URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3566
[ Назад ]

Исходное сообщение
"Проблемы из за сканирования"
Отправлено ovas , 02-Дек-07 20:37

Главная проблема конечно в малом опыте , всего пол года.
Есть сервер .Linux + squid .eth0 локальная сеть , eth1 смотрит в инет .На eth0 пять алиасов eth0:1 eth0:1 ..... Когда кто то в сети начинает сканировать ЛанСкопом или НетЛуком интернет замирает .Сеть 100 мегабитная и там проблем нет .

Содержание

Проблемы из за сканирования,tux2002, 11:04 , 03-Дек-07
- Проблемы из за сканирования,ovas, 14:20 , 03-Дек-07
  - Проблемы из за сканирования,tux2002, 13:59 , 04-Дек-07
    - Проблемы из за сканирования,ovas, 17:56 , 04-Дек-07
      - Проблемы из за сканирования,tux2002, 09:46 , 05-Дек-07

Сообщения в этом обсуждении

"Проблемы из за сканирования"
Отправлено tux2002 , 03-Дек-07 11:04

>Главная проблема конечно в малом опыте , всего пол года.
>Есть сервер .Linux + squid .eth0 локальная сеть , eth1 смотрит в
>инет .На eth0 пять алиасов eth0:1 eth0:1 ..... Когда
>кто то в сети начинает сканировать ЛанСкопом или НетЛуком интернет
>замирает .Сеть 100 мегабитная и там проблем нет .
Нетлук вообще выкиньте. arp флудилка.

"Проблемы из за сканирования"
Отправлено ovas , 03-Дек-07 14:20

>Нетлук вообще выкиньте. arp флудилка.
Я не могу выкинуть ни НЕТЛУК ни ЛАНСКОП .это клиенты запускают .Их около 200 человек .
Просто проматриваю нетстатом .Вижу адреса которых у меня еще нет .Давлю в айпитабл источник запросов .Тогда помогает .Адресное прстранство примерно такое : подняты eth0 eth0:1 eth0:2 eth0:3 eth0:4 адреса ххх.ххх.0.1 ......ххх.ххх.0.15 ххх.ххх.2.1 ......ххх.ххх.2.25 ххх.ххх.2.1 ......ххх.ххх.2.41 .............. Адреса которых у меня нет , я имел ввиду те которые не попадают в это диапазон

"Проблемы из за сканирования"
Отправлено tux2002 , 04-Дек-07 13:59

>Я не могу выкинуть ни НЕТЛУК ни ЛАНСКОП .это клиенты запускают .Их
>около 200 человек.
Я понимаю, что клиенты. В таких сетях всегда бардак. Пока клиенты пользуются всякой фигнёй с закладками у Вас будут проблеммы, надо им объяснять. Запустите tcpdump на внутреннем интерфейсе - понаблюдаете интересную картину.
Что Вы смотрите netstat'ом? Может клиенты сами меняют себе IP? - тогда сделайте в iptables связки IP+MAC в правилах.

"Проблемы из за сканирования"
Отправлено ovas , 04-Дек-07 17:56

>Я понимаю, что клиенты. В таких сетях всегда бардак. Пока клиенты пользуются
>всякой фигнёй с закладками у Вас будут проблеммы, надо им объяснять.
>Запустите tcpdump на внутреннем интерфейсе - понаблюдаете интересную картину.
>
>Что Вы смотрите netstat'ом? Может клиенты сами меняют себе IP? - тогда
>сделайте в iptables связки IP+MAC в правилах.
tcpdump я запускал и смотрел .arp запрсы потом пинг на те хосты которые отзвались а потом на них же на 137 445 21 80 порты идут пакеты .Кроме netstat-а смотрю в файле ip_conntrack открываются соединения udp на 137 порт на хосты которые точно не могли ответить на arp запрос .Я не могу понять причины замирания инета .Не то что бы тормозит , а замирает , а потом запрос влетает (скорость больше 1 мегабит).Смотрел еще в iptraf открывается около 1500 соединений .
По поводу связки IP+MAC в iptables откровенно говоря незнаю как это сделать .У меня контроль привязки IP+MAC через squid + mysql

"Проблемы из за сканирования"
Отправлено tux2002 , 05-Дек-07 09:46

С таким описанием трудно что-то советовать, понятно что сеть замусорена.
Объясните с какими целями Вы используете NETFILTER,
разрешён ли форвардинг пакетов на шлюзе? Как организован доступ в интернет?