LINUX.ORG.RU
решено ФорумAdmin

Флуд в сети и FTP

 , ,


0

1

Доброго времени суток! Уважаемые знатоки, нужен толковый совет… Дано: 1)Шлюз на pfSense 2)FTP сервер на Ubuntu Server 16.04 настроеный подобным образом https://gist.github.com/giordanocardillo/3a4bb75f2f851883c2fc0dd802bc6062 3)3х этажная школа, в сети примерно 100 ПК на Windows 7/10. Все они соединены между собой обычными мыльницами.

Ситуация такова: FTP сервер наотрез отказывается работать при попытке подключения любыми утилитами (FileZilla, браузером, проводником винды, NetDrive), но ровно до тех пор пока я не отключу второй и третий этажи (выяснил опытным путём). С остальными ПК (около 30) все работает совершенно прекрасно. Как я понимаю это или какой-то флуд с остальных компов или еще что-то. Как адекватно и быстро выловить зловреда имеющимися средствами ?


Шлюз куда?

Смотрите трафик, допустим tcpdump'ом, 21 порт tcp. Определить ip-адрес и mac-адрес, а дальше, раз коммутаторы не управляемые, то только ходить ногами до каждого компа и смотреть mac-адреса...

mky ★★★★★ ()

FTP сервер на Ubuntu Server 16.04

Где расположен, внутри локалки?
Сеть (адресация) одна на всех?
Как раздаются адреса? DHCP или статика?

anc ★★★★★ ()

Очень похоже на конфликт адресов. Уверены, что IP-адрес сервера уникален и не пересекается ни с одним из клиентских ПК?

Serge10 ★★★★★ ()
Ответ на: комментарий от ErV

Шлюз pfSense стоит между локалкой и WAN

ftp-сервер в локальной сети стоит? Доступ к нему только из локальной сети предполагается?

Serge10 ★★★★★ ()
Ответ на: комментарий от anc

Да, шлюз pfSense c IP 192.168.0.254, сервер FTP внутри локалки с адресом 192.168.0.1. Этот адрес назначен ему вне диапазона выдаваемом pfSense по DHCP. Сеть да, одна на всех. Но есть еще роутеры, но они роздают свою подсеть, в основном 192.168.1.x каждый

ErV ()
Последнее исправление: ErV (всего исправлений: 1)
Ответ на: комментарий от ErV

Но есть еще роутеры, но они роздают свою подсеть, в основном 192.168.1.x каждый

У вас в одном сегменте несколько DHCP серверов?

anc ★★★★★ ()
Ответ на: комментарий от anc

Нет, только основной шлюз. Камрады, тут такое дело…Поставил я пинговать FTP, выдернул из него шнурок а пинг идёт все равно. Пздц, походу где то еще есть 0.1… Беда. Спасибо за идею, вроде тривиально но день промахался

ErV ()
Последнее исправление: ErV (всего исправлений: 1)
Ответ на: комментарий от Serge10

Ну да, я понял. Пинг пропал где то через минуту, сейчас туда-сюда втыкаю шнурок все работает как надо. Ничего не могу понять - может сетевуха или свитч на пути к финалу?

ErV ()
Ответ на: комментарий от Deleted

Ладно, проверим на свежую голову

anonymous ()
Ответ на: комментарий от Deleted

С учетом того что это школа, где «по закону» порезан инет, предполагаю что кто-то притаскивает свой роутер и врубает в общую сеть.

2ТС выяснить виновного только кусками получиться, как писал в первом посте mky «ходить ногами» и находить методом половинного деления. Обращаю внимание, проблема может быть усугублена тем что он не один такой.

Ещё вариант. Развлечение школьников с arp spoofing.

anc ★★★★★ ()
Ответ на: комментарий от anc

Школьники arp spoofing не умеют. Возможно еще какой-то олень WAN и LAN кабели где-то перепутал, в результате там DHCP какого-то роутера раздает адреса быстрее главного роутера. У нас так в районе сетка легла провайдерская однажды.

Dima_228 ()
Ответ на: комментарий от Dima_228

Школьники arp spoofing не умеют.

Ога-ога. Просто читаем «как стать какером» и понеслась. Лет семь назад таким «какерам» «опубликовали» вариант «как сломать dns», зачем, почему я это делаю не имело смысла, главное мне дали готовое решение, ddos знатный устроили на весь мир, причем бессмысленный, просто запускали готовое «и вот я у мамки какер».

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от vasya_pupkin

Решил последовать совету многих ораторов выше и закрутить гайки по ARP, а неугодных вообще отлучить от соединения со шлюзом. Метод непопулярный, но по другому видимо не поймут…

ErV ()
Ответ на: комментарий от ErV

Решил последовать совету многих ораторов выше и закрутить гайки по ARP, а неугодных вообще отлучить от соединения со шлюзом. Метод непопулярный, но по другому видимо не поймут…

А в чем проблема твоим хулиганам сменить mac и получить валидную связку mac-ip ? :)

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от ErV

И как это спасет отца русской демократии поможет предотвратить работу ещё н-цати dhcp серверов в той же не контролируемой L2 сети? Они к вашему роутеру вообще никакого отношения не имеют.

anc ★★★★★ ()
Ответ на: комментарий от anc

Для начала хотя бы поставлю под учёт то, что есть

ErV ()

Виноватый пришел с повинной. Это «учитель» информатики который внедрил мне в сеть еще один DHCP. Расстреляли. Все работает. Всем спасибо!

ErV ()
Ответ на: комментарий от ErV

Это «учитель» информатики который внедрил мне в сеть еще один DHCP
«учитель» информатики
«учитель»

Мда, образование катиться все в большую попу... Как простите такой мудвин может чему-то учить? Если он сам такое устраивает. Мозг на уровне рептилии. Вы описали задачу на форуме и быстро нашли виновника. А «виновник» ещё детей «якобы» учит... Трудовик и то по образованнее должен быть, ТБ и так далее...

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.