PfSense se cae la conexion de Internet constantemente
-
Cuando pasa algunos clientes no caen y sigue un cruzando por el proxy?
Ahora ya sacastes los reportes de squid y analizastes lo que hace cada equipo?
En tu fw LAN solo permite el trafico requerido para empezar y analizar lo logs del firewall.
Y revisas tus logs ahi tienen que venir los logs de los equipos de lan y logeado los puertos que desean contactar podria darte un norte.
Solo que tienes que tenerlos identificados fisicamente, cuando pase empezar a kitar y poner cables de esos clientes y ver si das con bola.
Ahora, comentas que atraves del host el pfsense ahi esta, pero cuando pasa desde tu maquina el puerto 3128 responde? si tienes prendido el dnsforward para tu lan, durante ese tiempo desde tu maquina el dns funciona?
En tu logs subele que te muestre unos 2000 entradas para que puedas ir viendo mas info y asi poder ver si das.
Saludos.
-
Bueno no habia respondido ya que he andado super ocupado con este problema… he hecho lo siguiente, pero no hay nada exacto que haya solucionado el problema
-
Restringi todo el acceso desde la LAN a la WAN, dejando solo los puertos completamente necesarios p.ej: POP3, SMTP, SSH, SSL, FTP. De resto cerre todo!!!, revisando logs del firewall si bloquea muchas conexiones a puertos 40008, 21391 y muchos mas, puertos que al parecer son virus
-
Instale el NMAP y SNORT. NMAP para escaneo de puertos y red y SNORT para detectar intrusos y movimientos sospechosos, pero lamentablemente no lo habia hecho antes y no lo se configurar muy bien. Tienes algun manual sobre esto?
-
Sabiendo como se maneja bien SNORT (IDS) puedo activar alertar que bloquean moviemientos sospechosos
-
El el log del registro aparecen miles de registros ARP desde una o varias IPS (adjunto imagen) esto me hace pensar que estoy siendo victima de un ataque ARP Spoof que es cuando una IP cambia la MAC Address y queda loco el envio y recepcion de paquetes
Contestando un poco tus preguntas:
-
El proxy siempre funciona, solo que algunos usuarios pierden la conexion a el, como si se perdieran las peticiones que le hacen
-
Como hago para sacar los reportes? con squidlight?
-
Ya lo hice, restringi solo para trafico requerido
-
Si, el puerto 3128 siempre responde y siempre funciona, en ningun momento se cae el servicio, solo se cae el acceso de algunos usuarios a el
Pienso que es un problema de ataque ARP Spoof que vuelve loco las peticiones entre los switches hacia el servidor y nunca llegan, se cambian las MAC Address y la tabla ARP queda mal
Cualquier ayuda quedo pendiente, ahorita estoy enfocado en hacer uso de SNORT (IDS) para manejar las alertas y que el firewall bloquee esa IP, pero no he podido
Saludos
-
-
Ese ip lo tienes identificado?
a lo mejor su tarjeta, cable anda valiendo klabaza o anda haciendo cosas turbias…
No uses lightsquid usa sarg es mejor, saludos. -
No lo raro es que no se sabe quien tiene esa IP, no aparece ningun nombre, se ha bloqueado por DHCP pero al hacer un escaneo con IP Tools siempre aparece y con diferente MAC, he bloqueado las MACs pero sigue apareciendo, al parecer esta configurada manualmente. Ya bloquee varios celulares que estaban conectados a la red, pero nada…
Aunque mi punto en cuestion es como es posible que de 70 usuarios, 1 o 2 esten con problemas y bloqueen la red??? eso la verdad ofende, la idea mia es tener una barrera como el IDS para bloquear este tipo de anomalias, pero no he podido configurar bien esto
Saludos y gracias por tu tiempo
-
Tus switches tienen manera de administrarse?
si es asi yo me conectaria a ellos y como son 4 no es mucho tiempo y buscar esos MAC en que puerto apuntan. -
Muchas gracias en serio, ya te envio el ID y contraseña de TeamViewer y te digo que IPS son la de los 3 switches, ya que el 4to no es administrable
Saludos
-
Una disculpa me desconecte y hasta hoy vi que me enviastes los datos para el teamviewer, ojala y este lunes podramos ponernos de acuerdo, yo ando en Tijuana para que tomes en cuenta el horario, salu2.
-
Listo perfecto, mañana te envió los datos de conexión
Saludos!
-
Patron, cuando guste, saludos!!!
-
Hola,
Mira es el mismo ID y la contraseña es 3888
Gracias!
-
Dale, estoy dentro!!!
-
jajaj saludos,, y por fin como quedo todo esto, ya estaba emocionante con la posible solución.
-
Este usuario es posible que este conectado por lan y wireless al mismo tiempo ?
Pareciera que esta ip se mueve continuamente por dos interfaces continuamente.
Intenta darle con nmap para ver que maquina y so tiene tal vez puedas checar que servicios esta corriendo también.
Ip del gateway repetida?
No pierdes conexión con la consola ?
La tabla de estados , espacio en disco y memoria como se encuentran?
Puedes correr un trace route en la consola mientras el servicio esta caido? Puede ser un problema de dns tambien. O del mismo próximo
Proxy.Suerte
-
:o
@ acriollo
Estas respondiendo a un hilo de Agosto del 2013
:P
-
Broadcast storm por un switch conectado a otro con dos cables ?
Un loop en los switches ?
-
Jajaja.
Chinga m…!
Yo siempre con ganas de ayudar!
Quien revivió ese muerto ?
Y a todo esto como se soluciono? Jajjaj
-
Parece que quien lo revivió fue rucko24, también lo vi hace rato, pero bueno, parece que pheriko ayudo con asistencia remota :P
-
jajajaja, ya yo iba a responder tambien…jajaja igual seria bueno saber en que quedo todo esto.. y dejen de estar resucitando muertos...
-
No habia respondido ya que el problema no tenia nada que ver con pfSense como tal, el problema fue ataque un ARP Spoofing en la red local, no se todavia si fue ocasionado intencionalmente por algun usuario de la empresa o un virus que entro en uno o varios pc que realizaban el ARP Spoofing.
ARP Spoofing es basicamente que para cada equipo que realice una solicitud hacia la puerta de enlace (en este caso pfSense) el virus le cambia la MAC de destino entonces por esta razon la peticion nunca llega a la puerta de enlace si no que se queda haciendo broadcast por toda la red y nunca sale de ahi, hasta que la IP y la MAC address coincidan con la original de pfSense
El problema fue bastante dificil y trajo muchos problemas y no lo pude solucionar yo sino otra persona, pero aca les dejo la solucion por si alguien le llega a pasar alguna vez, es de un bloguero que dio el paso a paso y en los comentarios se resuelven el resto de dudas que pueden quedar:
http://4lfa-om3ga.blogspot.com/2012/11/como-detectar-y-evitar-un-arp-spoofing.html
Saludos amigos y espero que si alguna vez les pasa ya saben que hacer :)
-
¿Esos solo se evita si el cliente tiene cuidado?
