Maquinas LINUX Navegan..Maquinas Guin2 No

Imagen de Mirrortech

Forums: 

:? :?
Buenas noches
Paso a comentarles lo que me acaba de suceder..
Tengo una red con 10 maquinas con un servidor CentOS..trabajando como Firewall, Proxy y demás arandelas..En la red tengo 4 maquinas Guin2.. las cuales navegaban sin problemas hasta el día de hoy.. resulta que de un momento a otro estas maquinas dejaron de navegar e inclusive no ven los recursos de red local..aunque el servidor DHCP si les asigna dirección y las tarjetas de red las toma..pero nada mas..noto que puedo hacerle ping a servidores DNS ubicados en Internet, pero no puedo hacerle Ping al DNS Local, ni tampoco me responde la Ip del Proxy.. algo extraño..

Me puse a revisar las maquinas pensando que eran problema de estas..pero me dio por conectarlas directamente al Modem de Internet y funcionaron sin problemas navegando.. ay si me cabreo..

Las maquinas Linux siguen trabajando y navegando sin problemas,,, pero estas Guin2..nada si las vuelvo a integrar a la red LAN toman la direccion IP del DHCP sin problemas.. pero ahi se quedan inmoviles..sin navegar ..y sin poder ver los recursos compartidos de la red como impresoras y unidades de disco..

Que podra ser el asunto.. :sick: :sick:

No sería raro que sea virus,

Imagen de deathUser

No sería raro que sea virus, alguno que inunde la red con paquetes malos o peticiones de broadcast, eso suele inhabilitar la red, o podría estar más abajo el problema y ser problema de red, tienes vlans, switch administrable o alguna configuración especial ...???
has monitoreado la red con un sniffer por ejemplo para ver que es lo que están tratando de hacer esas máquinas y porque son dropeados los paquetes que estas generan ...???

[quote=Mirrortech]..noto que puedo hacerle ping a servidores DNS ubicados en Internet ...[/quote]
Tal parece que los paquetes ICMP que no se dirigen a tu red interna no tienen problemas, te aconsejo sniffear la red a ver si encuentras algo raro ...

bye
;)

en broma: qué bueno que no

Imagen de Epe

en broma: qué bueno que no naveguen, así menos virus hacia internet!
ahora en serio: no habrás implementado vlans? no habrás bloqueado esas ips en el firewall? no digas simplemente no, revisa porque por ahi puede estar el lío.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Algo así iba a ser mi

Imagen de deathUser

Algo así iba a ser mi respuesta :D ...

Hay que preguntarse si se tiene problemas con güin2 o es que güin2 es el problema ??? :D

Lástima que no siempre se pueda botar esos trastos (los de moco$oft) e instalar algo decente ...

bye
;)

EPE, si tengo 1 switch

Imagen de Mirrortech

EPE, si tengo 1 switch administrable de 9 puertos con 3 VLANs, pero lo que se me hace raro es que las maquinas LINUX siguen funcionando sin problemas, navegando y estas pueden ver los recursos compartidos que hay en el servidor.

Las VLAN estan asi.

VLAN1...solo 2 puertos, conectados 1 al CAbleMOdem y el otro a la eth1 del servidor
VLAN2..Solo 2 puertos, conectados 1 al AP WIFI y el otro al eth3
VLAN3...El resto de puertos 5, donde esta conectada la eth0 con 4 interfaces virtuales para servicios adicionales que tengo..y trafico SIP del PBX

Este Switch lo tengo monitoreado con CACTI, funcionanado sin problema alguno..

Tengo el WIRESHARK , este me servira para el monitoreo de la red??

ATT

POST.. Ohhohh..acabo de encontrarme con un detalle..le cambie la direccion IP asignada por el DHCP a 1 de las maquinas, se la puse estatica con mi DNS local.. y Wooala..esta quedo funcionando de nuevo..

Que pudo haber sucedido..sera el FAIL2BAN..el PORTSENTRY..el HOSTSENTRY??? que de alguna manera bloqueo estas IP´s por algún motivo de virus??

Donde puedo cerciorarme de tal cuestion...???

Analizando el Log de

Imagen de Mirrortech

Analizando el Log de PORTSENTRY, tengo las siguientes lineas..

proxy portsentry[28395]: attackalert: TCP SYN/Normal scan from host: 192.168.186.85/192.168.186.85 to TCP port: 135
Oct 4 16:46:21 proxy portsentry[28395]: attackalert: Host 192.168.186.85 has been blocked via dropped route using command: "/sbin/iptables -I INPUT -s 192.168.186.85 -j DROP"

Parece ser que por algun motivo el PORTSENTRY me esta bloqueando la Ip..

Algo para revisar???

pues el mensaje: TCP

Imagen de deathUser

pues el mensaje:


TCP SYN/Normal scan from host: 192.168.186.85

Dice que detectó un scan TCP SYN desde ese host y por eso lo bloqueó, o es virus o es un usuario que se las está dando de hacker ...

bye
;)