сети 10.62.8.0/24 и 10.62.2.0/24 адреса из которых я серверу
>отдать не могу.
>Следовательно адрес 10.62.4.1 255.255.0.0 служит как для своей сети, так и для
>этих.

Не понятно зачем тогда  алиасы 5,6,7 висят, если они не используются. Или у некторых 5.1,6.1,7.1 как шлюзы настроены? Вобщем здесь рекомендую в порядок привести все префиксы используемых сетей.

>>Кстате на счет пропадения пинга: тисипидампом пробовал в момент пропаденя пакетов на
>>интерфейсе смотреть?

Да собственно icmp пакеты ловить на интерфейсе:
tcpdump -i rl0 -n icmp and host 195.246.105.1

>Сама соль проблемы исчезла. Отключили недавно подключённого пользователя, и все
>вернулось на свои места. Это не был Leyer 2 флуд. Что то
>другое. Может вирус,
>может так выглядит DoS атака, не знаю точно. Пока пользователь отключен,
>посмотрим что у него не так.

Есть идея, что проблема из-за того, что кто-то занял 195.246.105.1. Проверить это можно было бы, посмотрев ARP таблицы на любом из хостов из сети  195.246.105.0/24 и сравнить с MAC на интерфейсе.  Или запустив там же tcpdump -i rlX -n not ip, для простомотра запросов-ответов ARP. Если действительно кто-то занял ип. То реплаев будет два.

Был у меня случай, когда на одном из хостов в сети включился а-ля arp-proxy. На все арп-реквесты, которые этот хост принимал, он генерил арп-реплаи со своим маком.