Forums:
:? :?
Buenas noches
Paso a comentarles lo que me acaba de suceder..
Tengo una red con 10 maquinas con un servidor CentOS..trabajando como Firewall, Proxy y demás arandelas..En la red tengo 4 maquinas Guin2.. las cuales navegaban sin problemas hasta el día de hoy.. resulta que de un momento a otro estas maquinas dejaron de navegar e inclusive no ven los recursos de red local..aunque el servidor DHCP si les asigna dirección y las tarjetas de red las toma..pero nada mas..noto que puedo hacerle ping a servidores DNS ubicados en Internet, pero no puedo hacerle Ping al DNS Local, ni tampoco me responde la Ip del Proxy.. algo extraño..
Me puse a revisar las maquinas pensando que eran problema de estas..pero me dio por conectarlas directamente al Modem de Internet y funcionaron sin problemas navegando.. ay si me cabreo..
Las maquinas Linux siguen trabajando y navegando sin problemas,,, pero estas Guin2..nada si las vuelvo a integrar a la red LAN toman la direccion IP del DHCP sin problemas.. pero ahi se quedan inmoviles..sin navegar ..y sin poder ver los recursos compartidos de la red como impresoras y unidades de disco..
Que podra ser el asunto.. :sick: :sick:
No sería raro que sea virus,
No sería raro que sea virus, alguno que inunde la red con paquetes malos o peticiones de broadcast, eso suele inhabilitar la red, o podría estar más abajo el problema y ser problema de red, tienes vlans, switch administrable o alguna configuración especial ...???
has monitoreado la red con un sniffer por ejemplo para ver que es lo que están tratando de hacer esas máquinas y porque son dropeados los paquetes que estas generan ...???
[quote=Mirrortech]..noto que puedo hacerle ping a servidores DNS ubicados en Internet ...[/quote]
Tal parece que los paquetes ICMP que no se dirigen a tu red interna no tienen problemas, te aconsejo sniffear la red a ver si encuentras algo raro ...
bye
;)
en broma: qué bueno que no
en broma: qué bueno que no naveguen, así menos virus hacia internet!
ahora en serio: no habrás implementado vlans? no habrás bloqueado esas ips en el firewall? no digas simplemente no, revisa porque por ahi puede estar el lío.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Algo así iba a ser mi
Algo así iba a ser mi respuesta :D ...
Hay que preguntarse si se tiene problemas con güin2 o es que güin2 es el problema ??? :D
Lástima que no siempre se pueda botar esos trastos (los de moco$oft) e instalar algo decente ...
bye
;)
EPE, si tengo 1 switch
EPE, si tengo 1 switch administrable de 9 puertos con 3 VLANs, pero lo que se me hace raro es que las maquinas LINUX siguen funcionando sin problemas, navegando y estas pueden ver los recursos compartidos que hay en el servidor.
Las VLAN estan asi.
VLAN1...solo 2 puertos, conectados 1 al CAbleMOdem y el otro a la eth1 del servidor
VLAN2..Solo 2 puertos, conectados 1 al AP WIFI y el otro al eth3
VLAN3...El resto de puertos 5, donde esta conectada la eth0 con 4 interfaces virtuales para servicios adicionales que tengo..y trafico SIP del PBX
Este Switch lo tengo monitoreado con CACTI, funcionanado sin problema alguno..
Tengo el WIRESHARK , este me servira para el monitoreo de la red??
ATT
POST.. Ohhohh..acabo de encontrarme con un detalle..le cambie la direccion IP asignada por el DHCP a 1 de las maquinas, se la puse estatica con mi DNS local.. y Wooala..esta quedo funcionando de nuevo..
Que pudo haber sucedido..sera el FAIL2BAN..el PORTSENTRY..el HOSTSENTRY??? que de alguna manera bloqueo estas IP´s por algún motivo de virus??
Donde puedo cerciorarme de tal cuestion...???
revisa los logs de fail2ban,
revisa los logs de fail2ban, etc a ver que te dicen ...
usa un sniffer para ver el tráfico de estas máquinas, puede ser snort o tcpdump ...
bye
;)
Analizando el Log de
Analizando el Log de PORTSENTRY, tengo las siguientes lineas..
proxy portsentry[28395]: attackalert: TCP SYN/Normal scan from host: 192.168.186.85/192.168.186.85 to TCP port: 135
Oct 4 16:46:21 proxy portsentry[28395]: attackalert: Host 192.168.186.85 has been blocked via dropped route using command: "/sbin/iptables -I INPUT -s 192.168.186.85 -j DROP"
Parece ser que por algun motivo el PORTSENTRY me esta bloqueando la Ip..
Algo para revisar???
pues el mensaje: TCP
pues el mensaje:
TCP SYN/Normal scan from host: 192.168.186.85
Dice que detectó un scan TCP SYN desde ese host y por eso lo bloqueó, o es virus o es un usuario que se las está dando de hacker ...
bye
;)