ip cim utkozes detektalasa

Debian GNU/Linux

ip cim utkozes detektalasa

  • 928 megtekintés

( antiemes | 2004. 11. 04., cs – 17:10 )

Hi!

A sambas gepek mennyire toltenek rola aktivan? Mekkora a netforgalom?

By(t)e
TBS::Antiemes

( Bojtosarpad | 2004. 11. 04., cs – 17:57 )

mocsi: a te hozzaszolasod nem ertem. "IDE" vinyot jelentene vagy vezerlest?

Hogy mennyire aktivan toltenek. Van ezen a szerveren windows ,office stb installok, driverek es (amit 90%ban hasznalnak a gepek) cdjogtar / iratmintatar.

Netforgalmat probaltam korlatozni mivel eddig barmit csinalhattak a masq-olt gepek. Jelenleg csak web, ftp, smtp, pop3.
Szerintem azota csokkent a netes forgalom miota ezt bevezettem.
A tuzfal szabalyok nem bonyolultak. Alapbol tiltani mindent majd ezeket a szolgaltatasokat engedni. Ez nem bonyolult.

Az ip cimek szukossege miatt sajnos ez a gep a sajat halozataba is maszkol.

Pl. egyik ethernet kartya haloja a 192.168.0.0/24 a masik kartya haloja pedig 10.0.0.0/24

Ezen keresztul sok sql keres megy.
Tehat nem eleg, hogy a net fele maszkol sok gepet hanem meg annyi gepet a masik haloba is. De lehet ez nem szamit mert a top ezt mutatja:

Tasks: 154 total, 1 running, 153 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.2% user, 0.7% system, 0.0% nice, 99.1% idle
Mem: 516196k total, 508332k used, 7864k free, 6064k buffers
Swap: 177400k total, 0k used, 177400k free, 350556k cached

Talan a ram keveske?

Sparco:/home/arpi# ps aux |grep smbd | wc -l
165
Ennyi samba fut.

A DHCP egyszeri keres elvileg. Viszont a syslogot nezve nem telik el ugy 2-3 masodperc hogy valami winfos ne kerje ujra a cimet vagy epp frissitse.

( lacika v | 2004. 11. 04., cs – 22:19 )

A DHCP lease timeját állítsd nagyobbra és nem fogják sűrűn kérni a címeket

Laci

( lacika v | 2004. 11. 04., cs – 22:20 )

A Sambának jól jön a sok ram
hdparm /dev/hda mit mond?

Laci

( pete | 2004. 11. 04., cs – 23:00 )

[quote:09469385d3="lacika"]A DHCP lease timeját állítsd nagyobbra és nem fogják sűrűn kérni a címeket

Laci

Igy van, sot ha nagyon kicsi a lease time, abbol is baj lehet. Mas: a top-bol kihagytad a load sort, ami nem a pilanatnyi, hanem a kicsit hosszab tavu adatokat mutatja.

( Bojtosarpad | 2004. 11. 08., h – 08:00 )

SAMBA és NETmegosztás egy gépen nagy merészség!

Feltetelezem ezt nem eroforrasigeny hanem biztonsag szempontjabol nezve irtad. Ezzel tisztaban vagyok de probaltam ellensulyozni csomagszurovel azon felul, hogy a router sem enged be kivulrol "elvileg" semmit.

Lehet tenyleg kulon veszem 2 gepre a szolgaltatasokat.

Viszont ez az ethernetkartyas overrun piszkalja az agyam.

Elkepzelheto, hogy ez a bunos es alapjaba veve a szerver jol mukodne. Csereljek kartyat?

( mocsi | 2004. 11. 05., p – 07:40 )

Igen IDE HDD-re gondoltam.
Samba + ~200-250 ember+IDE nem jo kombinacio.

( Bojtosarpad | 2004. 11. 05., p – 09:21 )

potolom a top hianyzo reszet:

top - 09:08:28 up 5 days, 23:42, 2 users, load average: 0.15, 0.04, 0.01

Hdparm eredmenyek:

(Hda a rendszer , hdc a samba-s cucc)

Sparco:/home/arpi# hdparm /dev/hda

/dev/hda:
multcount = 16 (on)
IO_support = 1 (32-bit)
unmaskirq = 1 (on)
using_dma = 1 (on)
keepsettings = 0 (off)
readonly = 0 (off)
readahead = 8 (on)
geometry = 1023/64/63, sectors = 2111864832, start = 0
Sparco:/home/arpi# hdparm /dev/hdc

/dev/hdc:
multcount = 16 (on)
IO_support = 1 (32-bit)
unmaskirq = 1 (on)
using_dma = 1 (on)
keepsettings = 0 (off)
readonly = 0 (off)
readahead = 8 (on)
geometry = 4866/255/63, sectors = 40027029504, start = 0

Dhcp lease time-jat atallitottam.
Eddig:
default-lease-time 600;
max-lease-time 7200;

Mostmar:
default-lease-time 7200;
max-lease-time 14400;

Ugy olvastam valahol, hogy a beallitott ertek kb felenel a kliens megprobalja a jelenlegi ipjet meghosszabbitani. Mivel gondolom ez az ertek masodpercet jelent a 7200 2 orat jelent, es ha a felet veszem 1 ora.
Eleg ha orankent jelentkezik a kliens a szervernel. De lehet eleg lenne 2 vagy 3 ora is.

( lacika v | 2004. 11. 05., p – 10:34 )

Igen a sok user + IDE hdd tényleg nem az igazi megoldás.
A load azt mutatja, hogy nincs agyonterhelve a szerver.
ifconfig eth0
ifconfig eth1
-nél nincsenek overrun, drop, error értékek?

Laci

( mocsi | 2004. 11. 05., p – 12:16 )

Nálam egy 80-90 gépes kis hálón a dhcp-t + intranet-et + belső ftp-t egy Cel 266-os végzi vígan, sőt az dma ki van kapcsolva mert a via vezérlő DriveSeekError -okat dobált óránként 10x. A DHCP nálam 1800s-os TTL-el van.

( Bojtosarpad | 2004. 11. 05., p – 13:46 )

Hmm. overruns az egyik ethernet kartyanal 255 a masiknal 28
A tobbi ertek mindkettonel nulla.

eth0:

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:32319094 errors:0 dropped:0 overruns:225 frame:0
TX packets:24353013 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3459099912 (3.2 GiB) TX bytes:1152804861 (1.0 GiB)
Interrupt:12 Base address:0xd800

eth1:

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:25846443 errors:0 dropped:0 overruns:28 frame:0
TX packets:35056457 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1270327563 (1.1 GiB) TX bytes:275749112 (262.9 MiB)
Interrupt:5 Base address:0xdc00

Ezt viszont nem tudom mit jelent. Rakerestem most google-val erre de eddig ertelmes dolgot nem lattam.

Mi okozhatja?

( Bojtosarpad | 2004. 10. 30., szo – 10:59 )

Ez az a problema amit eddig nem talaltam a temak es hozzaszolasok kozott.

A problemam az, hogy kb 2-3 eve mukodik egy file szerverem samba-val. Eddig semmi problema nem volt vele viszont egy ideje furcsa dolgot produkal a masina. Halozaton keresztul hol elerheto hol nem.

Nem csak egy bizonyos szolgaltatasa nem erheto el hanem az egesz gep. Pingre-se reagal.
Ha elerhetove valik, belepek sshval es rovid idon belul ujbol megszakad a kapcsolat, majd par perc (1-2) elteltevel ujbol lehet csatlakozni.

Mikor ezt eszrevettem, kicsereltem a halokartyakat. 2 darab 3com van benne. A problemara nem volt megoldas igy a kartyakat visszatettem. Ezutan jott az alaplap es proci csereje, es mondom biztos ami biztos cserelek kernelt is hatha... 2.4.20 volt. Feltettem egy 2.4.27-et. A problema megszunt. Kb 2 hetre. Most ujbol elkezdte.

Viszonylag nagy gondot jelent mivel egy gw es egy fileserver is egyben a kicsike. Kiszolgal kb 200 gepet es van benne egy 700-as cerka meg 500 MB ram.

gyanakszom az ip cim utkozesre. Anno csinaltam egy masik szervert es hasonlo kepp szivatott. Kiderult, hogy egy masik gep is azt az ip-t hasznalta amit nekem mondtak. Az ip csereje utan a problema megszunt.

Mivel jelenleg nem kivitelezheto konnyen a szerver ipjenek a csereje valahogy detektalnom kene, hogy valaki hasznalni akarja-e a szerver ipjet.

Erre mondjatok valami hasznalhato megoldast vagy otletet, vajon miert rakoncatlankodik ez a gepecske.

A rendszer (debian woody volt,) jelenleg sarge.

Ja es megvalami. Ifconfig collisions:0 -t mutat. Felteve ha ez erre a kerdesemre adna tokeletes valaszt.

( pete | 2004. 11. 05., p – 17:22 )

kabel hiba, sz@r switch ilyesmi

yahoo:
http://www.cisco.com/univercd/cc/td/doc/cisintwk/itg_v1/tr1904.htm

a lap aljan:

overrun

Shows the number of times that the receiver hardware was incapable of handing received data to a hardware buffer because the input rate exceeded the receiver's capability to handle the data.

Vagyis kb. a kartya nem birja a vezetekrol levenni az ethernet keretet es pufferbe rakni olyan gyorsan, hogy ne szaladjon ra a kovetkezo.

( macroharddoors v | 2004. 10. 30., szo – 11:56 )

amikor elkezdi a depresszózást a szervered akkor huzd le a hálóról és ugyanazon a hálózaton kezd el pingelni a broadcastot (pl.: ping 192.168.1.255 bizonyos oprendszerek alatt kell neki egy -b kapcsoló is. ) egy másik gépről, néhány timeout után szakítsd meg a pinget és írd be: arp -an, erre fogsz kapni egy ip/arp táblát a subneted-ről, nézd meg, hogy ott van-e a szervered ip címe, ha igen akkor a mellette lévő mac address-t felírod és körberohansz a hálózaton megkeresni a bűnös gépet .

( Toma_ | 2004. 11. 05., p – 21:10 )

[quote:78312f2546="Bojtosarpad"]
Tasks: 154 total, 1 running, 153 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.2% user, 0.7% system, 0.0% nice, 99.1% idle
Mem: 516196k total, 508332k used, 7864k free, 6064k buffers
Swap: 177400k total, 0k used, 177400k free, 350556k cached

Talan a ram keveske?

Sparco:/home/arpi# ps aux |grep smbd | wc -l
165
Ennyi samba fut.

A DHCP egyszeri keres elvileg. Viszont a syslogot nezve nem telik el ugy 2-3 masodperc hogy valami winfos ne kerje ujra a cimet vagy epp frissitse.

Erdekes, hogy a mem full tele szinte, a swapot meg nem hasznalja. Mukodik a swap particio?

Toma_

( Bali v | 2004. 10. 30., szo – 12:25 )

[quote:6845a0ccf1="macroharddoors"]amikor elkezdi a depresszózást a szervered akkor huzd le a hálóról és ugyanazon a hálózaton kezd el pingelni a broadcastot (pl.: ping 192.168.1.255 bizonyos oprendszerek alatt kell neki egy -b kapcsoló is. ) egy másik gépről, néhány timeout után szakítsd meg a pinget és írd be: arp -an, erre fogsz kapni egy ip/arp táblát a subneted-ről, nézd meg, hogy ott van-e a szervered ip címe, ha igen akkor a mellette lévő mac address-t felírod és körberohansz a hálózaton megkeresni a bűnös gépet .

ez hulyeseg, ezzel az erovel megpingeli a "bunos" ip-t es ha letezik miutan lehuzta a gepet, akkor az ip-t keresve rohangal korbe... ez egyszerubb es pont ugyanolyan hatastalan :lol:
raadasul ha nem pingeleheto, akkor a boradcast pinggel sem m1 semmire :lol:

eressz ra egy nmap -P0 -t az ip-re es kesz. buta, egyszeru, gyors, hatekony :P

( rol | 2004. 10. 30., szo – 16:37 )

Hali!

gyanakszom az ip cim utkozesre. Anno csinaltam egy masik szervert es hasonlo kepp szivatott. Kiderult, hogy egy masik gep is azt az ip-t hasznalta amit nekem mondtak. Az ip csereje utan a problema megszunt.

Probald ki az arpwatch-ot, az majd jol jajgat, ha egy masik gep felveszi a szervered ip cimet (megmondja a MAC address-et is).

BYe
Roland

( Bojtosarpad | 2004. 11. 04., cs – 12:36 )

Ugy tunik IP cim utkozes megsincs. Legalabbis az arpwatc-al figyelgetve.

Talan sok lenne a gepnek egyszerre dhcp-n cimet osztani, masq-olni es sambazni?

Dhcp-vel kb 200 gepet szolgal ki, masq-ol kb ugyanennyit (ugyanezeket a gepeket) es sambaval kiszolgal vagy 300 gepet.
Ehhez a hardver 700 cel, 512 ram es 2 darab 3com (3c59x) 10/100 ethernet kartya.

Velemeny?

( mocsi | 2004. 10. 30., szo – 18:11 )

[quote:6687c71371="Bali"][quote:6687c71371="macroharddoors"]amikor elkezdi a depresszózást a szervered akkor huzd le a hálóról és ugyanazon a hálózaton kezd el pingelni a broadcastot (pl.: ping 192.168.1.255 bizonyos oprendszerek alatt kell neki egy -b kapcsoló is. ) egy másik gépről, néhány timeout után szakítsd meg a pinget és írd be: arp -an, erre fogsz kapni egy ip/arp táblát a subneted-ről, nézd meg, hogy ott van-e a szervered ip címe, ha igen akkor a mellette lévő mac address-t felírod és körberohansz a hálózaton megkeresni a bűnös gépet .

ez hulyeseg, ezzel az erovel megpingeli a "bunos" ip-t es ha letezik miutan lehuzta a gepet, akkor az ip-t keresve rohangal korbe... ez egyszerubb es pont ugyanolyan hatastalan :lol:
raadasul ha nem pingeleheto, akkor a boradcast pinggel sem m1 semmire :lol:

eressz ra egy nmap -P0 -t az ip-re es kesz. buta, egyszeru, gyors, hatekony :P

khm en jartam mar igy, szinten amikor a gep leesett egy masik Linux-rol arping az.ip.cim
[code:1:6687c71371]arping -c 5 10.11.12.200
ARPING 10.11.12.200 from 10.11.12.232 eth0
Unicast reply from 10.11.12.200 [00:50:8B:AE:7E:5E] 0.638ms
Unicast reply from 10.11.12.200 [00:50:8B:AE:7E:5E] 1.248ms
Unicast reply from 10.11.12.200 [00:50:8B:AE:7E:5E] 0.629ms
Unicast reply from 10.11.12.200 [00:50:8B:AE:7E:5E] 0.631ms
Unicast reply from 10.11.12.200 [00:50:8B:AE:7E:5E] 0.625ms
Sent 5 probes (1 broadcast(s))
Received 5 response(s)
[/code:1:6687c71371]

Nehany aktiv eszkoz (valami szirszar VPN TElindus cucc) sajnos valaszol a pingre ha kell ha nem.

( Bojtosarpad | 2004. 11. 06., szo – 20:34 )

Mukodnie kell mivel a rendszernek be van love es van meg vagy 5 szerverem ami tokeletesen mukodik.

Erdekes ez a router / switch problema. Elkepzelheto de nem biztos, hogy ilyen jellegu bajom volna.

Esetleg mas otlet?

( Toma_ | 2004. 11. 06., szo – 23:49 )

[quote:11021dd4f8="Bojtosarpad"]
Mukodnie kell mivel a rendszernek be van love es van meg vagy 5 szerverem ami tokeletesen mukodik.

?
;)

( th v | 2004. 11. 07., v – 01:03 )

Egy hulye kerdes, de ugye a dhcp -d veletlenul se akarja kiosztani a szervered ipjet az alhalozatanak?

( darksoft | 2004. 11. 07., v – 07:14 )

Én a probléma kiküszöbölését máshogy oldanám meg, mint amik itt fel lettek sorolva.

1. SAMBA és NETmegosztás egy gépen nagy merészség! Csinálj egy P1-es (64MB RAM) gépből (bőven elég) egy proxy-t (iptables+NAT+SQUID), és a SAMBA teljesen legyen külön. A SAMBA is legyen ellátva egy kis csomagszűréssel, miszerint csak a lokális hálóról lehessen elérni.

2. A SAMBA gépen a DHCP úgy legyen beállítva, hogy a címek kiosztása pl. 192.168.1.20-tól 192.168.1.250-ig legyen behatárolva. A SQUID gép címe legyen 192.168.1.1, a SAMBA 2 db kártyáé pedig 192.168.1.10 és 192.168.1.11.

Én így csinálom, és soha nem volt még probléma. Ezek után már nagyon érdekes lenne, ha baj történne.

( darksoft | 2004. 11. 07., v – 07:18 )

[quote:67e2ec4390="darksoft"] A SAMBA is legyen ellátva egy kis csomagszűréssel, miszerint csak a lokális hálóról lehessen elérni.

Bocsesz... csomagszűrés helyett routolást akartam írni :-)

( pete | 2004. 11. 04., cs – 16:01 )

Nem biztos hogy kevés. A DHCP ugye egyszeri valami, a Samba főleg file átvitel, nem (szabadna) CPU igényesnek lenni.

A masq/nat attól függ. Bonyolult tűzfalszabályoknál megültetheti a gépet. TOP mit mutat? nosferatu járt úgy, hogy vmi bug miatt 30 fole ment a load :?

( mocsi | 2004. 11. 04., cs – 16:01 )

[quote:89426fbebd="Bojtosarpad"]Ugy tunik IP cim utkozes megsincs. Legalabbis az arpwatc-al figyelgetve.

Talan sok lenne a gepnek egyszerre dhcp-n cimet osztani, masq-olni es sambazni?

Dhcp-vel kb 200 gepet szolgal ki, masq-ol kb ugyanennyit (ugyanezeket a gepeket) es sambaval kiszolgal vagy 300 gepet.
Ehhez a hardver 700 cel, 512 ram es 2 darab 3com (3c59x) 10/100 ethernet kartya.

Velemeny?

Ha IDE a picha keves.