Re: problem z arpwatchem ...

[Grzegorz Szyszlo <znik@wbc.lublin.pl>]

On Tue, 17 Feb 2004, m wrote:

> Witajcie,
>
> prosze pomozcie, nie moge sobie poradzic. nie wiem co jest
> przyczyna...ale do rzeczy...
>
> Ostatnio neka mnie dosc mocno problem arpwatcha.
> w konfigu arpwatch.conf wpisuje :
>
> eth0 -a -p -m root@localhost
>
> dostaje maile z flipflopami, changed ethernet address...
> i co dziwne kazdy z kompow w LANie ma raz swoj prawdziwy MAC a raz MAC
> karty sieciowej serwera i tak w kolko....

z tego wynika ze masz na necie losia, ktory sobie wpisal IP twojego
serwera. Wydaje mi sie ze to jest najbardziej prawdopodobna przyczyna.

po prostu w sieci sa dwa kompy, serwer i komp tego losia, ktore maja
ustawiony ten sam IP. z punktu widzenia arpwatcha to tak, jakby jeden
komputer w kolko zmienial swoj MAC, bez zmiany IP.
taki stan pozwala to na przechwytywanie konekcji. tak ze jesli
masz na serwerze jakies zasoby do ktorych sie trzeba zalogowac, to lepiej
uwazaj.

na takie dziadostwo jedynym lekarstwem jest ustawienie statycznego ARP na
firewallu dostepu do internetu. ale jak ten los sie naumie zmieniac MAC,
wowczas jedynym lekarstwem bedzie albo switch ktory umozliwia ustawienie
statycznej tablicy adresow MAC, albo odlaczenie losia od sieci.

innym lekarstwem jest freeswan, oraz ustanawianie konekcji VPN z
komputerow w lanie do serwera i/lub firewalla. przy takim konfigu jedyne
co los moze zepsuc, to odciac lub zaklocic ruch.

znik.