[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: problem z arpwatchem ...

Witaj,

m>> moze grsecurity ? jest zpatchowane, troche rzeczy wlaczone...
M> nie znam tego, ale to nie ta dziedzina chyba

bez grsecurity - serwer - nie bardzo sobie to wyobraza :]
moze w domowym zaciszu :)
ale nie przy tysiacach uzytkownikow w LANie :)
jest to masa dodatkow na kernel, poteznych narzedzi ktore bardzo latwo
jest wlaczyc i skonfigurowac - wlasciwie prawie nie ma konfiguracji.
pojawia sie /proc/costam/.../grsecurity/.... troche plikow PROCowatych
;-) w ktorych mozna poustawaic mnostwo parametrow.


M> hmmmmmm.... proxyarp ?
M> jesli odpowiedzi na zapytania inne niz .1.1 tez od serwera ida to na
M> 99% proxyarp

hmmm, nie bardzo rozumiem....
np.
arp who-has 192.168.0.43 tell 192.168.1.144
  # zatem 144 pyta po broadcast jaki mac ma ip 43
  # na to powinna sie pojawic odpowiedz od 43 "czesc mam taki a taki mac
  # "is-at mac"
arp reply 192.168.0.43 is-at 0:a:5e:4:f4:15
  # a to jest MAC serwera.

zatem ?
[hmmm zastanawialo mnie skad to sie wzielo na serwerze ... ale to jest
broadcast jesli dobrze rozumiem, zatem tcpdump wychwyci na serwerze.
{pytanie kto te odpowiedz wysyla - czy serwer czy ten komp  - realnie
- tylko jak to sprawdzic ...}


Jesli dobrze rozumiem proxy_arpa - to jest to wlaczenie fragmentu kodu
kernela ktory przykazuje pakiety ARP z jednego interfesju na drugi lub
do samej maszyny. tak ?

==

gdyby nawet to byl proxy arp - to da sie jakos skonfigurowac arpwatcha
- by logowal tylko prawidlowe zmiany ? proby podszycia etc... ?


m>> rpfilter=1
M> to ma wplyw na ARPy ?

jesli wylaczylem rpfilter to mialem troche flodow z localhosta - ale
to byl jeden koles, juz go nie ma. czy ma wplyw na arpy - hmm kolega
(drugi admin) twierdzi ze tak, ja - szczerze powiedziawszy nie jestem
pewnien, choc bardziej bym byl sklonny powiedziec ze nie bo to troche
inna bajka.

-- 
Pozdrowienia,
 Marcin.
Reply to: