DOLNET 0 Zgłoś post Napisano Październik 5, 2012 Cześć, Mam małe zapytanie do Was, ostatnio mam problem z jednym adresem IP w sieci, a dokładnie ktoś z adresu lokalnego 10.1.89.102, 10.1.89.100, 10.1.89.103 itd, świntuszy mi w sieci (w załączniku), najlepsze jest, że w sieci nie mam dodanej sieci 10.1.89.0/24, w tabeli ARP nie pokazuje adresu MAC wykorzystującego tego adresu. Ruch generowany jest do adresów: 194.69.207.226 (kieruje na serwer androidlive.pl), 194.69.207.145 (kieruje na serwer porada.idg.pl). W załączniku przesyłam screen jak się to objawia, najgorsze jest to, że potrafi wygenerować nawet do 6000 pakietów przy obciążeniu 800 kbit/s, a w sieci ledwo co zaczynają otwierać się strony i cokolwiek zdalnie zrobić na routerze jest mega problematyczne. Próbowałem zablokować to poprzez: DROP, mam stworzony ICMP Flood protect do dropowania takiego typu sytuacji, ale w tym przypadku nie pomaga, dopisując na dany interface adres 10.1.89.102/24, aby wywołać konflikt adresów ip, nie pomaga, dopiero po przypisaniu do tabeli ARP adresu MAC na sztywno, problem znika po chwili. Prosiłbym o informacje jak z tym sobie radzić. Udostępnij ten post Link to postu Udostępnij na innych stronach
d.v 1409 Zgłoś post Napisano Październik 5, 2012 (edytowany) Najskuteczniej - blokować dostęp dla adresów MAC spoza predefiniowanej listy. Edytowano Październik 5, 2012 przez d.v (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
DOLNET 0 Zgłoś post Napisano Październik 5, 2012 Najskuteczniej - blokować dostęp dla adresów MAC spoza predefiniowanej listy. W sieci mam wprowadzone mac_check na podstawie tabeli ARP oraz src mac address w firewall. Udostępnij ten post Link to postu Udostępnij na innych stronach
HaPe 242 Zgłoś post Napisano Październik 5, 2012 Zrób tak, tablicę mac arp zapełnij wpisami typu null, dodaj tylko takie, które potrzebujesz. Jeżeli sieć jest w bridge to na firewall zbytnio nic nie zrobisz, jeśli na jednym fizycznym porcie jest więcej niż 1 komputer. Stosuj routing albo jeden z protokołów PPP. Jeżeli masz switch zrządzalny to ustaw na nim acl. Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Październik 5, 2012 skoro dodałeś adres do ARP to chyba koniec problemu? Udostępnij ten post Link to postu Udostępnij na innych stronach
DOLNET 0 Zgłoś post Napisano Październik 6, 2012 skoro dodałeś adres do ARP to chyba koniec problemu? Problem powraca pomimo, że jest zrobiony mac_check oraz ARP statycznie na wszystkie adresy, na 1 porcie jest przykładowo 1 sektor i podłączonych do ROCKETA kilkunastu klientów. Jednym rozwiązaniem jest tylko, jak dodam do interface lanowego ten sam adres, aby wywołać konflikt. Chyba zastosuje PPP + odpowiednią konfiguracje VLANów, co wiąże się z przepięciem ogółem 2000 urządzeń Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Październik 6, 2012 1. Co masz podpięte (fizycznie - do czego leci kabelek) pod ether5? 2. Czy masz uruchomione w sieci jakieś protokoły routingu (RIP, OSPF)? 3. Spójrz w tablicy routingu, czy nie masz jakiś wpisów dotyczących tej sieci. Udostępnij ten post Link to postu Udostępnij na innych stronach
