---

FUT: dk.edb.netvaerk

Situation: En NetBSD med flere netkort er router/firewall med pf.
Offentlige adresser på alle kort.

Indersideadresse (ændret for "security by obscurity")
12.34.567.97, er default gw for de øvrige maskiner.
forbundet til switch som de øvrige maskiner sidder til
12.34.567.98
12.34.567.99
12.34.567.100
12.34.567.101

Ingen begrænsninger i pf udadgående.
Ingen begrænsninger indadgående for en håndfuld godkendte ip-adresser;
for resten af internettet er der kun adgang til udvalgte porte, f,ex, 80
på 12.34.567.98 og 12.34.567.100

Problem: I perioder på op til et par minutter kan 12.34.567.101 ikke se
gw, og kan derfor heller ikke nås udefra.
Logger jeg på 12.34.567.100, kan jeg derfra logge på 12.34.567.101 og
derfra se, at den kan pinge de øvrige maskiner i netværket, men ikke gw.
(100 og 101 er windowsmaskiner med remote desktop)
Tilsvarende, logger jeg på fw 12.34.567.97 kan jeg ikke pinge
12.34.567.101; med tcpdump på fw kan jeg se icmp request til 101, men
ingen reply fra 101. Efter et stykke tid fungerer det igen. Når det ikke
fungerer er der stadig forbindelse til de andre maskiner udefra.

Hvor leder jeg efter fejlen? Der ser ikke ud til at være noget mystisk i
pflog eller andet på firewall. Arp-tabellerne ændrer sig ikke på hverken
fw eller 101.

Leif

---

Leif Neland skrev:

> Hvor leder jeg efter fejlen? Der ser ikke ud til at være noget mystisk i
> pflog eller andet på firewall. Arp-tabellerne ændrer sig ikke på hverken
> fw eller 101.

Prøv at skifte netkortet i maskinen ud med et af dem der virker som de
skal, og se hvor problemet så er.
--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"

---

Leif Neland wrote:
> FUT: dk.edb.netvaerk
>
> Situation: En NetBSD med flere netkort er router/firewall med pf.
> Offentlige adresser på alle kort.
>
> Indersideadresse (ændret for "security by obscurity")
> 12.34.567.97, er default gw for de øvrige maskiner.
> forbundet til switch som de øvrige maskiner sidder til
> 12.34.567.98
> 12.34.567.99
> 12.34.567.100
> 12.34.567.101
>
> Ingen begrænsninger i pf udadgående.
> Ingen begrænsninger indadgående for en håndfuld godkendte ip-adresser;
> for resten af internettet er der kun adgang til udvalgte porte, f,ex, 80
> på 12.34.567.98 og 12.34.567.100
>
> Problem: I perioder på op til et par minutter kan 12.34.567.101 ikke se
> gw, og kan derfor heller ikke nås udefra.
> Logger jeg på 12.34.567.100, kan jeg derfra logge på 12.34.567.101 og
> derfra se, at den kan pinge de øvrige maskiner i netværket, men ikke gw.
> (100 og 101 er windowsmaskiner med remote desktop)
> Tilsvarende, logger jeg på fw 12.34.567.97 kan jeg ikke pinge
> 12.34.567.101; med tcpdump på fw kan jeg se icmp request til 101, men
> ingen reply fra 101. Efter et stykke tid fungerer det igen. Når det ikke
> fungerer er der stadig forbindelse til de andre maskiner udefra.
>
> Hvor leder jeg efter fejlen? Der ser ikke ud til at være noget mystisk i
> pflog eller andet på firewall. Arp-tabellerne ændrer sig ikke på hverken
> fw eller 101.

Vi har for kort tid siden haft et ligende problem i virksomheden. Det
var dog ikke få minutter der var tale om men ubestemt tid.

Vi kunne som du gå til linux boxen fra alle mulige maskiner på
lokalnettet og den anden vej, men ikke ud af huset. De andre maskiner
havde ikke problem med at komme ud af huset.

Det viste sig at være switchen der var skurken. Da den blev genstartet
forsvandt problemet. Hvad der præcist går galt i switchen er jeg ikke
klar over, men det er nok noget routing tabel der er gået ged i.

Prøv at skifte til en hub mellem enhederne og gw og se om problemet
forsvinder, hvis ja så er det din switch.

- Lars

---

"Lars Kristensen" <spam@acdc.dk> skrev i en meddelelse
news:4ba9bc94$0$56796$edfadb0f@dtext02.news.tele.dk...
> Leif Neland wrote:
>> FUT: dk.edb.netvaerk
>>
>> Situation: En NetBSD med flere netkort er router/firewall med pf.
>> Offentlige adresser på alle kort.
>>
>> Indersideadresse (ændret for "security by obscurity")
>> 12.34.567.97, er default gw for de øvrige maskiner.
>> forbundet til switch som de øvrige maskiner sidder til
>> 12.34.567.98
>> 12.34.567.99
>> 12.34.567.100
>> 12.34.567.101
>>
>> Ingen begrænsninger i pf udadgående.
>> Ingen begrænsninger indadgående for en håndfuld godkendte ip-adresser;
>> for resten af internettet er der kun adgang til udvalgte porte, f,ex, 80
>> på 12.34.567.98 og 12.34.567.100
>>
>> Problem: I perioder på op til et par minutter kan 12.34.567.101 ikke se
>> gw, og kan derfor heller ikke nås udefra.
>> Logger jeg på 12.34.567.100, kan jeg derfra logge på 12.34.567.101 og
>> derfra se, at den kan pinge de øvrige maskiner i netværket, men ikke gw.
>> (100 og 101 er windowsmaskiner med remote desktop)
>> Tilsvarende, logger jeg på fw 12.34.567.97 kan jeg ikke pinge
>> 12.34.567.101; med tcpdump på fw kan jeg se icmp request til 101, men
>> ingen reply fra 101. Efter et stykke tid fungerer det igen. Når det ikke
>> fungerer er der stadig forbindelse til de andre maskiner udefra.
>>
>> Hvor leder jeg efter fejlen? Der ser ikke ud til at være noget mystisk i
>> pflog eller andet på firewall. Arp-tabellerne ændrer sig ikke på hverken
>> fw eller 101.
>
> Vi har for kort tid siden haft et ligende problem i virksomheden. Det var
> dog ikke få minutter der var tale om men ubestemt tid.
>
> Vi kunne som du gå til linux boxen fra alle mulige maskiner på lokalnettet
> og den anden vej, men ikke ud af huset. De andre maskiner havde ikke
> problem med at komme ud af huset.
>
> Det viste sig at være switchen der var skurken. Da den blev genstartet
> forsvandt problemet. Hvad der præcist går galt i switchen er jeg ikke klar
> over, men det er nok noget routing tabel der er gået ged i.
>
> Prøv at skifte til en hub mellem enhederne og gw og se om problemet
> forsvinder, hvis ja så er det din switch.
>
> - Lars

Har lige skiftet switch. Det hjalp heller ikke.
Nu har vi skiftet til et andet netkort i fw.

Leif

---

Leif Neland skrev:

>>>
>>> Problem: I perioder på op til et par minutter kan 12.34.567.101 ikke se
>>> gw, og kan derfor heller ikke nås udefra.

>
> Har lige skiftet switch. Det hjalp heller ikke.
> Nu har vi skiftet til et andet netkort i fw.
>
Det hjalp heller ikke.
Jeg er ved at blive tyndhåret. Kan det skyldes malware?

Næste plan er at prøve med en virtualiseret fw.

Eller skifte ip-adresse.

Leif


--
Jeg foretrækker min the tilberedt efter BS6008

---

Leif Neland wrote:
> Leif Neland skrev:
>
>>>>
>>>> Problem: I perioder på op til et par minutter kan 12.34.567.101 ikke
>>>> se gw, og kan derfor heller ikke nås udefra.
>
>>
>> Har lige skiftet switch. Det hjalp heller ikke.
>> Nu har vi skiftet til et andet netkort i fw.
>>
> Det hjalp heller ikke.
> Jeg er ved at blive tyndhåret. Kan det skyldes malware?
>
> Næste plan er at prøve med en virtualiseret fw.
>
> Eller skifte ip-adresse.
>
> Leif
>
>
Det kan måske skyldes at maskine er belastet på det tids punkt, den ikke
svare. Test om maskine er belastet; linux::top, der er også andre linux
programmer der kan bruges til netværk analyse...
C

---

Leif Neland wrote:
> Leif Neland skrev:
>
>>>>
>>>> Problem: I perioder på op til et par minutter kan 12.34.567.101
>>>> ikke se gw, og kan derfor heller ikke nås udefra.
>
>>
>> Har lige skiftet switch. Det hjalp heller ikke.
>> Nu har vi skiftet til et andet netkort i fw.
>>
> Det hjalp heller ikke.
> Jeg er ved at blive tyndhåret. Kan det skyldes malware?
>
> Næste plan er at prøve med en virtualiseret fw.
>
> Eller skifte ip-adresse.
>
> Leif
Det er vel bedre at finde fejlen end at introducere mere forvirring
Hvordan er den .101 winmaskine konfigureret?
fast IP, fast GW, fast DNS, rigtig subnet?
- ud fra givne, vil jeg nok koncentrere mig om denne maskine, hvis det er
korrekt at de andre virker stabilt.
- (nb driver til netkort kunne være et bud)
der bør iøvrigt ikke være sikkerhedsproblemer med at opgive korrekte interne
IPadresser, når du har brandmur og lokalnet!!

finn

---

jos skrev:
> Leif Neland wrote:
>> Leif Neland skrev:
>>
>>>>> Problem: I perioder på op til et par minutter kan 12.34.567.101
>>>>> ikke se gw, og kan derfor heller ikke nås udefra.
>>> Har lige skiftet switch. Det hjalp heller ikke.
>>> Nu har vi skiftet til et andet netkort i fw.
>>>
>> Det hjalp heller ikke.
>> Jeg er ved at blive tyndhåret. Kan det skyldes malware?
>>
>> Næste plan er at prøve med en virtualiseret fw.
>>
>> Eller skifte ip-adresse.
>>
>> Leif
> Det er vel bedre at finde fejlen end at introducere mere forvirring
> Hvordan er den .101 winmaskine konfigureret?
> fast IP, fast GW, fast DNS, rigtig subnet?
> - ud fra givne, vil jeg nok koncentrere mig om denne maskine, hvis det er
> korrekt at de andre virker stabilt.
> - (nb driver til netkort kunne være et bud)

Fejlen er fundet.

Vi har en "kravlegård", til at teste i.
Der er en linux sat op som nat-router, så netkortet på indersiden har
samme ip som default gw på det rigtige net.

Det har tidligere givet problemer, så routeren svarede på arp på det
forkerte netkort, men det blev løst med at sætte
net.ipv4.conf.eth0.arp_ignore = 1
net.ipv4.conf.eth0.arp_announce = 2
I /etc/sysctl.conf.

Nu fungerer det åbenbart ikke (mere?) at sætte det i /etc/sysctl.conf.

I stedet sætter jeg det /etc/network/interfaces
up sysctl net.ipv4.conf.eth0.arp_ignore=1
up sysctl net.ipv4.conf.eth0.arp_announce=2

> der bør iøvrigt ikke være sikkerhedsproblemer med at opgive korrekte
> interne IPadresser, når du har brandmur og lokalnet!!

Hvem har snakket om interne ip-adresser og lokalnet?
Det er offentlige adresser; man sætter jo ikke windows-maskiner på nettet.

Leif



--
Jeg foretrækker min the tilberedt efter BS6008

---

>> der bør iøvrigt ikke være sikkerhedsproblemer med at opgive korrekte
>> interne IPadresser, når du har brandmur og lokalnet!!
>
> Hvem har snakket om interne ip-adresser og lokalnet?
> Det er offentlige adresser; man sætter jo ikke windows-maskiner på
> nettet.
> Leif
Fair nok! - jeg fejltolkede meningen med:
>Indersideadresse (ændret for "security by obscurity")
>12.34.567.97, er default gw for de øvrige maskiner.
finn