Neighbour table overflow - как это победить?

[Templar]

Появилась очень неприятная проблема - при работающих двух сетевых интерфейсах (один смотрит в инет, ко 2-му подключена еще одна машина, маскарадинг еще не настраивал, только 10.04 поставил) на машине, начинаются проблемы с сетью, dmesg выдает вот такие сообщения:

[38815.874323] Neighbour table overflow.
[38818.064584] __ratelimit: 4 callbacks suppressed

И до перезапуска сети все программы, работающие с сетью, при попытке подключиться к какому-либо удаленному серверу в интернете выдают сообщение:

connect: No buffer space available

Проблема исчезает, когда машина, подключенная ко 2-му интерфейсу, выключена, т.е. 2-й в дауне. Если кто с этим сталкивался, пожалуйста, подскажите. как это побороть?

[vitalas]

Проверь вторую машину, она может проводить атаки arp спуфинг

[Templar]

А что может атаковать? Вирусы (2-й машина на Win7)? Или еще что-то?
Пользователь решил продолжить мысль 05 Мая 2010, 23:13:55:Проблема исчезла, когда увеличил размер arp таблицы. Но теперь там постоянно живет больше 2000 записей.
Вот небольшая часть записей:

Код: [Выделить]

83.228.50.139            ether   00:1b:2a:54:e2:7f   C                     eth1
91.77.9.187              ether   00:1b:2a:54:e2:7f   C                     eth1
213.149.23.105           ether   00:1b:2a:54:e2:7f   C                     eth1
208.122.63.114           ether   00:1b:2a:54:e2:7f   C                     eth1
77.37.224.221            ether   00:1b:2a:54:e2:7f   C                     eth1
89.137.137.133           ether   00:1b:2a:54:e2:7f   C                     eth1
114.36.144.199           ether   00:1b:2a:54:e2:7f   C                     eth1
85.200.186.35            ether   00:1b:2a:54:e2:7f   C                     eth1
193.151.80.52            ether   00:1b:2a:54:e2:7f   C                     eth1
188.5.192.176            ether   00:1b:2a:54:e2:7f   C                     eth1
173.74.51.214            ether   00:1b:2a:54:e2:7f   C                     eth1
85.54.239.142            ether   00:1b:2a:54:e2:7f   C                     eth1
85.21.96.151             ether   00:1b:2a:54:e2:7f   C                     eth1Абсолютно все записи имеют мак 00:1b:2a:54:e2:7f. Но как на одном маке может быть несколько IP-адресов? Есть какие-либо мысли что это может быть и как этим бороться?

[AnrDaemon]

Начни с того, что выясни, кому этот мак принадлежит.

[Templar]

Каким образом мне это можно сделать? Может утилитку подскажите?

[Mam(O)n]

Может утилитку подскажите?

ipconfig /all на венде.

[Templar]

Забыл написать, мак 00:1b:2a:54:e2:7f не является маком ни одной сетевухи на двух машинах, о его происхождении я ничего не знаю.

[Mam(O)n]

eth1 куда воткнут?

[Templar]

eth1 смотрит во внешку.

[Mam(O)n]

Тогда атака идёт с внешки. Уведоми провайдера об этом. И можешь попробовать закрыться с помощью iptables:

Код: [Выделить]

sudo iptables -t mangle -A INPUT -m mac --mac-source 00:1b:2a:54:e2:7f -j DROPТолько я не уверен в действенности, т.к. не знаю на каком этапе адрес попадает в arp таблицу.
Пользователь решил продолжить мысль 06 Мая 2010, 10:52:53:Еще можешь глянуть в сторону демона arpon, который, судя по описанию, позволяет защититься от arp-атак.

[Templar]

Спасибо большое.
Я сначала свяжусь с провайдером, может инженеры что-нибудь еще скажут. А правило для iptables проверю и будет видно, работает оно или нет.