+ Responder ao Tópico



  1. #1

    Padrão Tabela arp lotada

    Pessoal, esta semana instalaram meu link dedicado (ufa!), tive que configurar tudo manualmente no MK (IP,GTW,DNS,Rota...), no entanto quando fui ver a ARP List, ela tava lotada de ítens dinâmicos, todos relacionados com a interface do link e pelo que deu para perceber. os ip´s éram dos sites que os clientes acessavam (eu acho, ou msn... sei lá), isto é um problema ? Como deve ser configurado o ARP da interface do link ? Na interface dos clientes eu deixo em "reply-only", e os clientes estão em PPPoE, não há "conectividade" direta com o MK.

    Obrigado Galera !!!

  2. #2

    Padrão

    Ninguém passou por isso ainda ? Acho que estou ficando doido



  3. #3
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Cara não tem como você ter um arp list dos destinos que sua rede acessa... Logo após o seu roteador existe outro, então o máximo que você terá é o mac deste roteador.

    Agora o seguinte, já vi muito acontecer... umas operadoras meia boca (a minha por exemplo), que te "linkam" em fibra diretão no switch deles, junto com mais uma pá de clientes que por sinal não rem roteador ou tem, mas configurado inadequadamente, e desta forma, dá-lhe rede privada e pública de todo mundo batendo na sua porta. Se este for o caso, converse com a operadora e exija que filtrem o tráfego.

  4. #4

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Cara não tem como você ter um arp list dos destinos que sua rede acessa... Logo após o seu roteador existe outro, então o máximo que você terá é o mac deste roteador.

    Agora o seguinte, já vi muito acontecer... umas operadoras meia boca (a minha por exemplo), que te "linkam" em fibra diretão no switch deles, junto com mais uma pá de clientes que por sinal não rem roteador ou tem, mas configurado inadequadamente, e desta forma, dá-lhe rede privada e pública de todo mundo batendo na sua porta. Se este for o caso, converse com a operadora e exija que filtrem o tráfego.
    Sergio, uso um cisco 1700 (nem sei se é bom, mas tava barato), o que notei foi o seguinte, quando faço um login remoto no WinBox, meu IP entra na tabela ARP do MK na interface do link, hoje fui fazer um teste (que merda de idéia) mudei o ARP da interface do link para "reply-only" e adivinha... a rede toda caiu !!!, mesmo conectado na rede interna do MK, não navegava, não resolvia dns... parou mesmooo. Ai voltei para ARP Enable e após uns minutos tava tudo de pé outra vez, uma coisa que notei também é que os IPs que aparecem lá são públicos, nenhuma "rede privada" batendo a minha porta, e estes ips nem sequer são próximos ao meu range.



  5. #5
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Posta um print do ARP e do connections do Mikrotik.

  6. #6

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Posta um print do ARP e do connections do Mikrotik.

    Sergio, segue a tela, detalhe somente quando os clientes estão navegando, msn etc... se eu desabilitar a interface dos clientes, tudo para...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         arp.JPG
Visualizações:	213
Tamanho: 	110,8 KB
ID:      	4526  



  7. #7
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Parece que está sob um arp spoof. Veja no link abaixo uma solução para detectar e rejeitar arp spoofing.

    Fonte: MikroTik RouterOS • View topic - i found way to detect the spoof or arp program just try it

  8. #8

    Padrão

    O Estranho é que quando conecto no mk de uma rede externa (3g, adsl) quando estou fora, meu ip aparece da mesma maneira na lista, e tenho receio de me bloquear ao tentar acessar o servidor. Fiz um teste com outro mk usando outro ip valido da minha rede e apareceu somente meu ip que eu estava acessando o server, estava usando um adsl de um colega em outra cidade.
    Última edição por agpnet; 07-06-2009 às 23:38.



  9. #9

    Padrão

    sergio, não funcionou não, o que devo (se é que devo) falar com a operadora sobre este problema, quando eu estava usando a versão 2.xx do MK ele não aparecia nenhum MAC na arp a não ser os mikrotiks da rede. Segue um novo print monstruoso de arp.

    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         arp-aff.jpg
Visualizações:	212
Tamanho: 	428,7 KB
ID:      	4920  

  10. #10

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Parece que está sob um arp spoof. Veja no link abaixo uma solução para detectar e rejeitar arp spoofing.

    Fonte: MikroTik RouterOS • View topic - i found way to detect the spoof or arp program just try it
    Opa sérgio.

    Vc reparou que é tudo o mesmo MAC ? Eu tbm ví, tá mais pra spoof.

    Mas isso seria o cumulo da estupidez da operadora ! Eu jamais vi coisa igual.

    axébabatotobalabauexomenihempsovizionou !!!! Sai pra lá zica !

    Abraços



  11. #11

    Padrão

    Citação Postado originalmente por alamdias Ver Post
    Opa sérgio.

    Vc reparou que é tudo o mesmo MAC ? Eu tbm ví, tá mais pra spoof.

    Mas isso seria o cumulo da estupidez da operadora ! Eu jamais vi coisa igual.

    axébabatotobalabauexomenihempsovizionou !!!! Sai pra lá zica !

    Abraços
    alamdias, o que você surgere que eu diga para operadora fazer ? O Engraçado é que quanto mais clientes eu tenho navegando, mais esta tabela cresce, mesmo sendo eu mesmo navegando pela rede local, a interface do link recebe de um router cisco, e minha interface esta como ARP: Enabled.
    Não tenho certeza, mas acho que vou fazer um teste, isto parece que são os ips das conexões ativas no momento (sites, messengers, etc.), pois quando eu entro pelo winbox de outro lugar (conexão externa), o ip da conexão que usei para conectar aparece na tabela também.
    Última edição por agpnet; 21-07-2009 às 09:27.

  12. #12

    Padrão

    Olha só.

    Imagine meu caso aqui. Tenho um link full que chega direto dentro do meu MK, por um cartão XR5.

    Na tabela arp dele, só tem um ip ! Que é meu gateway da operadora.

    Onde deve ter uns arp, é nas suas iface locais.

    Na externa, indica conexões de fora para dentro do seu MK.

    Seria interessante você pedir um suporte para a operadora.

    Vou pensar o que pode ser aqui e mais tarde de falo.

    Abraços



  13. #13
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão

    Depois desse tempo e ainda não resolveu? hehehe

    Vamos lá: esse MAC que é exibido é do Cisco (veja em http://standards.ieee.org/regauth/oui/oui.txt), então significa que isto vem dele, a princípio....

    Mas para desencargo de consciência, atualize seu Mikrotik ROS para 3.27 (se ainda não o fez), remova, se existir, qualquer configuração, em qualquer interface, de proxy-arp. Verifique os resultados. Remova, caso exista, qualquer bridge e reconfigure os IPs nas interfaces correspondentes.

    Caso não resolva, deverá falar com a operadora.

  14. #14

    Padrão

    MK - 3.27 - OK
    Todas ethers (LINK/PROXY/LAN) em ARP: Enabled
    Nenhuma bridge no servidor, interfaces trabalham individualmente.

    Resultado: Falar com a operadora !!! rsrsrsrs

    Obrigado pelas explicações, vou entrar em contato com eles e ver no que vai dar, ai eu posto o resultado. Espero que não seja..... mudar de operadora rsrsrsrs.