[résolu] mac adress incomplète dans la table ARP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[résolu] mac adress incomplète dans la table ARP

Messagepar AlainV. » 11 Sep 2005 16:36

Bonjour

Ceci est mon premier post. Je me présente en essayant d'être bref.
Pour mon entreprise (petite) je souhaite mettre toutes les machines (NT4/NT2K/Linux) derrière un seul firewall.
- Phase 1 = les machines Linux, sauf les Samba, sur la patte verte.
- Phase 2 = les Samba plus les NT sur la patte verte mais avec interdiction d'aller sur orange+rouge.
Ultérieurement, sur la patte orange, il y aura des services offerts à l'extérieur.

Avant de mettre en production, j'ai installé IPCop 1.4.8 sans addons sur une machine de test située derrière un boîtier routeur/firewall connecté au fai en adsl.
Les règles sont celles de l'install par défaut.
Il n'y a pas eu d'alias mis sur les interfaces.

La config IPCop du test est :
eth2 = 192.168.1.109 = ip reçue du routeur. Aucune autre machine n'est connectée physiquement sur ce brin
eth1 = 192.168.2.109 = Aucune machine n'est connectée physiquement
eth0 = 192.168.3.109 = serveur dhcp avec plage de 3 adresses réservées. Une seule machine est connectée physiquement sur ce brin.
Code: Tout sélectionner
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth2

Depuis le début de ce test avec IPCop, j'observe que le routeur "route", que le firewall "filtre" et que la translation "translate".
Je ne vois rien d'anormal. La présence d'IPCop est totalement transparente.
14:46:30 up 7 days, 4:26, 1 user, load average: 0.02, 0.01, 0.00

La question que je vous soumet :
Dans quelle direction dois-je m'orienter pour assainir cette table ARP qui me montre la même interface eth2 ayant deux ip différentes et deux mac adress dont une incomplète?
Code: Tout sélectionner
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.1              ether   00:xx:xx:xx:xx:A3   C                     eth2
192.168.1.107                    (incomplete)                              eth2
192.168.3.107            ether   00:yy:yy:yy:yy:89   C                     eth0

Les deux mac adresses ont été masquées. Elles correspondent bien à leur carte respective.

Merci beaucoup d'avance pour vos réponses et ... je n'ai que deux semaines d'expérience avec IPCop.
Dernière édition par AlainV. le 14 Sep 2005 14:15, édité 1 fois au total.
AlainV.
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 10 Sep 2005 15:53
Localisation: Région parisienne

Messagepar Gesp » 13 Sep 2005 13:28

Code: Tout sélectionner
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.1              ether   00:xx:xx:xx:xx:A3   C                     eth2
192.168.1.107                    (incomplete)                              eth2
192.168.3.107            ether   00:yy:yy:yy:yy:89   C                     eth0


Le message avec adr MAC incomplète est quand l'IP a été demandé mais qu'aucune machine n'a répondu à la requête. Donc la résolution IP=>MAC ne peut se faire.

La seule solution pour épurer la table est de ne pas demander l'adresse d'une machine inexistante ;-)

eth2 n'a pas plusieurs adresses dans la table arp.
Mais plusieurs adresses peuvent être résolues dans le segment de réseau correspondant à eth2, en fonction du masque de sous-réseau.

Etant donné le masque 255.255.255.0, 192.168.1.107 devrait être situé sur le réseau relié à l'interface eth2
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar AlainV. » 14 Sep 2005 04:19

plusieurs adresses peuvent être résolues dans le segment de réseau correspondant à eth2,
Je vais donc commencer par m'acharner sur le brin rouge eth2 côté boîtier-routeur.

Il y a une plage de 4 adresses réservées :
192.168.1.106 à 109. La 192.168.1.107 de machine-inexistante est donc située ici.
Si je la supprime cela devrait assainir la table ARP d'IPCop.
Je réduit donc cette plage à une seule adresse réservée : 192.168.1.109 pour l'IPCop.
Le boîtier-routeur est mis OFF/ON. IPCop enregistre 5 INPUT.
La présentation de la table ARP a changé mais machine-inexistante demande toujours 192.168.1.107.
Code: Tout sélectionner
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.1              ether   00:xx:xx:xx:xx:A3   C                     eth2
192.168.3.107            ether   00:yy:yy:yy:yy:89   C                     eth0
192.168.1.107                    (incomplete)                              eth2

Je me note dans un coin que 192.168.1.107 de machine-inexistante ressemble bizarement à 192.168.3.107 de machine-existante.

Si dans la table ARP je change eth2<--->192.168.1.1, y aura-t-il une réaction sur eth2<--->192.168.107?
Pour le savoir je change la réservation en 192.168.1.88. je n'ai pas accès à la durée du bail.
Le boîtier routeur est mis OFF/ON. IPCop enregistre 4 INPUT
J'oserai bien tuer pppd et redémarrer le réseau mais il faudrait que je trouve /etc/init.d/network dans la structure de LFS car je n'y suis pas habitué.

ifconfig eth2 sur IPCop affiche 192.168.1.109 alors que sa plage réservée dans le DHCP est l'unique 192.168.1.88.
L'accès à internet n'est pas rompu.
Je reviens demain.
04:13:03 up 9 days, 17:53, 1 user, load average: 0.00, 0.00, 0.00
Dernière édition par AlainV. le 14 Sep 2005 10:32, édité 3 fois au total.
AlainV.
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 10 Sep 2005 15:53
Localisation: Région parisienne

Messagepar AlainV. » 14 Sep 2005 10:28

6 h plus tard la table ARP a été assainie.
09:59:24 up 9 days, 23:40, 1 user, load average: 0.08, 0.02, 0.01
Code: Tout sélectionner
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.1              ether   00:xx:xx:xx:xx:A3   C                     eth2
192.168.3.107            ether   00:yy:yy:yy:yy:89   C                     eth0


- la plage d'adresses réservées dans le boîtier routeur est toujours l'unique 192.168.1.88
- l'ip de eth2 est toujours 192.168.1.109
- la connexion internet n'est toujours pas rompue
Je remettrai la plage des 4 adresses réservées initiales afin de vérifier l'entrée dans la table ARP d'IPCop pour vérifier la reproductibilité du problème.

Cela m'amène la remarque suivante. Cela concerne la sécurité.
Comment se fait-il qu'une ip réservée dans le DHCP du boîtier routeur "qui-n'avait-pas-de-machine" et qui n'avait pas été utilisée depuis 10 jours par "machine-qui existe" (192.168.3.107 pendant le test IPCop/ 192.168.1.107 avant le test IPCop) pouvait-elle persister compte tenu des OFF/ON?

En tout cas, un grand merci à Gesp pour le coup de pouce.
AlainV.
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 10 Sep 2005 15:53
Localisation: Région parisienne

Messagepar AlainV. » 17 Sep 2005 01:34

Quelques heures plus tard, comme la table ARP réaffichait l'anomalie initiale,
Code: Tout sélectionner
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.1              ether   00:xx:xx:xx:xx:A3   C                     eth2
192.168.1.107                    (incomplete)                              eth2
192.168.3.107            ether   00:yy:yy:yy:yy:89   C                     eth0

j'ai ressorti ma note du 14 septembre plus haut. Celle-ci disait que 192.168.1.107 de machine-inexistante ressemblait bizarement à 192.168.3.107 de machine-existante.

J'ai remplacé cette machine 107 successivement par plusieures autres.
A chaque fois la table ARP est systématiquement et immédiatement épurée.

Un début d'investigation dans /etc/iftab + ifrename de machine 107 montre une mac adress inconnue du parc machines. Il s'agit probablement d'une anomalie sur la carte désactivée Gigabit intégrée à la carte mère.

La source du problème à donc été indentifiée.
AlainV.
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 10 Sep 2005 15:53
Localisation: Région parisienne


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron