[opensuse-es] Adaptador de red "promiscuo"
Hola, Revisando uno de los servidores que ofrece servicios remotos (servidor web, ftp, e-mail...) me encuentro con que el adaptador de red "se va de picos pardos" (*) <|:-) *** bonding: bond0: link status definitely up for interface eth1. bond0: duplicate address detected! ip6_tables: (C) 2000-2006 Netfilter Core Team ip_tables: (C) 2000-2006 Netfilter Core Team audit(1235781710.347:3): audit_pid=3424 old=0 by auid=4294967295 eth1: no IPv6 routers present eth0: no IPv6 routers present NET: Registered protocol family 17 device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode *** Esto es lo que me saca el dmseg. Son dos interfaces de red (eth0 y eth1) en bonding configuradas en modo "active backup" (si un adaptador falla o se cae el enlace, salta el otro). Me conformo con algunas ideas sobre: a) ¿Es peligroso? b) ¿Qué le podría estar haciendo entrar y salir del modo promiscuo? c) Cualquier otra idea No tengo en ejecución tcpdump (aunque sí está instalado) ni ningún sniffer (que yo sepa, vaya) y no se puede acceder al equipo a/desde ningún punto de acceso wifi. Otros dispositivos que entran en juego son el router y el swicth configurado con vlan. (*) "Irse de picos pardos" es una frase hecha. La wikipedia lo explica mejor: http://es.wikipedia.org/wiki/Ir_de_picos_pardos Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
a) ¿Es peligroso? Creo que no , al fin i al cabo lo unico que pasa es que permite que algunas aplicaciones recolecten mas informacion de la que recolectarian si estubiera en modo normal.Es como los adaptadores de wifi a la hora de hacer auditorias -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-03-23 a las 20:57 +0100, Xavier Barnada escribió:
Creo que no , al fin i al cabo lo unico que pasa es que permite que algunas aplicaciones recolecten mas informacion de la que recolectarian si estubiera en modo normal.Es como los adaptadores de wifi a la hora de hacer auditorias
Me preocupa porque es un servidor expuesto, con apache y toda la farándula (php, perl, python, directorio para cgis...), mysql, servidor de correo, vsftp, un bind local, con puertos abiertos del router y nat. Y al leer la wikipedia y darme una vuelta por Google buscando información sobre el mensaje que me saca el dmesg, me ha recorrido un hormigueo por el espinazo: http://en.wikipedia.org/wiki/Promiscuous_mode :-} Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Monday 23 March 2009 20:17:13 Camaleón wrote:
Hola,
Revisando uno de los servidores que ofrece servicios remotos (servidor web, ftp, e-mail...) me encuentro con que el adaptador de red "se va de picos pardos" (*) <|:-)
*** bonding: bond0: link status definitely up for interface eth1. bond0: duplicate address detected! ip6_tables: (C) 2000-2006 Netfilter Core Team ip_tables: (C) 2000-2006 Netfilter Core Team audit(1235781710.347:3): audit_pid=3424 old=0 by auid=4294967295 eth1: no IPv6 routers present eth0: no IPv6 routers present NET: Registered protocol family 17 device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode ***
Esto es lo que me saca el dmseg. Son dos interfaces de red (eth0 y eth1) en bonding configuradas en modo "active backup" (si un adaptador falla o se cae el enlace, salta el otro).
Me conformo con algunas ideas sobre:
a) ¿Es peligroso? b) ¿Qué le podría estar haciendo entrar y salir del modo promiscuo? c) Cualquier otra idea
No tengo en ejecución tcpdump (aunque sí está instalado) ni ningún sniffer (que yo sepa, vaya) y no se puede acceder al equipo a/desde ningún punto de acceso wifi.
Otros dispositivos que entran en juego son el router y el swicth configurado con vlan.
(*) "Irse de picos pardos" es una frase hecha. La wikipedia lo explica mejor: http://es.wikipedia.org/wiki/Ir_de_picos_pardos
Saludos,
-- Camaleón
:-) Esto pasa por dejar que los adaptadores de red tengan malas compañías....... Bromas aparte : No tengo ni idea sobre el tema solo te cuento lo que a mi me parece lógico que puede estar totalmente apartado de la realidad. Si el eth0 es el que esta esperando de backup, podría estar monitorizando el trafico en el otro eth. Como la mac de los paquetes no sera la suya para monitorizar se pondría en modo promiscuo. La explicación, no la he sacado de la lampara de Carlos, sino de unas runas que tengo por aquí. -- Saludos Lluis
El 2009-03-23 a las 21:01 +0100, Lluis Martínez escribió:
On Monday 23 March 2009 20:17:13 Camaleón wrote:
device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode
No tengo ni idea sobre el tema solo te cuento lo que a mi me parece lógico que puede estar totalmente apartado de la realidad.
Si el eth0 es el que esta esperando de backup, podría estar monitorizando el trafico en el otro eth. Como la mac de los paquetes no sera la suya para monitorizar se pondría en modo promiscuo.
Pues no sé. Lo que dices tiene lógica, pero: a) En otro servidor donde tengo activado el channel bonding no me aperece ese mensaje de "promiscuidad tarjetera" :-) b) La interfaz que queda esperando a que haya una caída es eth1. O eso creo. Lo comento porque si ejecuto un "ifconfig" veo que el tráfico de la red en el adaptador eth0 es de 51,5/104,6 Mb (RX/TX) mientras que la eth1 es de 4,1/0,5 Mb (RX/TX), es decir, que eth1 apenas tiene tráfico.
La explicación, no la he sacado de la lampara de Carlos, sino de unas runas que tengo por aquí.
¿Lámpara o bola? >X-) Bueno, las runas también muestran cosas interesantes :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Monday 23 March 2009 23:12:55 Camaleón wrote:
a) En otro servidor donde tengo activado el channel bonding no me aperece ese mensaje de "promiscuidad tarjetera" :-)
Hay diferencias de Hard en cuanto a red?? hay tarjetas que hacen mas cosas por Hard. Pensando mal.... A través de eth0 se podría ver todo tu trafico de red. Pero por las cifras que das, por ahí no se reenvía a ningún sitio. Quizás habría que ver un poco si por eth1 circula algo raro.
La explicación, no la he sacado de la lampara de Carlos, sino de unas runas que tengo por aquí.
¿Lámpara o bola? >X-)
Sorry, la bola.
-- Saludos Lluis
El día 23 de marzo de 2009 16:17, Camaleón
Hola,
Revisando uno de los servidores que ofrece servicios remotos (servidor web, ftp, e-mail...) me encuentro con que el adaptador de red "se va de picos pardos" (*) <|:-)
*** bonding: bond0: link status definitely up for interface eth1. bond0: duplicate address detected! ip6_tables: (C) 2000-2006 Netfilter Core Team ip_tables: (C) 2000-2006 Netfilter Core Team audit(1235781710.347:3): audit_pid=3424 old=0 by auid=4294967295 eth1: no IPv6 routers present eth0: no IPv6 routers present NET: Registered protocol family 17 device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode ***
Bueno, al menos no están siempre "promiscuas", ya que aparece entered y left. Tienes algun tipo de firewall o filtro sobre esas tarjetas de red? Salu2 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-03-23 a las 19:57 -0300, Juan Erbes escribió:
El día 23 de marzo de 2009 16:17, Camaleón escribió:
device eth0 left promiscuous mode device bond0 left promiscuous mode device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode ***
Bueno, al menos no están siempre "promiscuas", ya que aparece entered y left.
Hum... sí, es curioso, se activa y desactiva, pero no se ve la hora para ver si coincide con algún evento >:-?
Tienes algun tipo de firewall o filtro sobre esas tarjetas de red?
Hace unas semanas estuve jugando con el tpcdump pero... ¡ahh! bingo, eso es :-). Dejé un script en /etc/cron.daily para que ejecutara automáticamente el tcpdump y no lo había eliminado. Como el servidor no se apaga, el dmesg me mostraba los últimos eventos. Gracias a todos, el problema estaba entre el teclado y la silla O:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El día 24 de marzo de 2009 4:33, Camaleón
El 2009-03-23 a las 19:57 -0300, Juan Erbes escribió:
El día 23 de marzo de 2009 16:17, Camaleón escribió:
device eth0 left promiscuous mode device bond0 left promiscuous mode device eth0 entered promiscuous mode device bond0 entered promiscuous mode device eth0 left promiscuous mode device bond0 left promiscuous mode ***
Bueno, al menos no están siempre "promiscuas", ya que aparece entered y left.
Hum... sí, es curioso, se activa y desactiva, pero no se ve la hora para ver si coincide con algún evento >:-?
Tienes algun tipo de firewall o filtro sobre esas tarjetas de red?
Hace unas semanas estuve jugando con el tpcdump pero... ¡ahh! bingo, eso es :-). Dejé un script en /etc/cron.daily para que ejecutara automáticamente el tcpdump y no lo había eliminado. Como el servidor no se apaga, el dmesg me mostraba los últimos eventos.
Gracias a todos, el problema estaba entre el teclado y la silla O:-)
Ja Ja Ja! Me alegro que lo hallas resuelto! Justo ayer consegui resolver un problemita, por el cual no consegui hacer funcionar el Xorg en el dinosaurio con el que estoy penando. Resultó ser que lo estaba configurando para la tarjeta de video que estaba inactiva. Salu2 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
Hum... sí, es curioso, se activa y desactiva, pero no se ve la hora para ver si coincide con algún evento >:-?
Eso es porque lo miras con dmesg. Si miras en el fichero de log "físico" si ves los tiempos. Yo tengo el log del kernel separado del normal, y además, en modo "verbose". La pega es que el log del kernel puede crecer brutalmente si tienes un problema gordo (a mi no me ha pasado), pero para eso también se le pone un logrotate más agresivo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAknI5r0ACgkQtTMYHG2NR9V+4QCfSaA0ASpCS4KmriecOhuLynPa 3poAn3F8anqo6ipJ8Wtjn9GcVHlLcxk+ =Gvn5 -----END PGP SIGNATURE-----
participants (5)
-
Camaleón
-
Carlos E. R.
-
Juan Erbes
-
lluis
-
Xavier Barnada