Server nahle zacal prijimat pakety, ktere mu nepatri

Stepan Roh stepan na srnet.cz
Pátek Srpen 5 15:40:43 CEST 2005 

On Fri, 5 Aug 2005, Stanislav PETR wrote:

> Dne pátek 05 srpna 2005 11:58 Stepan Roh napsal(a):
>> On Fri, 5 Aug 2005, Petr Šobáň wrote:
>>> Stepan Roh napsal(a):
>>>> Konfigurace je nasledujici:
>>>>
>>>> Gateway (s jadrem 2.4.29) ma dve sitovky, eth0 ven (konkretne do UPC) s
>>>> adresou 1.2.3.4 (maska 255.255.255.0), eth1 je vnitrni s IP 10.0.0.1
>>>> (maska 255.0.0.0). Pro vnitrni sit se provadi maskarada. Je tam take
>>>> nakonfigurovan firewall pres ipchains.
>>>>
>>>> Ted problem:
>>>>
>>>> Vcera zniceho nic stoupl mnohonasobne pocet zalogovanych odmitnutych
>>>> paketu. Kdyz jsem se na ne podrobne podival, tak jsem ke svemu
>>>> prekvapeni zjistil, ze nejsou vubec urceny memu stroji a nektere nejsou
>>>> dokonce ani ze stejne podsite (dle masky). Zda se, ze server prijima
>>>> vsechny pakety, ktere se ocitnou na stejnem "segmentu" UPC.
>
> Vzhledem k tomu, ze se modem (pokud mate ten samej co ja - cerna 
> "ploutev" od Motoroly) chova jako bridge, mel by propoustet "jen" pakety 
> s vasi cilovou MAC adresou. Takze se zkuste tcpdumpem podivat, jestli je 
> to spravne, pokud ne, zkuste ten modem restartovat. Pokud to nepomuze, 
> zkuste zkontrolovat, jestli neni Vase sitova karta v promiskuidnim modu 
> (tim by si o to "pozadala" sama, ale je mi divny, ze by tomu ten modem 
> vyhovel).

Modem mam lezaty Thomson, restartovat jsem ho zkusil a nepomohlo to. 
Sitovka v promiskuitnim modu neni:

# ip link
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
     link/ether 00:00:b4:ab:33:eb brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
     link/ether 00:00:b4:ac:78:f5 brd ff:ff:ff:ff:ff:ff

A jelikoz jsem se konecne dopatral toho, ze tcpdump vidi i pakety 
odmitnute paketovym filtrem, tak jsem zkusil tcpdump -p -e -n -i eth0 a 
vysledkem je, ze zahada je mozna vyresena: vsechno jsou to ethernet 
broadcasty. Je tam spousta legitimnich ARP dotazu apod., ale zde jsou dva 
podivuhodne priklady za vsechny zbyle:

15:18:10.192445 00:00:ca:f5:76:27 > ff:ff:ff:ff:ff:ff, ethertype IPv4 
(0x0800),length 418: 61.175.164.50.2315 > 86.49.13.194.1434: UDP, length 
376

15:18:32.324060 00:00:ca:f5:76:27 > ff:ff:ff:ff:ff:ff, ethertype IPv4 
(0x0800),length 78: 222.232.18.185.4807 > 86.49.11.140.139: S 
3657899717:3657899717(0) win 53760 <mss 1460,nop,wscale 
3,nop,nop,timestamp 0 0,nop,nop,sackOK>

Podivuhodne mi pripadaji, protoze jsou to ethernet broadcasty (mam pravdu, 
ze?) s pakety z Ciny a Koreje, coz urcite neni cast UPC. Jako odesilaci 
MAC adresa je vzdy 00:00:ca:f5:76:27, coz je MAC adresa defaultni gateway 
pro moji podsit (86.49.11.1, moje IP je 86.49.11.245, maska 
255.255.255.0). To by me zajimalo, proc rozesila takoveto broadcasty. 
Nezda se mi to korektni.

Diky vsem za nakopnuti spravnym smerem, chyba zrejme nebude u mne. Kdyby 
mel jeste nekdo nejakou teorii, tak sem s ni. Diky.

S pozdravem,

Stepan Roh

Další informace o konferenci Linux