URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 469
[ Назад ]

Исходное сообщение
"неведомая муть"
Отправлено reboot , 23-Янв-13 09:57

На cisco 2651xm поднят NAT
приходится раз в несколько дней перезагружать устройство потому что перестает нормально работать доступ в интернет-медленно открываются любые страницы грузятся по две-три минуты
при этом из внутренней сети dns резолвится,trace бегает
заменил устройство на 870 та же хрень максимум два дня работает нормально
поставил на время машину с freebsd,в ipfw вижу много отлупов для пакетов приходящих на внешний интерфейс -dns response пакетов с внутренними адресами,это кто-то dns нашего прова спуфит,подставляя в качестве исходного адреса наш внешний ip?
не пойму откуда начинать плясать, если это атака то почему проблема исчезает после презагрузки

Содержание

неведомая муть,McS555, 11:19 , 23-Янв-13
- неведомая муть,Merridius, 14:01 , 23-Янв-13

Сообщения в этом обсуждении

"неведомая муть"
Отправлено McS555 , 23-Янв-13 11:19

>[оверквотинг удален]
> приходится раз в несколько дней перезагружать устройство потому что перестает нормально
> работать доступ в интернет-медленно открываются любые страницы грузятся по две-три минуты
> при этом из внутренней сети dns резолвится,trace бегает
> заменил устройство на 870 та же хрень максимум два дня работает нормально
> поставил на время машину с freebsd,в ipfw  вижу много отлупов для
> пакетов приходящих на внешний интерфейс  -dns response пакетов с внутренними
> адресами,это кто-то dns нашего прова спуфит,подставляя в качестве исходного адреса наш
> внешний ip?
> не пойму откуда начинать плясать, если это атака то почему проблема исчезает
> после презагрузки
Ну для начала можешь поставить днс  8,8,8,8
И выложить нам конфиг + в момент зависания sho logg (если включено),sho ip nat trans

"неведомая муть"
Отправлено Merridius , 23-Янв-13 14:01

>[оверквотинг удален]
>> заменил устройство на 870 та же хрень максимум два дня работает нормально
>> поставил на время машину с freebsd,в ipfw  вижу много отлупов для
>> пакетов приходящих на внешний интерфейс  -dns response пакетов с внутренними
>> адресами,это кто-то dns нашего прова спуфит,подставляя в качестве исходного адреса наш
>> внешний ip?
>> не пойму откуда начинать плясать, если это атака то почему проблема исчезает
>> после презагрузки
> Ну для начала можешь поставить днс  8,8,8,8
> И выложить нам конфиг + в момент зависания sho logg (если включено),sho
> ip nat trans
Похоже что у вас nat забивается, посмотрите show ip nat trans в момент затыка, по счетчикам увидите так это или нет. Если так, то уменьшите тайминги nat и настройте ACL, ну и фаерволл по желанию.