IPs fantasma. Não sei o que fazer.

**e-eduardo** · 26-09-2005, 08:53

Pessoal,

Trabalho em um provedor de internet. Temos cerca de 50 clientes wireless e estmos com um problema estranho. Ao listar "arp -v" aparece um monte de ips que não deveriam existir em nossa rede:

Address HWtype HWaddress Flags Mask Iface
10.0.130.60 (incompleto) eth0
10.0.129.173 (incompleto) eth0
10.0.1.100 (incompleto) eth0
10.0.19.192 (incompleto) eth0
10.0.42.148 (incompleto) eth0
10.0.64.147 (incompleto) eth0
10.0.128.62 (incompleto) eth0
10.0.153.39 (incompleto) eth0
10.0.221.156 (incompleto) eth0
10.0.232.86 (incompleto) eth0
10.0.126.27 (incompleto) eth0
10.0.19.63 (incompleto) eth0
10.0.38.67 (incompleto) eth0
10.0.156.221 (incompleto) eth0
(....)

o pior é que a lista não acaba. Fica listando ip uma eternidade até dar uma mensagem de estouro.

Alguém sabe o que fazer?

guilhermebsd · 26-09-2005, 09:00

Cara voce pode configurar as regras de firewall para que a rede so trefegue os ip´s que voce autorizar principalmente em rede wirelles qeu é meio vulneravel.... mas a dica eh essa REGRAS NO FIREWALL !!! BLZ...

ABRACOS...

Avenger · 26-09-2005, 17:55

Sem querer desbancar o guilherme, mas eu discordo dele. Independente da regra que você tiver no iptables, você não vai conseguir controlar a tabela ARP por esse ou aquele filtro, não. Quando tem uma entrada ARP com 'incomplete', é que seu firewall mandou um pacote para um IP, que não pode ser alcançado na rede local (e que não tem rota para ele sair por algum gateway). Independente do filtro do firewall, essa tabela ARP pode ser preenchida, por exemplo, se você coloca um filtro no prerouting para não receber pacotes de qquer IP, mas se você manda um pacote prá ele, lá está ele com o (incomplete) ou endereço MAC... Se você mantém o filtro na PREROUTING, com regra -J DROP para um IP, a partir desse IP dropado, você consegue pegar o MAC do gateway sem problemas... então seguindo essa teoria, você não vai conseguir manter a tabela ARP limpa. Talvez um filtro na 'corrente' output (tabela filter), você previna da máquina mandar pacotes afim de 'requisitar' os MACs dessa ipzada, mas se é alguma máquina da rede que está spoofando os IPs rapidamente ao mandar pacotes, irá novamente aparecer a listaiada MAC na tabela ARP do firewall.

O que pode estar acontecendo, é que algum cliente está com vírus, mandando pacotes prá muita gente, e estourando sua tabela MAC. Se por acaso seu firewall ficar muuito lento, até perdendo pacotes enquanto está dando esse problema, tente, um por um, filtrar (com uma regra simples no prerouting de DROP mesmo) seus clientes, a partir do -m mac --mac-source <arp_do_cliente> ou a partir do IP dele mesmo, uma hora você vai ver uma abrupta melhora na rede e descobrir qual é o cliente que está 'embaçando' a rede com vírus.

Um jeito fácil de levantar qual pode ser o cliente, é usando o IPtraf e vendo se tem algum determinado IP mandando mais pacotes que os outros... daí você tenta filtrar a partir desses IPs mais 'abusados' prá descobrir qual é de forma mais fácil.

Outra coisa que eu já vi encher esses endereços MACs é um AP wireless, o SWL3300, mas ele não manda para tantos a ponto de prejudicar o funcionamento do gateway, ficam apenas uns 15-30 mac's incompletos.

Mais uma coisa: pode ser que a máscara de sub-rede utilizada por você esteja fazendo as entradas de MAC aumentarem; se seus clientes usam 10.0.0.x como ip, coloque uma máscara 10.0.0.0/24 na sua eth0; se você usa cada cliente numa classe-c (10.0.x.y) onde X é associado a cada cliente, e y normalmente você usa apenas um por cliente, o que você pode fazer é vários IP aliases reduzindo então as proporções do problema. Daí você configuraria eth0 como 10.0.0.0/24, eth0:0 como 10.0.1.0/24, eth0:1 como 10.0.2.0/24... e assim por diante.

Note que 10.0.0.0/24 é igual a 10.0.0.0 / 255.255.255.0.

Espero que ajude! Eu também trabalho em provedor de internet e tenho umas situações bem proximas às que você deve estar passando aí.

02-10-2005, 01:18

eh virus, ja tive esse problema.

**Michael** · 02-10-2005, 07:12

Postado originalmente por Avenger

Sem querer desbancar o guilherme, mas eu discordo dele. Independente da regra que você tiver no iptables, você não vai conseguir controlar a tabela ARP por esse ou aquele filtro, não. Quando tem uma entrada ARP com 'incomplete', é que seu firewall mandou um pacote para um IP, que não pode ser alcançado na rede local (e que não tem rota para ele sair por algum gateway). Independente do filtro do firewall, essa tabela ARP pode ser preenchida, por exemplo, se você coloca um filtro no prerouting para não receber pacotes de qquer IP, mas se você manda um pacote prá ele, lá está ele com o (incomplete) ou endereço MAC... Se você mantém o filtro na PREROUTING, com regra -J DROP para um IP, a partir desse IP dropado, você consegue pegar o MAC do gateway sem problemas... então seguindo essa teoria, você não vai conseguir manter a tabela ARP limpa. Talvez um filtro na 'corrente' output (tabela filter), você previna da máquina mandar pacotes afim de 'requisitar' os MACs dessa ipzada, mas se é alguma máquina da rede que está spoofando os IPs rapidamente ao mandar pacotes, irá novamente aparecer a listaiada MAC na tabela ARP do firewall.

O que pode estar acontecendo, é que algum cliente está com vírus, mandando pacotes prá muita gente, e estourando sua tabela MAC. Se por acaso seu firewall ficar muuito lento, até perdendo pacotes enquanto está dando esse problema, tente, um por um, filtrar (com uma regra simples no prerouting de DROP mesmo) seus clientes, a partir do -m mac --mac-source <arp_do_cliente> ou a partir do IP dele mesmo, uma hora você vai ver uma abrupta melhora na rede e descobrir qual é o cliente que está 'embaçando' a rede com vírus.

Um jeito fácil de levantar qual pode ser o cliente, é usando o IPtraf e vendo se tem algum determinado IP mandando mais pacotes que os outros... daí você tenta filtrar a partir desses IPs mais 'abusados' prá descobrir qual é de forma mais fácil.

Outra coisa que eu já vi encher esses endereços MACs é um AP wireless, o SWL3300, mas ele não manda para tantos a ponto de prejudicar o funcionamento do gateway, ficam apenas uns 15-30 mac's incompletos.

Mais uma coisa: pode ser que a máscara de sub-rede utilizada por você esteja fazendo as entradas de MAC aumentarem; se seus clientes usam 10.0.0.x como ip, coloque uma máscara 10.0.0.0/24 na sua eth0; se você usa cada cliente numa classe-c (10.0.x.y) onde X é associado a cada cliente, e y normalmente você usa apenas um por cliente, o que você pode fazer é vários IP aliases reduzindo então as proporções do problema. Daí você configuraria eth0 como 10.0.0.0/24, eth0:0 como 10.0.1.0/24, eth0:1 como 10.0.2.0/24... e assim por diante.

Note que 10.0.0.0/24 é igual a 10.0.0.0 / 255.255.255.0.

Espero que ajude! Eu também trabalho em provedor de internet e tenho umas situações bem proximas às que você deve estar passando aí.

Ja tive esse mesmo problema, mas era em GW Linux instalados em clientes, pois sempre deixo mascarado no servidor apenas os ip´s que irão navegar, odeio mascarar toda classe de IP´s, mas esses dias tive que mascarar todas classe pois o IP vinha ja de um DHCP interno que eles tem na empresa e ai pra minha surpresa quando dava um arp -v
ele retornava uma porrada de ip´s incompletos como descrito na pergunta do amigo e-eduardo nesse tópico!
No meu provedor não tenho esse problema, pois uso sempre uma rede por clientes

eth0:1 192.168.200.1/32
broadcas 192.168.200.3
Cliente fica: 192.168.200.2 aponta pra 192.168.200.1

isso aê!!!!!

Flavio-RJ · 02-10-2005, 09:40

Postado originalmente por Anonymous

eh virus, ja tive esse problema.

Como fez pra resolver? Teve q remover o vírus do cliente?

**sergio** · 02-10-2005, 10:47

Postado originalmente por Michael

eth0:1 192.168.200.1/32
broadcas 192.168.200.3
Cliente fica: 192.168.200.2 aponta pra 192.168.200.1

isso aê!!!!!

soh complementando... a mascara eh /30 se for /32 seria para as conexoes do tipo PPPoE: 255.255.255.255

Address: 192.168.200.1 11000000.10101000.11001000.000000 01

Netmask: 255.255.255.252 = 30 11111111.11111111.11111111.111111 0

Wildcard: 0.0.0.3 00000000.00000000.00000000.000000 11

=>
Network: 192.168.200.0/30 11000000.10101000.11001000.000000 00 (Class C)

Broadcast: 192.168.200.3 11000000.10101000.11001000.000000 11

HostMin: 192.168.200.1 11000000.10101000.11001000.000000 01

HostMax: 192.168.200.2 11000000.10101000.11001000.000000 10

Hosts/Net: 2 (Private Internet)

**sergio** · 02-10-2005, 10:49

Postado originalmente por Flavio-RJ

Postado originalmente por Anonymous

eh virus, ja tive esse problema.

Como fez pra resolver? Teve q remover o vírus do cliente?

normalmente vc desativa o cliente e avisa para ele que soh reativa qdo resolver seu "problema"

**nod3vic3** · 02-10-2005, 11:06

Postado originalmente por Flavio-RJ

Postado originalmente por Anonymous

eh virus, ja tive esse problema.

Como fez pra resolver? Teve q remover o vírus do cliente?

Ola, a alguns meses atrás tivemos esse problema em nosso provedor, e não era apenas um cliente, eram vários clientes com virus. Em questao de 1 segundo enchia a tabela arp do gateway e a conexao ficava lenta pra todo mundo.

Quebramos a cabeça um tempao até nos bloquearmos o trafego nas portas 134 até 139 e 445.

Agora não temos mais esse problema. Um detalhe é que nossos gateways são OpenBSD, mas acredito que deva funcionar normalmente no linux, é só colocar as regras antes do nat que deve ficar bom.

As regras seriam + ou - assim:

Código :

$IPTABLES -A FORWARD -p tcp --dport 134:139 -j DROP
$IPTABLES -A FORWARD -p tcp --dport 445 -j DROP
$IPTABLES -A FORWARD -p udp --dport 134:139 -j DROP
$IPTABLES -A FORWARD -p udp --dport 445 -j DROP

Me corrijam os mais experientes (não sou muito bom de iptables), não sei se é necessario bloquear tcp e udp, mas por via das duvidas taí.

Avenger · 02-10-2005, 18:08

Hmm 134 e 139 tudo bem. 139 é netbios (samba, compartilhamento do windows), isso realmente eu bloqueio nos servidores que mecho...

Correção: desconsiderem isso, eu confundi 445 com 443, que é a porta de página segura (SSL):

Mas 445 é meio perigoso, pois alguns clientes vão acabar sem poder entrar em site seguro..

Vai ficar registrada minha asneira aí prá que eu pense um pouquinho mais antes de responder uma mensagem!

02-10-2005, 19:58

Postado originalmente por Avenger

Hmm 134 e 139 tudo bem. 139 é netbios (samba, compartilhamento do windows), isso realmente eu bloqueio nos servidores que mecho... Mas 445 é meio perigoso, pois alguns clientes vão acabar sem poder entrar em site seguro..

Avenger, por aqui bloqueio a 445 desde q saiu o Sasser e nunca tive problemas com sites seguros... qual seria o problema?

**sergio** · 02-10-2005, 19:59

Postado originalmente por Anonymous

Postado originalmente por Avenger

Hmm 134 e 139 tudo bem. 139 é netbios (samba, compartilhamento do windows), isso realmente eu bloqueio nos servidores que mecho... Mas 445 é meio perigoso, pois alguns clientes vão acabar sem poder entrar em site seguro..

Avenger, por aqui bloqueio a 445 desde q saiu o Sasser e nunca tive problemas com sites seguros... qual seria o problema?

ops: o post foi foi meu.

Avenger · 02-10-2005, 20:14

Droga. Me confundi. Vou consertar o post!.. 443 != 445

IPs fantasma. Não sei o que fazer.

Ferramentas de Tópicos