форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Проблемы из за сканирования"

Сообщение от ovas on 02-Дек-07, 20:37

Главная проблема конечно в малом опыте , всего пол года. Есть сервер .Linux + squid .eth0 локальная сеть , eth1 смотрит в инет .На eth0 пять алиасов  eth0:1 eth0:1 .....  Когда кто то в сети начинает  сканировать ЛанСкопом или НетЛуком интернет замирает .Сеть 100 мегабитная и там проблем нет .

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблемы из за сканирования"

Сообщение от tux2002 on 03-Дек-07, 11:04

>Главная проблема конечно в малом опыте , всего пол года. >Есть сервер .Linux + squid .eth0 локальная сеть , eth1 смотрит в >инет .На eth0 пять алиасов  eth0:1 eth0:1 .....  Когда >кто то в сети начинает  сканировать ЛанСкопом или НетЛуком интернет >замирает .Сеть 100 мегабитная и там проблем нет . Нетлук вообще выкиньте. arp флудилка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Проблемы из за сканирования"
	Сообщение от ovas on 03-Дек-07, 14:20
	>Нетлук вообще выкиньте. arp флудилка. Я не могу выкинуть ни НЕТЛУК ни ЛАНСКОП .это клиенты запускают .Их около 200 человек . Просто проматриваю нетстатом .Вижу адреса которых у меня еще нет .Давлю в айпитабл источник запросов .Тогда помогает .Адресное прстранство примерно такое : подняты eth0 eth0:1 eth0:2 eth0:3 eth0:4  адреса ххх.ххх.0.1 ......ххх.ххх.0.15   ххх.ххх.2.1 ......ххх.ххх.2.25  ххх.ххх.2.1 ......ххх.ххх.2.41  .............. Адреса которых у меня нет , я имел ввиду те которые не попадают  в это диапазон
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Проблемы из за сканирования"
	Сообщение от tux2002 on 04-Дек-07, 13:59
	>Я не могу выкинуть ни НЕТЛУК ни ЛАНСКОП .это клиенты запускают .Их >около 200 человек. Я понимаю, что клиенты. В таких сетях всегда бардак. Пока клиенты пользуются всякой фигнёй с закладками у Вас будут проблеммы, надо им объяснять. Запустите tcpdump на внутреннем интерфейсе - понаблюдаете интересную картину. Что Вы смотрите netstat'ом? Может клиенты сами меняют себе IP? - тогда сделайте в iptables связки IP+MAC в правилах.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Проблемы из за сканирования"
	Сообщение от ovas on 04-Дек-07, 17:56
	>Я понимаю, что клиенты. В таких сетях всегда бардак. Пока клиенты пользуются >всякой фигнёй с закладками у Вас будут проблеммы, надо им объяснять. >Запустите tcpdump на внутреннем интерфейсе - понаблюдаете интересную картину. > >Что Вы смотрите netstat'ом? Может клиенты сами меняют себе IP? - тогда >сделайте в iptables связки IP+MAC в правилах. tcpdump я запускал и смотрел .arp запрсы потом пинг на те хосты которые отзвались а потом на них же на 137 445 21 80 порты идут пакеты .Кроме netstat-а смотрю в файле ip_conntrack открываются соединения udp на 137 порт на хосты которые точно не могли ответить на arp запрос .Я не могу понять причины замирания инета .Не то что бы тормозит , а замирает , а потом запрос влетает (скорость больше 1 мегабит).Смотрел еще в iptraf открывается около 1500  соединений . По поводу связки IP+MAC в  iptables откровенно говоря незнаю как это сделать .У меня контроль привязки IP+MAC  через squid + mysql
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Проблемы из за сканирования"
	Сообщение от tux2002 on 05-Дек-07, 09:46
	С таким описанием трудно что-то советовать, понятно что сеть замусорена. Объясните с какими целями Вы используете NETFILTER, разрешён ли форвардинг пакетов на шлюзе? Как организован доступ в интернет?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]