arp问题

hurd

只有一条规则，就是阻止所有。 但是路由仍然能收到包。

停止panaos后路由lan口马上就没有流量了。

是不是没识别到？  使用的最新版。


显示的所有协议数据包为0，但是流量很大。 另外top ip里也没流量。
  
ARP档案 里的top 用户里没任何用户， 缺显示上行上行速率7.31M,下行0。


这些上行流量也不是非常大，似乎从来没达到8M, 在pansos和后面的路由上都显示这样。 流量不大，但是不管怎么设置策略内网都不能正常访问外网。 现在对所有下面机器杀毒也在进行，不过是在我那里的同事做，进展很慢。 现在请教各位如何解决这个问题！

[ 本帖最后由 hurd 于 2009-1-2 17:18 编辑 ]

pan

方便的话SHARE一下你的策略

hurd

任意路径 any any  任意协议 阻断 停止

路由lan口进入 的流量是7M, 在panaos上开启polling也是这样。 调整HZ也是这样。 路由lan口进入的包一直很多。 有不规则的Arp包，Mac源地址长度都不够。panaos停了后包就没了。

另外请教如何用pf做类似panaos的bridge firewall,  找了半天都是那种需要ip的方法。

hurd

硬件

Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
        The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 6.4-RELEASE-p1 #0: Wed Dec 31 16:37:54 CST 2008
    root@:/usr/obj/usr/src/sys/changlong
MPTable: <AMI      CNB30LE     >
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Intel(R) Pentium(R) III CPU family      1266MHz (1262.67-MHz 686-class CPU)
  Origin = "GenuineIntel"  Id = 0x6b1  Stepping = 1
  Features=0x383fbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,MMX,FXSR,SSE>
real memory  = 268435456 (256 MB)
avail memory = 232251392 (221 MB)
ioapic0: Assuming intbase of 0
ioapic1: Assuming intbase of 16
ioapic0 <Version 1.1> irqs 0-15 on motherboard
ioapic1 <Version 1.1> irqs 16-31 on motherboard
kbd1 at kbdmux0
cpu0 on motherboard
pcib0: <MPTable Host-PCI bridge> pcibus 0 on motherboard
pci0: <PCI bus> on pcib0
pci0: <display, VGA> at device 1.0 (no driver attached)
fxp0: <Intel 82559 Pro/100 Ethernet> port 0xd400-0xd43f mem 0xfe4fe000-0xfe4fefff,0xfe300000-0xfe3fffff irq 20 at device 4.0 on pci0
miibus0: <MII bus> on fxp0
inphy0: <i82555 10/100 media interface> on miibus0
inphy0:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp0: Ethernet address: 00:e0:81:20:d5:30
fxp1: <Intel 82559 Pro/100 Ethernet> port 0xd000-0xd03f mem 0xfe4fd000-0xfe4fdfff,0xfe100000-0xfe1fffff irq 21 at device 5.0 on pci0
miibus1: <MII bus> on fxp1
inphy1: <i82555 10/100 media interface> on miibus1
inphy1:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp1: Ethernet address: 00:e0:81:20:d5:31
isab0: <PCI-ISA bridge> port 0x580-0x58f at device 15.0 on pci0
isa0: <ISA bus> on isab0
atapci0: <ServerWorks ROSB4 UDMA33 controller> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xffa0-0xffaf at device 15.1 on pci0
ata0: <ATA channel 0> on atapci0
ata1: <ATA channel 1> on atapci0
pci0: <serial bus, USB> at device 15.2 (no driver attached)
pcib1: <MPTable Host-PCI bridge> pcibus 1 on motherboard
pci1: <PCI bus> on pcib1
fxp2: <Intel 82559 Pro/100 Ethernet> port 0xe800-0xe83f mem 0xfebff000-0xfebfffff,0xfea00000-0xfeafffff irq 27 at device 2.0 on pci1
miibus2: <MII bus> on fxp2
inphy2: <i82555 10/100 media interface> on miibus2
inphy2:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
fxp2: Ethernet address: 00:90:27:b6:2b:3c
pmtimer0 on isa0
orm0: <ISA Option ROMs> at iomem 0xc0000-0xc7fff,0xc8000-0xc8fff,0xc9000-0xc9fff,0xca000-0xcafff on isa0
atkbdc0: <Keyboard controller (i8042)> at port 0x60,0x64 on isa0
atkbd0: <AT Keyboard> irq 1 on atkbdc0
kbd0 at atkbd0
atkbd0: [GIANT-LOCKED]

hurd

请教panabit的开发者们， 这是否panabit的问题？ 还是硬件问题。 我建议我同事买三层交换机，现在在家里没法子去那里实做。 所以如果希望panaos能解决的话最好了。

那里的环境比较复杂，是２伙人合用网络，而不少人用的自备的本本。还有流动人员。　所以能从panabit这里解决问题就最好了，即使能让病毒攻击时可以以很慢的速度连接出来。　现在的情况是病毒发作后就完全和外网隔绝了。

任何回复将非常感激，现在这个问题已经托了很久了。顺祝panabit越走越好，各位开发者和用户新年快乐，身体健康。

pan

可能是你的局域网内部中病毒了，一直不停的在攻击；我们内网也是出现你类似的情况，我们这里的处理方法是：在P2P服务后加装一台内部PPOE服务器，所有内网使用PPOE上网，PPOE不使用ARP广播，不怕病毒，为了不影响内网互访或打印，内网的TCP/IP部份仅设置IP，其他均保留空白，情况会有很大的改善；
PS：这仅是权宜之计，并非治本哦！！

hurd

感谢pan的热心回复。

在这里发帖主要是想知道panaos是否可解决或缓解此问题。  

我在明年元宵节前不能接触到网络硬件，所以其他解决方案目前不能实施。  希望panaos开发团队能给个答复。

pan

呵呵，好像就我们俩在唱对角戏嘞！！

panabit

原帖由 hurd 于 2009-1-5 21:09 发表
感谢pan的热心回复。

在这里发帖主要是想知道panaos是否可解决或缓解此问题。  

我在明年元宵节前不能接触到网络硬件，所以其他解决方案目前不能实施。  希望panaos开发团队能给个答复。

Panaos对数据报不做任何改动，也不会主动发送数据报。
Panabit仅是一个纯粹的网桥，你可以将它的桥看作一根网线。
所以，Panabit难以缓解您的问题。
不过我奇怪的是，既然都block了，怎么还有ARP数据报能够从Panabit的一端到另外一端。
你看的网络拓扑是否有问题。

hurd

现在杀完了毒网络畅通了，不过对所有使用网络的机器杀毒代价是比较大的，而在内部加一pppoe服务器的话，panabit的流控能力将大大削弱。

现在的拓扑结构是：  路由外网卡---------路由内网卡----网线-------pana外数据网卡----pana内数据网卡-------网线----交换机

另外有一条  路由dmz-------网线-------pana管理卡的线路来保证外网访问panaos。
  
个人感觉应该没错，停止pansos后路由lan口就完全没流量了。

现在的问题是，panaos似乎不能限制arp流量！ 也不能阻断arp流量！  或者是限制了Arp流量但是仍然有7.4M的流量可以通过桥。

在路由收到的内网arp数据包有部分是残缺的，正常的mac地址应该是6位，但是路由收到了4位或3位的数据包，是不是这个原因造成了流量未识别？ 但是奇怪的是通过pana网桥的流量非常稳定，在m0n0上看到的是一条笔直的横线。

最奇怪的就是全部阻断的话依然有数据通过。

[ 本帖最后由 hurd 于 2009-1-6 14:32 编辑 ]