форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / Linux)
Изначальное сообщение		[ Отслеживать ]

"сетевая проблема. Как найти причину?"	+/–
Сообщение от konst (??) on 14-Янв-11, 00:54
Суть проблемы: клиенты стали терять связь с сервером... ОС: ScientificLinux(~RedHat) 5.2 Ядро: 2.6.18-92.1.6.el5PAE #1 SMP Wed Jun 25 13:05:49 EDT 2008 i686 i686 i386 GNU/Linux 2 встроенные сетевые (обе работают) драйвер сетевой: modinfo e1000e filename:       /lib/modules/2.6.18-92.1.6.el5PAE/kernel/drivers/net/e1000e/e1000e.ko version:        0.2.0 ------ диагностика: dmesg |grep eth device eth0 entered promiscuous mode audit(1294751319.808:726): dev=eth0 prom=256 old_prom=0 auid=4294967295 ses=4294967295 device eth0 left promiscuous mode audit(1294952611.774:836): dev=eth0 prom=0 old_prom=256 auid=4294967295 ses=4294967295 device eth0 entered promiscuous mode audit(1294952614.679:843): dev=eth0 prom=256 old_prom=0 auid=4294967295 ses=4294967295 device eth0 left promiscuous mode audit(1294952614.687:844): dev=eth0 prom=0 old_prom=256 auid=4294967295 ses=4294967295 .... arpwathch показывает, что карта eth0 (сама?) стала часто менять mac-адрес.           ip address: 192.168.0.225     ethernet address: 0:15:17:87:37:ec      ethernet vendor: Intel Corporate old ethernet address: 0:24:1d:13:43:99 old ethernet vendor: <unknown> ...           ip address: 192.168.0.225     ethernet address: 0:24:1d:13:43:99      ethernet vendor: <unknown> old ethernet address: 0:15:17:87:37:ec old ethernet vendor: Intel Corporate В arp.dat иных ip-адресов с этими mac-адресами не обнаружено ------- eth0 смотрит в локалку. eth1 - инет и с ней проблем нет. ------- Какие есть варианты причин?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "сетевая проблема. Как найти причину?"	+/–
Сообщение от konst (??) on 14-Янв-11, 02:04
> Суть проблемы: клиенты стали терять связь с сервером... ... > eth0 смотрит в локалку. eth1 - инет и с ней проблем нет. > ------- > Какие есть варианты причин? Причину вроде нашел. Дело в том, что через внешнюю eth1 виден ЧУЖОЙ локальный (192.168.0....) ip ЧУЖОЙ машины (где-то у провайдера). В итоге я после рестарта сети не могу поднять этот лакальный ip у себя внутри сети (типа он занят). tracerote говорит что я к этому ip иду через роутер провайдера. Тогда вопрос: кто виноват и что делать? Средствами iptables и net.ip_forward=0  победить проблему не удалось. Мой локальный ip не поднимается...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "сетевая проблема. Как найти причину?"	+/–
	Сообщение от shadow_alone (ok) on 14-Янв-11, 06:45
	> Причину вроде нашел. Дело в том, что через внешнюю eth1 виден ЧУЖОЙ > локальный (192.168.0....) ip ЧУЖОЙ машины (где-то у провайдера). В итоге я > после рестарта сети не могу поднять этот лакальный ip у себя > внутри сети (типа он занят). tracerote говорит что я к этому > ip иду через роутер провайдера. А что, на eth1, одна сеть с 192.168.0.0/24? > Тогда вопрос: кто виноват и что делать? Средствами iptables и net.ip_forward=0   > победить проблему не удалось. Мой локальный ip не поднимается... arp -s у себя для этого адреса.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "сетевая проблема. Как найти причину?"	+/–
	Сообщение от konst (??) on 14-Янв-11, 11:09
	>> Причину вроде нашел. Дело в том, что через внешнюю eth1 виден ЧУЖОЙ >> локальный (192.168.0....) ip ЧУЖОЙ машины (где-то у провайдера). В итоге я >> после рестарта сети не могу поднять этот лакальный ip у себя >> внутри сети (типа он занят). tracerote говорит что я к этому >> ip иду через роутер провайдера. > А что, на eth1, одна сеть с 192.168.0.0/24? нет. Там 10.0.... - на который идет инет (через циску, кажись) >> Тогда вопрос: кто виноват и что делать? Средствами iptables и net.ip_forward=0 >> победить проблему не удалось. Мой локальный ip не поднимается... > arp -s у себя для этого адреса. Так я уже увидел этот адрес - он находится в инете за шлюзом провайдера. При опущенном eth0, traceroute 192.168.0.225 находит этот ip идя через внешний провайдерский ip.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "сетевая проблема. Как найти причину?"	+/–
	Сообщение от shadow_alone (ok) on 14-Янв-11, 16:13
	>> А что, на eth1, одна сеть с 192.168.0.0/24? > нет. Там 10.0.... - на который идет инет (через циску, кажись) Тогда вообще проблемы не вижу >>> Тогда вопрос: кто виноват и что делать? Средствами iptables и net.ip_forward=0 >>> победить проблему не удалось. Мой локальный ip не поднимается... >> arp -s у себя для этого адреса. > Так я уже увидел этот адрес - он находится в инете за > шлюзом провайдера. > При опущенном eth0, traceroute 192.168.0.225 находит этот ip идя через внешний провайдерский > ip. Ну адрес то вы может и увидели, но не мак же. Этот адрес за шлюзом и Вам насрать должно быть, что там, за шлюзом.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "сетевая проблема. Как найти причину?"	+/–
	Сообщение от konst (??) on 14-Янв-11, 17:50
	>>> А что, на eth1, одна сеть с 192.168.0.0/24? >> нет. Там 10.0.... - на который идет инет (через циску, кажись) > Тогда вообще проблемы не вижу Ну за циской еще другая локалка есть. не тока инет. Я грешил на нее. По крайней мере меня туда traceroute 192.168.0.225 отправлял (при опущенном eth0) > Ну адрес то вы может и увидели, но не мак же. Этот > адрес за шлюзом и Вам насрать должно быть, что там, за > шлюзом. --- Все-таки ничего не понимаю... Целый день вожусь. Суть: сервер постоянно меняет свой mac. Из вывода команды mail: N 36 root@myhost  Fri Jan 14 14:18  24/1016  "flip flop (pr1)" N 37 root@myhost  Fri Jan 14 14:19  24/1016  "flip flop (pr1)" N 38 root@myhost  Fri Jan 14 14:19  24/1016  "flip flop (pr1)" N 39 root@myhost  Fri Jan 14 14:19  24/1015  "flip flop (pr1)" N 40 root@myhost  Fri Jan 14 14:19  24/1015  "flip flop (pr1)" N 41 root@myhost  Fri Jan 14 14:19  24/1016  "flip flop (pr1)" N 42 root@myhost  Fri Jan 14 14:19  24/1015  "flip flop (pr1)" N 43 root@myhost  Fri Jan 14 14:19  24/1016  "flip flop (pr1)" N 44 root@myhost  Fri Jan 14 14:19  24/1016  "flip flop (pr1)" N 45 root@myhost  Fri Jan 14 14:19  24/1015  "flip flop (pr1)" N 46 root@myhost  Fri Jan 14 14:20  24/1016  "flip flop (pr1)" Везде одно и тоже: изменение с одного на другой (те же самые). Но в сервере 2 одинаковые встроенные сетевые. С идентичными mac-ми (ну +1). С одной все в порядке. Другая (локальная eth0) регулярно  entered promiscuous mode... и меняет mac. про arp -s - я не понял (это у меня для : из man arp: -s hostname hw_addr, --set hostname               Manually create an ARP address mapping entry for  host  hostname               with hardware address set to hw_addr class, but for most classes               one can assume that the usual presentation can be used.... чем это может помочь? Как будто-то в локалке появилось какое-то агрессивное устройство с этим же ip... Но оно никак не проявляется :(
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "сетевая проблема. Как найти причину?"	+/–
	Сообщение от bill (ok) on 14-Янв-11, 20:16
	> Как будто-то в локалке появилось какое-то агрессивное устройство с этим же ip... Не "как-будто", а точно появилось.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "сетевая проблема. Как найти причину?"	+/–
	Сообщение от konst (??) on 15-Янв-11, 03:51
	>> Как будто-то в локалке появилось какое-то агрессивное устройство с этим же ip... > Не "как-будто", а точно появилось. У меня 2 варианта: 1. глюк сетевой карты (что странно, т.к. рядом точно такая же) 2. "точно появилось", хотя ребята вроде проверили все винды на вирусы До этого я сталкивался с arp-вирусами, но они особо не маскировались. Т.е. легко вычислялись с помощью arpwatch (достаточно - сравнить ip/mac которые были в сети до проблемы). Т.е. это или некий интеллектуальный вирус, или чье-то интеллектуальное сознательное действие (маловероятно). Но вопрос тот же: как УДАЛЕННО, имея в распоряжении только атакуемый сервер определить источник?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема