forum.lan.md

[Шинкевич Владимир]

Код: Выделить всё

May 11 18:59:18 profi-net kernel: <.104ipfw:
May 11 18:59:18 profi-net kernel: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 18:59:18 profi-net kernel: ia local0
May 11 18:59:18 profi-net kernel: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 18:59:18 profi-net kernel: local0
May 11 18:59:18 profi-net kernel: 7 in via local0
May 11 18:59:18 profi-net kernel: Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 18:59:18 profi-net kernel: .255:67 in via local0
May 11 18:59:19 profi-net kernel: 68 255.255.255.255:67 in via local0
May 11 18:59:19 profi-net kernel: <110Uipfw:
May 11 18:59:19 profi-net kernel: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 18:59:19 profi-net kernel: w: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 18:59:20 profi-net kernel: <110 ipfw: 1P000 De5y UDP 0:0.0.0668 255.255.255.285:67 in via loc<l0
May 11 18:59:20 profi-net kernel: 255.255.255.255:67 in via local0
May 11 18:59:20 profi-net kernel: :67 in via local0
May 11 18:59:20 profi-net kernel: <11i>ipfw: 00000 neny U P 0.0.0.0:68 2558255.255.255:67 in viailocal0
May 11 18:59:20 profi-net kernel: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 18:59:20 profi-net kernel: via local0

Записалось в /var/log/messages вместо /var/log/security
Одновременно трафик на сервак со стороны локалки упал до 300-800 кбайт\сек, пинги умерли, арпы выводили такие приколы

Код: Выделить всё

tcpdump -p -i local0 | grep arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on local0, link-type EN10MB (Ethernet), capture size 96 bytes
22:58:35.807345 arp who-has my.net.ip.246 tell my.net.ip.1
22:58:35.807450 arp who-has my.net.ip.54 tell my.net.ip.119
22:58:35.807458 arp who-has my.net.ip.54 tell my.net.ip.57
22:58:35.807482 arp who-has my.net.ip.246 tell my.net.ip.1
22:58:35.807556 arp who-has my.net.ip.54 tell my.net.ip.119
22:58:35.807567 arp who-has my.net.ip.54 tell my.net.ip.57
22:58:35.807609 arp who-has my.net.ip.246 tell my.net.ip.1
22:58:35.807698 arp who-has my.net.ip.54 tell my.net.ip.119
22:58:35.807705 arp who-has my.net.ip.54 tell my.net.ip.57
22:58:35.817405 arp who-has my.net.ip.246 tell my.net.ip.1
22:58:35.817507 arp who-has my.net.ip.54 tell my.net.ip.119
22:58:35.817515 arp who-has my.net.ip.54 tell my.net.ip.57
22:58:35.817570 arp who-has my.net.ip.246 tell my.net.ip.1
22:58:35.817701 arp who-has my.net.ip.54 tell my.net.ip.119
22:58:35.817732 arp who-has my.net.ip.54 tell my.net.ip.57
22:58:35.817807 arp who-has my.net.ip.246 tell my.net.ip.1
22:58:35.817881 arp who-has my.net.ip.54 tell my.net.ip.119
22:58:35.817892 arp who-has my.net.ip.54 tell my.net.ip.57
^C513 packets captured
127772 packets received by filter
126484 packets dropped by kernel

Где my.net.ip. - первые три октета ип.

Суть, вероятно, в центральном свиче или невероятном совпадении проблем.
После перезагрузки свича - висло спустя от 30 минут до 2 часов.
ifconfig local0 down && sleep 15 && ifconfig local0 up - полёт пока нормальны.

P.s.

Код: Выделить всё

May 11 18:18:13 profi-net kernel: ipfw: 10000 Deny UDP 169.254.211.4:138 169.254.255.255:138 in via local0
May 11 18:18:25 profi-net last message repeated 1999 times 

Вот тут я понял, что безнадежно сливаю по генерации флуда.
P.s.s. Забыл добавить - генератор нужно обязательно было купить до начала лета. И бензинчика бочку, пока дешевый.

[Шинкевич Владимир]

Уже ненормально.

Код: Выделить всё

May 11 23:21:55 profi-net last message repeated 5 times
May 11 23:21:55 profi-net kernel: ipfw: 10000 D0ny UD  0.0.0.0268 255.255.2 5.255:6a in via>local0
May 11 23:21:55 profi-net kernel: ipfw: D0000 Deny UD  0.0.0.0268 255.255.255.2 5:67 i
May 11 23:21:55 profi-net kernel: ipfw: 10 00 Den0 UDP 5.0.0.0:58 255.275.255.255:67 in<via lofal0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 23:21:55 profi-net kernel: ipfw: 10000 .eny UD  0.0.0.0:65 255.275.255.2 5:67 0n via lpcal0
May 11 23:21:55 profi-net kernel: ipfw  10000 Deny:UDP 050.0.0:65 255.255i255.255o67 in 1ia loca:0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68.255.255.n55.25l:67 in v1a lofal0
May 11 23:21:55 profi-net kernel: ipfw: 1P000 Den0 UDP 050.0.0:65 255.25 .255.25l:67 in 1ia loca:0
May 11 23:21:55 profi-net kernel: ipfw: 10000 .eny UDP20.0.0.0268 255.655.255.a55:67 i
May 11 23:21:55 profi-net kernel: ipfw: 10 00 De.y UD  0.0.0..:68 255:255.255i255:67 0n via lpcal0
May 11 23:21:55 profi-net kernel: ipfw: 1000. Deny UDP 0.020.0:65 255.655.255.2 5:67 in<via locwl0
May 11 23:21:55 profi-net kernel: ipfw: 1P000 Den0 UDP 5.0.0.0:65 255.25 .255.255:67 0n via lpcal0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68 255.255.2 5.255:67lin via local0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Den0 UDP 0...0.0:68.255.255i255.255o67 in via lpcal0
May 11 23:21:55 profi-net kernel: ipfy: 10 00 D0ny UDP20.0.0.0268 255:255.25v.255:c7 in vi0 local0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68 255.255.25v.255:6alin via>local0
May 11 23:21:55 profi-net kernel: ipfw: 10000 Deny UDP 0.0.0.0:68 255.255.255.255:67 in via local0

Как его плющит однако.

Фильтровать порт 68 на центральном свиче - решение?
P.s. Найти и уничтожить - это само собой.
P.s.s.

Не решение. Этож DHCP. Как вычислить мак 0.0.0.0?

[Шинкевич Владимир]

Значит картинку я вижу такой: Нечто посылает много-много запросов на мой DHCP-сервер. DHCP по доброте душевной, наличию производительности и гигабитного стыка отвечает много-много на 255.255.255.255:68. Отчего ненадолго сносит крышу у свичей. Что решается отключением интерфейса.
Как вычислить Некто?

[Шинкевич Владимир]

Код: Выделить всё

May 11 23:46:40 profi-net kernel: ipfw: 10000 Deny UDP 169.254.10.151:137 169.254.255.255:137 in via local0
May 11 23:47:01 profi-net last message repeated 4937 times

Их-ха.

[Igoras]

Как вычислить Некто?

по маку в арп-запросе сниффером. Иначе никак.. или перебором портов на смарте... хотя бы анализом статистики... свитчи у тебя вроде умные, смотришь по каждому порту откуда прет много броадкастов..

[Igoras]

May 11 23:46:40 profi-net kernel: ipfw: 10000 Deny UDP 169.254.10.151:137 169.254.255.255:137 in via local0
May 11 23:47:01 profi-net last message repeated 4937 times

не понимаю, что тебе может дать перехват какого-то адреса из сети автоконфигурации?

Кстати.. а что на смартах твоих нету блокирования броадкаст-сторма, или ограничения скорости броадкастов? у меня по всем портам стоит не более 64 кбит, для тех кто вдруг юзает локальные чаты, хватит вполне...

[Шинкевич Владимир]

Как вычислить мак 0.0.0.0 на фре?

У меня нет смартов.

[Igoras]

Шинкевич Владимир,
man tcpdump... включаем отображение пакетов целиком, или даже сохранение в файл для последующего анализа, в заголовке ethernet-пакета есть мак по-любому, какой бы там ип не был. Правда не факт, что он настоящий...

Разве совсем нет смартов? а мне казалось у тебя в центре что-то с мозгами стоит... а оптику ты куда включаешь?

[Igoras]

tcpdump -i eth0 -e -nn host 192.168.52.1

Код: Выделить всё

10:02:12.715519 00:21:97:2e:58:35 > 00:1e:90:8a:5e:b6, ethertype IPv4 (0x0800), length 60: 192.168.52.1.64878 > 192.168.52.200.22: . ack 1165044 win 14275
10:02:12.715642 00:1e:90:8a:5e:b6 > 00:21:97:2e:58:35, ethertype IPv4 (0x0800), length 426: 192.168.52.200.22 > 192.168.52.1.64878: P 1165628:1166000(372) ack 6033 win 71
10:02:12.715730 00:1e:90:8a:5e:b6 > 00:21:97:2e:58:35, ethertype IPv4 (0x0800), length 266: 192.168.52.200.22 > 192.168.52.1.64878: P 1166000:1166212(212) ack 6033 win 71
10:02:12.715810 00:1e:90:8a:5e:b6 > 00:21:97:2e:58:35, ethertype IPv4 (0x0800), length 266: 192.168.52.200.22 > 192.168.52.1.64878: P 1166212:1166424(212) ack 6033 win 71

Is that what you want?

[Шинкевич Владимир]

Код: Выделить всё

# tcpdump -i local0 -e -nn host 0.0.0.0

Сохранять в файл - после шторма анализировать, понял.

[Igoras]

Шинкевич Владимир,
сохранять через -w <file>, читать - -r <file>

[Шинкевич Владимир]

Метод вытыка и обнаруживается свич у клиента с включенным патч-кордом.

P.s. Broadcast control в 64кб на tplink 2428 не помогал.

[Igoras]

Шинкевич Владимир,
а мак его был? свитч именно флудил?

[Артем]

Igoras,
Патчкорд был вставлен в тот свич двумя сторонами

[Igoras]

аа.... ну тогда все нормально

а чего клиент добивался? интернет хотел в 2 раза быстрее сделать?

[Шинкевич Владимир]

У них два компа было. Один уехал. Патч оставили. Потом делали уборку. Во всем порядок - кабель должен быть подключен!

[BuTaMuH]

так можно топологию-кольцо делать из 3х-4х мыльниц или нужен один умный свитч? Или будет штормить?

[KirillTs]

так можно топологию-кольцо делать из 3х-4х мыльниц или нужен один умный свитч? Или будет штормить?

Топологию кольцо на мыльницах, можно, но работать не будет =) соседи проверяли достоверно установили, что лаги страшные =)

[Igoras]

KirillTs,
Топология кольцо в езернете вообще работать не будет, хоть на мыльницах, хоть на чем, STP для того и нужен, чтобы некоторые связи, которые превращают сеть в закольцованную перевести в резеврное состояние и сделать из нее дерево.

[KirillTs]

KirillTs,
Топология кольцо в езернете вообще работать не будет, хоть на мыльницах, хоть на чем, STP для того и нужен, чтобы некоторые связи, которые превращают сеть в закольцованную перевести в резеврное состояние и сделать из нее дерево.

Так у меня сомнений и не было =) у нас гирлянда из неуправляемых мыльниц оба конца заведены в одну коробку, постоянно включен 1 конец гирлянды... если связь пропадает подключаем 2 конец.. получается 2 гирлянды и потом неспешно ищем обрыв, вскрытую коробку, зависший свич и т.п.

Эротика конечно, но для наших нужд подходит, по уму конечно свичики с rstp бы поставить... или оптику, волокно на дом, тогда можно мыльницы не менять....

[Mistakila]

А когда начинаешь выбирать хороший свичик, c sfp-портами и желательно поумнее(ssh,rstp,acl), то цена переваливает за 200 €
И еще не найдешь в столице нашей.