Toon posts:

[Debian squeeze] SSH host changed...

Pagina: 1
Acties:

Onderwerpen

Netwerk Ssh

zaterdag 26 maart 2011 23:47

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Ik heb hier een server draaien met daarop Debian Squeeze.
Het is een kale installatie met als extra's:
* bind9
* dhcp3-server
* openssh-server
* mc
* ddclient

Nu wordt regelmatig de verbinding verbroken. Als ik dan opnieuw een verbinding probeer te maken, krijg ik de volgende melding:
OpenSSH_5.2p1, OpenSSL 0.9.8l 5 Nov 2009
debug1: Reading configuration data /etc/ssh_config
debug1: Connecting to 192.168.2.1 [192.168.2.1] port 22.
debug1: Connection established.
debug1: identity file /Users/marcel/.ssh/identity type -1
debug1: identity file /Users/marcel/.ssh/id_rsa type -1
debug1: identity file /Users/marcel/.ssh/id_dsa type -1
debug1: Remote protocol version 2.0, remote software version dropbear_0.52
debug1: no match: dropbear_0.52
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.2
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: sending SSH2_MSG_KEXDH_INIT
debug1: expecting SSH2_MSG_KEXDH_REPLY
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
21:0e:54:f2:0c:d8:bc:a1:1c:72:e0:3b:e9:ae:f9:82.
Please contact your system administrator.
Add correct host key in /Users/marcel/.ssh/known_hosts to get rid of this message.
Offending key in /Users/marcel/.ssh/known_hosts:3
RSA host key for 192.168.2.1 has changed and you have requested strict checking.
Host key verification failed.


Nu zou je denken, verwijder de regel uit known_hosts en dan werkt het weer. Dat klopt, maar wat ik raar vind is dat als ik het ip verander, en er een nieuwe regel wordt toegevoegd, dat deze exact hetzelfde is:

192.168.2.x ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDqF4DI59n80jG8QVhxMkLlYcbDeZC//nPAjgk/h+qKszeS8BGFztrUHE4a9i94ku4g/uP95oFo+fcNL+0v/ORe5Zd2WZ3w+kYN04OzzB5DT9p51jECPQ2jjG+cIQ4z8A9FqYaW43uQ7luyi3my1AUUBuogoggTX5GfUN6vmoDtl+9v4BeV5ZwNViMK0beEw63ZVp90ckVMzypdpVjknVdIl5AbXISTuxnM38Quh0At4kJ1x+IeXAKuk9m3WX8LWKqiKj5XYhc+FzMU7hcb6P9YtS5dHZg5w6DWyANzI/YiOyAuj6NqlyMwe3VnRFGOAuDbmojH6yQWBNJEacCueliP
192.168.2.1 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDqF4DI59n80jG8QVhxMkLlYcbDeZC//nPAjgk/h+qKszeS8BGFztrUHE4a9i94ku4g/uP95oFo+fcNL+0v/ORe5Zd2WZ3w+kYN04OzzB5DT9p51jECPQ2jjG+cIQ4z8A9FqYaW43uQ7luyi3my1AUUBuogoggTX5GfUN6vmoDtl+9v4BeV5ZwNViMK0beEw63ZVp90ckVMzypdpVjknVdIl5AbXISTuxnM38Quh0At4kJ1x+IeXAKuk9m3WX8LWKqiKj5XYhc+FzMU7hcb6P9YtS5dHZg5w6DWyANzI/YiOyAuj6NqlyMwe3VnRFGOAuDbmojH6yQWBNJEacCueliP


Er draait ook een firewall/nat script wat in mijn ogen niet het probleem zal zijn:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120

#!/bin/sh
#
# this script requires iptables package to be
# installed on your machine


# Where to find iptables binary
IPT="/sbin/iptables"

# The network interface you will use
# WAN is the one connected to the internet
# LAN the one connected to your local network
WAN="eth0"
LAN="eth1"
# First we need to clear up any existing firewall rules
# and chain which might have been created
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
$IPT -X

# Default policies: Drop any incoming packets
# accept the rest.
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

# To be able to forward traffic from your LAN
# to the Internet, we need to tell the kernel
# to allow ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Masquerading will make machines from the LAN
# look like if they were the router
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

# If you want to allow traffic to specific port to be
# forwarded to a machine from your LAN
# here we forward traffic to an HTTP server to machine 192.168.0.2
#$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 80 -j DNAT --to 192.168.0.2:80
#$IPT -A FORWARD -i $WAN -p tcp  --dport 80 -m state --state NEW -j ACCEPT
# For a whole range of port, use:
#$IPT -t nat -A PREROUTING -i $WAN -p tcp --dport 1200:1300 -j DNAT --to 192.168.0.2
#$IPT -A FORWARD -i $WAN -p tcp  --dport 1200:1300 -m state --state NEW -j ACCEPT

# Do not allow new or invalid connections to reach your internal network
$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP

# Accept any connections from the local machine
$IPT -A INPUT -i lo -j ACCEPT
# plus from your local network
$IPT -A INPUT -i $LAN -j ACCEPT

# Here we define a new chain which is going to handle
# packets we don't want to respond to
# limit the amount of logs to 10/min
$IPT -N Firewall
$IPT -A Firewall -m limit --limit 10/minute -j LOG --log-prefix "Firewall: "
$IPT -A Firewall -j DROP

# log those packets and inform the sender that the packet was rejected
$IPT -N Rejectwall
$IPT -A Rejectwall -m limit --limit 10/minute -j LOG --log-prefix "Rejectwall: "
$IPT -A Rejectwall -j REJECT
# use the following instead if you want to simulate that the host is not reachable
# for fun though
#$IPT -A Rejectwall -j REJECT  --reject-with icmp-host-unreachable

# here we create a chain to deal with unlegitimate packets
# and limit the number of alerts to 10/min
# packets will be drop without informing the sender
$IPT -N Badflags
$IPT -A Badflags -m limit --limit 10/minute -j LOG --log-prefix "Badflags: "
$IPT -A Badflags -j DROP

# A list of well known combination of Bad TCP flags
# we redirect those to the Badflags chain
# which is going to handle them (log and drop)
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j Badflags
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j Badflags
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Badflags
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL ALL -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j Badflags

# Accept certain icmp message, drop the others
# and log them through the Firewall chain
# 0 => echo reply
$IPT -A INPUT -p icmp --icmp-type 0 -j ACCEPT
# 3 => Destination Unreachable
$IPT -A INPUT -p icmp --icmp-type 3 -j ACCEPT
# 11 => Time Exceeded
$IPT -A INPUT -p icmp --icmp-type 11 -j ACCEPT
# 8 => Echo
# avoid ping flood
$IPT -A INPUT -p icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT
$IPT -A INPUT -p icmp -j Firewall

# Accept ssh connections from the Internet
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# or only accept from a certain ip
#$IPT -A INPUT -i $WAN -s 125.124.123.122 -p tcp --dport 22 -j ACCEPT

# Accept related and established connections
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Drop netbios from the outside, no log, just drop
$IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP

# Finally, anything which was not allowed yet
# is going to go through our Rejectwall rule
$IPT -A INPUT -j Rejectwall


Weet iemand waarom mijn ssh verbinding iedere keer eruit klapt? Het gebeurt niet elk minuut, maar toch zeker 5 a 6 keer per week.

Koop hier mijn P1 reader :)

zondag 27 maart 2011 04:10

Acties:
  • 0 Henk 'm!

Verwijderd

Een SSH verbinding wordt niet zomaar verbroken. En als hij wordt verbroken is de host key niet zomaar veranderd.

Ik zou beginnen met uitzoeken wat er precies het IP adres van je server steelt, want het lijkt er meer op dat het daar ergens misgaat. Kan het zijn dat een ander apparaat in hetzelfde netwerk of vlan daar iets mee te maken heeft?

zondag 27 maart 2011 13:44

Acties:
  • 0 Henk 'm!
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 18:48

deadinspace

The what goes where now?

iMars schreef op zaterdag 26 maart 2011 @ 23:47:
Nu zou je denken, verwijder de regel uit known_hosts en dan werkt het weer.
Nee, dat zou ik absoluut niet denken als SSH deze melding geeft:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
Die melding is er niet voor de lol. Voor hetzelfde geld is een van de machines op je netwerk besmet met het een of ander, en loopt die je SSH te man-in-the-middlen.

De public key fingerprint die SSH meldt:
The fingerprint for the RSA key sent by the remote host is
21:0e:54:f2:0c:d8:bc:a1:1c:72:e0:3b:e9:ae:f9:82.
komt dan ook niet overeen met de public key in je known_hosts:
192.168.2.1 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDqF4DI59n80jG8QVhxMkLlYcbDeZC//nPAjgk/h+qKszeS8BGFztrUHE4a9i94ku4g/uP95oFo+fcNL+0v/ORe5Zd2WZ3w+kYN04OzzB5DT9p51jECPQ2jjG+cIQ4z8A9FqYaW43uQ7luyi3my1AUUBuogoggTX5GfUN6vmoDtl+9v4BeV5ZwNViMK0beEw63ZVp90ckVMzypdpVjknVdIl5AbXISTuxnM38Quh0At4kJ1x+IeXAKuk9m3WX8LWKqiKj5XYhc+FzMU7hcb6P9YtS5dHZg5w6DWyANzI/YiOyAuj6NqlyMwe3VnRFGOAuDbmojH6yQWBNJEacCueliP
Maargoed, verder met Cheatah; kijk eens of een andere computer per abuis ook 192.168.2.1 heeft. Zo niet, dan wordt het interessant om eens met packetsniffers aan de gang te gaan.

zondag 27 maart 2011 19:09

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Er zijn momenteel 2 iPhones en 2 laptops welke een adres via mijn wifi krijgen.
Ik heb nu mijn laptop een eigen ip gegeven door mijn hardware adres te definiëren in dhcpd.conf, buiten de scope. Als het een IP conflict is, zou het nu verholpen moeten zijn, toch?

Koop hier mijn P1 reader :)

zondag 27 maart 2011 19:36

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 11-09 21:28

CAPSLOCK2000

zie teletekst pagina 888

Zoek van alle vier de apparaten het IP op, dan weet je het zeker.
Kijk ook naar het IP van router/wiff-acces point.

This post is warranted for the full amount you paid me for it.

dinsdag 29 maart 2011 21:34

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Vandaag weer flink bezig met het netwerk, en toevallig alleen mijn laptop in iPhone in de buurt, dus makkelijk ip opzoeken. Mijn laptop en iPhone hebben beiden een verschillend adres. Ik vermoed nu dat het mijn accesspoint is.

Mijn huidige situatie is:
[modem]<--->[router/server]<--->[accesspoint]

Ik had bijna gelijk de stroom van de accesspoint gehaald en weer aangezet. Daarna kon ik weer inloggen zonder de foutmelding.

Mijn accesspoint is een Siemens Gigaset SE365
Afbeeldingslocatie: http://p.gzhls.at/299830.jpg

Zou het inderdaad mijn accesspoint kunnen zijn?

Koop hier mijn P1 reader :)

donderdag 31 maart 2011 08:11

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
iMars schreef op dinsdag 29 maart 2011 @ 21:34:

[..]

Zou het inderdaad mijn accesspoint kunnen zijn?
Zou het inderdaad mijn accesspoint kunnen zijn?

Koop hier mijn P1 reader :)

donderdag 31 maart 2011 09:19

Acties:
  • 0 Henk 'm!
  • Ventieldopje
  • Registratie: December 2005
  • Laatst online: 15-09 10:47

Ventieldopje

I'm not your pal, mate!

Dat kun je toch makkelijk checken door alles even bedraad aan te sluiten?

www.maartendeboer.net
1D X | 5Ds | Zeiss Milvus 25, 50, 85 f/1.4 | Zeiss Otus 55 f/1.4 | Canon 200 f/1.8 | Canon 200 f/2 | Canon 300 f/2.8

donderdag 31 maart 2011 11:43

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Ventieldopje schreef op donderdag 31 maart 2011 @ 09:19:
Dat kun je toch makkelijk checken door alles even bedraad aan te sluiten?
Easier said than done... Ik heb geen lange kabel omdat te testen en om nou heel de avond te werken in de gang is een optie, maar niet fijn ;)

Wilde eerder weten of de router inderdaad een probleem kan zijn, omdat de public key niet veranderd. Misschien is het heel goed mogelijk, maar misschien ook niet, daartoe reikt mijn kennis niet ;)

[ Voor 0% gewijzigd door iMars op 31-03-2011 11:53 . Reden: typo ]

Koop hier mijn P1 reader :)

donderdag 31 maart 2011 13:12

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 11-09 21:28

CAPSLOCK2000

zie teletekst pagina 888

Heb je al een overzicht gemaakt van alle IP-adressen die je gebruikt?
Zo nee, doe dat, dat is veel effectiever dan maar op goed geluk dingen te herstarten.

This post is warranted for the full amount you paid me for it.

donderdag 31 maart 2011 13:26

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
CAPSLOCK2000 schreef op donderdag 31 maart 2011 @ 13:12:
Heb je al een overzicht gemaakt van alle IP-adressen die je gebruikt?
Zo nee, doe dat, dat is veel effectiever dan maar op goed geluk dingen te herstarten.
Nou, wat ik weet is het volgende:
router/server: 2 nic's, 1 extern, 1 intern: 192.168.2.1
Access point zit met een kabel direct aan de server, geen switch/hub ertussen. Heeft deze een ipadres?
Mijn laptop: 192.168.2.50
Mijn iPhone: 192.168.2.53

Meer is er niet.

Koop hier mijn P1 reader :)

vrijdag 1 april 2011 17:57

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Heb de access point adres ook gevonden: 192.168.2.254250.

Dus server: 192.168.2.1
AP: 192.168.2.254250
iPhone: 192.168.2.53
MacBookP: 192.168.2.50

[ Voor 6% gewijzigd door iMars op 02-04-2011 17:10 ]

Koop hier mijn P1 reader :)

vrijdag 1 april 2011 22:17

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 11-09 21:28

CAPSLOCK2000

zie teletekst pagina 888

tnx, gelukkig of helaas weten we nu zeker dat het geen ip-conflict is.
Helaas omdat het nu wel serieus vaag begint te worden. Het enige dat ik nog kan bedenken is dat er iets geNAT wordt, maar je hebt je firewall al gepost en daar zie ik ook niks verkeerds in.

This post is warranted for the full amount you paid me for it.

zaterdag 2 april 2011 07:44

Acties:
  • 0 Henk 'm!

Verwijderd

Indien 2 netwerkkaarten op server/router: 2 IP adressen
afhankelijk van de instellingen van het externe wifi AP heeft deze zijn eigen ip adres of gebruik hij het ip van de router?
AP kan ook netwerkbeveiliging instelling hebben?
router/server netwerkbeveiliging: mac adres verschilt bij lan toegang:
computer -> router (mac van computer) & IP: 192.168.2.50 -> 192.168.2.1
Wifi toegang:
computer -> AP -> router (mac van AP) of 192.168.2.50 -> 192.168.2.254 -> 192.168.2.1
andere mogelijke probleem gebruik van IP adres?
192.168.2.254 & 192.168.2.1 zijn meestal router adressen, kan je AP veranderen naar 253?
ook een mogelijk probleem:
Modem LAN IP (niet extern WAN IP)
normale situatie:
Modem/router lan IP 192.168.123.1 of 254 met subnetmask 255.255.255.0
alle toestellen gebruiken zelfde subnetmask
en gebruiken gateway: Modem/router lan IP
De gebruikte hardware is dit eigenbouw of gebruik je een commercieel produkt voor je server?

zaterdag 2 april 2011 16:46

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Ja, de router/server heeft twee netwerkkaarten, en ook twee adressen. Aan de andere netwerkkaart hangt direct de UPC modem, dus krijgt de netwerkkaart het publiekelijke adres van UPC.

De situatie is als volgt:
(ip-upc)<---[modem upc]<-->[(ip upc) server/router (192.168.2.1)]<--->[(192.168.2.254250) AP]

De AP heeft een WPA2 versleuteling.

Ik zou even moeten kijken of ik het ip van de AP kan aanpassen, daar heb ik nog niet naar gekeken.

De AP is kant en klaar, de server/router is een zelfbouw SuperMicro board met een Atom D525 en 4GB ram. Daarop draait Debian Squeeze.

Edit: ik heb de AP aangepast naar 192.168.2.250

[ Voor 4% gewijzigd door iMars op 02-04-2011 17:10 ]

Koop hier mijn P1 reader :)

zaterdag 2 april 2011 18:01

Acties:
  • 0 Henk 'm!

Verwijderd

kijk ook na of de netwerkverbindingen mogen gaan slapen, dit veroorzaakt eventueel het verbreken van de verbinding, zet eventueel de powersaving af voor de netwerkkaart naar de AP, alsook powersaving in AP en idem voor de laptop. Denk dat dit ook deel van je probleem is. Verbinding verbreekt en kan niet rap genoeg opnieuw opgebouwd worden daar de oude nog niet vrijgeven is? Ben zelf nog niet vertouwd genoeg met linux om je hier oplossing voor te geven, zag reeds zelfde gedraag met windows, wifi en AP. Soms helpt ook een andere mode te kiezen voor de gigaset: Ethernet/Access point/Repeater.

zaterdag 2 april 2011 18:17

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Verwijderd schreef op zaterdag 02 april 2011 @ 18:01:
kijk ook na of de netwerkverbindingen mogen gaan slapen, dit veroorzaakt eventueel het verbreken van de verbinding, zet eventueel de powersaving af voor de netwerkkaart naar de AP, alsook powersaving in AP en idem voor de laptop. Denk dat dit ook deel van je probleem is. Verbinding verbreekt en kan niet rap genoeg opnieuw opgebouwd worden daar de oude nog niet vrijgeven is? Ben zelf nog niet vertouwd genoeg met linux om je hier oplossing voor te geven, zag reeds zelfde gedraag met windows, wifi en AP. Soms helpt ook een andere mode te kiezen voor de gigaset: Ethernet/Access point/Repeater.
Maar het gebeurd meestal tijdens het gebruik van dataverkeer... dan zou het toch niet in slaap mogen vallen?
Het gekke is, als ik bijvoorbeeld 10 seconden wacht met opnieuw een ssh verbinding op te zetten, dat het dan ook niet werkt. Even de AP van het stroom en daarna werkt het weer... of de id uit known_host halen, zodat deze opnieuw toegevoegd wordt, wat dan uiteindelijk exact hetzelfde id is :S

Koop hier mijn P1 reader :)

zaterdag 2 april 2011 18:19

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 19:15

DiedX

Ik zou je ARP-Tabel even in de gaten houden bij beiden gevallen. Soms geeft een MAC-Adres aan welk soort apparatuur er aan verbonden is. Geeft je in ieder geval /iets/ meer houvast, maar inderdaad: serieus vaag :)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 3 april 2011 12:23

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter 
root@imars:~# arp -a
? (192.168.2.53) at 00:23:df:61:f7:80 [ether] on eth0
? (192.168.2.50) at 00:19:e3:d5:c9:67 [ether] on eth0
dhcp-xxx-xxx-xxx-xxx.chello.nl (xx.xxx.xxx.xxx) at 00:21:d8:d1:f9:db [ether] on eth1
root@imars:~#

Koop hier mijn P1 reader :)

zondag 3 april 2011 21:28

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Zojuist weer een paar keer achter elkaar de verbinding (ssh) eruit geknald als gemeld in de TS.
Na eindelijk weer in te kunnen loggen en naar arp gekeken:
root@imars:~# arp -a
Marcel-Zuidwijks-MacBook-Pro-15.local (192.168.2.50) at 00:19:e3:d5:c9:67 [ether] on eth0
dhcp-xxx-xxx-xxx-xxx.chello.nl (xx.xxx.xxx.x) at 00:21:d8:d1:f9:db [ether] on eth1
root@imars:~#

Koop hier mijn P1 reader :)

zondag 3 april 2011 21:44

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

De ARP tabel van de computer waarmee je het SSH'en doet, welteverstaan. Niet de server.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 3 april 2011 21:54

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
CyBeR schreef op zondag 03 april 2011 @ 21:44:
De ARP tabel van de computer waarmee je het SSH'en doet, welteverstaan. Niet de server.
Uh... oh ... :$

Koop hier mijn P1 reader :)

zondag 3 april 2011 22:05

Acties:
  • 0 Henk 'm!

Verwijderd

iMars schreef op zondag 03 april 2011 @ 21:54:

Uh... oh ... :$
Dat betekent dus nu (in een normale situatie) het mac adres vergelijken met het adres als je net zo'n melding hebt gekregen.

maandag 4 april 2011 10:58

Acties:
  • 0 Henk 'm!

Verwijderd

als ik het nog goed kan volgen is er een probleem met ethernet verkeer en de firewall?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

# here we create a chain to deal with unlegitimate packets
# and limit the number of alerts to 10/min
# packets will be drop without informing the sender
$IPT -N Badflags
$IPT -A Badflags -m limit --limit 10/minute -j LOG --log-prefix "Badflags: "
$IPT -A Badflags -j DROP

# A list of well known combination of Bad TCP flags
# we redirect those to the Badflags chain
# which is going to handle them (log and drop)
$IPT -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ACK,URG URG -j Badflags
$IPT -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j Badflags
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j Badflags
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL ALL -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j Badflags
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j Badflags


wis de log van de firewall, start de log opnieuw en doe vanop je laptop terug een grote datatransfer waar het verkeerd loopt, vermoedelijk zie je geblokkeerd netwerkverkeer van je laptop?
firewall dropped verbinding als 1 van de situaties hierboven zich voordoet?
eventueel kijken om firewall zo in te stellen wanneer de situatie zich voordoet enkel vanaf jou laptop binnen het thuisnetwerk met jou vast LAN ip adres en MAC adres voor de ssh verbinding de foute packets te aanvaarden?

maandag 4 april 2011 13:06

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Nou, wat me nu opvalt, is dat het alleen gebeurd op de interne netwerk. Als ik via internet met SSH inlog, blijft mijn verbinding de gehele dag open. Maar op het interne net werk knalt de verbinding er regelmatig uit met eerder genoemde meldingen.

Mijn vermoeden is dat het de access point is. Denk niet zozeer de firewall, want als ik iets vanuit mijn homedir kopieer naar mijn laptop, heeft dat weinig met mijn firewall te maken, die staat helemaal open op de interne netwerk.

Koop hier mijn P1 reader :)

maandag 4 april 2011 15:54

Acties:
  • 0 Henk 'm!

Verwijderd

Heb je hier iets aan?

maandag 4 april 2011 21:35

Acties:
  • 0 Henk 'm!

Verwijderd

Leg eens uit waarom dat WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! zou veroorzaken.

maandag 4 april 2011 23:16

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Ik denk niet dat het de server is, omdat ik extern wel zonder problemen een verbinding kan habben, zonder dat deze afkapt...

Dit is mijn arp toen begin van de avond de verbinding verbrak:
? (172.16.154.255) at ff:ff:ff:ff:ff:ff on vmnet1 ifscope [ethernet]
? (172.16.166.255) at (incomplete) on vmnet8 ifscope [ethernet]
? (192.168.2.1) at 0:25:90:32:cf:58 on en1 ifscope [ethernet] <- server
? (192.168.2.51) at 0:1f:3b:1e:60:27 on en1 ifscope [ethernet] <- Mijn MacBook Pro
? (192.168.2.52) at 0:25:bc:2a:16:2e on en1 ifscope [ethernet] <- iPhone vriendin
? (192.168.2.53) at 0:23:df:61:f7:80 on en1 ifscope [ethernet] <- Mijn iPhone
? (192.168.2.250) at 0:21:4:3d:22:1b on en1 ifscope [ethernet] <- ap
? (192.168.2.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet] <-- ???

Koop hier mijn P1 reader :)

maandag 4 april 2011 23:21

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Verwijderd schreef op maandag 04 april 2011 @ 15:54:
Heb je hier iets aan?
Het gebeurd ook als ik via scp wat kopieer van/naar mijn server... dus inactiviteit zal het niet zijn dunkt me...

Wilde toch al mijn AP vervangen door een TP-LINK 4p GB switch + wifi

Koop hier mijn P1 reader :)

dinsdag 5 april 2011 08:07

Acties:
  • 0 Henk 'm!

Verwijderd

in je thuis netwerk zit je met 2 netwerk segmenten?
192.168.2.xxx
172.16.154.xxx & 172.16.166.xxx

20-bit block
172.16.0.0 tot 172.31.255.255 class B 172.16.0.0/12 (255.240.0.0) 20 bits
16-bit block
192.168.0.0 tot 192.168.255.255 class C 192.168.0.0/16 (255.255.0.0) 16 bits

dinsdag 5 april 2011 08:29

Acties:
  • 0 Henk 'm!

Verwijderd

Jan, waarom begin je daarover? Ik snap niet hoe dat relevant is.

@iMars: ik heb een vermoeden dat je het moet zoeken in DHCP. Doet je access point ook dienst als DHCP server? Zo ja, dan moet je eerst kijken naar de instellingen. Welke adressen mag je access point uitdelen?
Sowieso kun je de DHCP server op je AP het best uitschakelen als je server/router/gateway dat al doet.

dinsdag 5 april 2011 08:54

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
Verwijderd schreef op dinsdag 05 april 2011 @ 08:07:
in je thuis netwerk zit je met 2 netwerk segmenten?
192.168.2.xxx
172.16.154.xxx & 172.16.166.xxx

20-bit block
172.16.0.0 tot 172.31.255.255 class B 172.16.0.0/12 (255.240.0.0) 20 bits
16-bit block
192.168.0.0 tot 192.168.255.255 class C 192.168.0.0/16 (255.255.0.0) 16 bits
De 172.x.x.x reeks is voor mijn VMware. Deze staat uit en doet dus niks.
Verwijderd schreef op dinsdag 05 april 2011 @ 08:29:
Jan, waarom begin je daarover? Ik snap niet hoe dat relevant is.

@iMars: ik heb een vermoeden dat je het moet zoeken in DHCP. Doet je access point ook dienst als DHCP server? Zo ja, dan moet je eerst kijken naar de instellingen. Welke adressen mag je access point uitdelen?
Sowieso kun je de DHCP server op je AP het best uitschakelen als je server/router/gateway dat al doet.
Alles wordt door de server geregeld, ook DHCP. DHCP op de access point staat uitgeschakeld.

Dit is mijn DHCP config:
code:
1
2
3
4
5
6
7
8

option domain-name "een.domein.naam";
option domain-name-servers 192.168.2.1;
option routers 192.168.2.1;
default-lease-time 3600;
max-lease-time 7200;
subnet 192.168.2.0 netmask 255.255.255.0 {
    range 192.168.2.50 192.168.2.100;
}

Koop hier mijn P1 reader :)

dinsdag 5 april 2011 10:33

Acties:
  • 0 Henk 'm!

Verwijderd

DHCP niet gebruiken voor vaste gebruikers in je thuis netwerk, gebruik hiervoor static ip adressen. De static adressen uitsluiten voor verdeling in dhcp. static ip: 192.168.2.51 voor Mijn MacBook Pro dan DHCP range: 192.168.2.52 192.168.2.100. Zo sluit je veranderingen op dit niveau al uit.
Heb al vreemde dingen gezien met netwerken, toestanden die niet willen verbinden op 172.16.0.0 tot 172.31.255.255 en wel in 192.168.0.0 tot 192.168.255.255. Bvb Samsung flatscreens in combinatie met Sagem VDSL2 modem/router. Theoretisch werkt het, in de praktijk niet. Wordt je wifi signaal niet gestoord en verbreekt de verbinding niet hierdoor? Wifi signalen eens nakijken met met Kismet of InSSIDer, Windows of Linux (alpha).
http://www.kismetwireless.net/
www.metageek.net/products/inssider/linux/

dinsdag 5 april 2011 10:48

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

[quote]iMars schreef op maandag 04 april 2011 @ 23:16:
Ik denk niet dat het de server is, omdat ik extern wel zonder problemen een verbinding kan habben, zonder dat deze afkapt...

Dit is mijn arp toen begin van de avond de verbinding verbrak:
? (192.168.2.1) at 0:25:90:32:cf:58 on en1 ifscope [ethernet] <- server


En is dit daadwerkelijk het MAC-adres van je server? Te vinden in 'ifconfig'.
? (192.168.2.255) at ff:ff:ff:ff:ff:ff on en1 ifscope [ethernet] <-- ???
Broadcast.

[ Voor 10% gewijzigd door CyBeR op 05-04-2011 10:49 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 5 april 2011 11:18

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
CyBeR schreef op dinsdag 05 april 2011 @ 10:48:
[quote]iMars schreef op maandag 04 april 2011 @ 23:16:
Ik denk niet dat het de server is, omdat ik extern wel zonder problemen een verbinding kan habben, zonder dat deze afkapt...

Dit is mijn arp toen begin van de avond de verbinding verbrak:
? (192.168.2.1) at 0:25:90:32:cf:58 on en1 ifscope [ethernet] <- server


En is dit daadwerkelijk het MAC-adres van je server? Te vinden in 'ifconfig'.


[...]


Broadcast.
MAC-adres van de server klopt... stond niet in de ifconfig, maar in de /etc/udev/rules.d/70-persistent-net.rules

Koop hier mijn P1 reader :)

dinsdag 5 april 2011 13:29

Acties:
  • 0 Henk 'm!
  • hiekikowan
  • Registratie: Februari 2011
  • Laatst online: 07-09 17:37

hiekikowan

Onderstaand artikel heeft ons geholpen dit probleem op te lossen;

http://www.cyberciti.biz/...anged-error-and-solution/

dinsdag 5 april 2011 14:15

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

iMars schreef op dinsdag 05 april 2011 @ 11:18:
[...]

MAC-adres van de server klopt... stond niet in de ifconfig, maar in de /etc/udev/rules.d/70-persistent-net.rules
Het moet ook in ifconfig staan, als zodanig:

eth1      Link encap:Ethernet  HWaddr d8:d3:85:e3:a3:b1  
          inet addr:192.168.1.93  Bcast:192.168.1.255  Mask:255.255.255.0


na HWaddr. Als daar iets anders staat dan is dat in zichzelf al interessant.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 5 april 2011 14:39

Acties:
  • 0 Henk 'm!
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 15-09 21:00

iMars

Full time prutser

Topicstarter
CyBeR schreef op dinsdag 05 april 2011 @ 14:15:
[...]


Het moet ook in ifconfig staan, als zodanig:

eth1      Link encap:Ethernet  HWaddr d8:d3:85:e3:a3:b1  
          inet addr:192.168.1.93  Bcast:192.168.1.255  Mask:255.255.255.0


na HWaddr. Als daar iets anders staat dan is dat in zichzelf al interessant.
lol, was in de war met /etc/network/interdace 8)7 


root@imars:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:25:90:32:cf:58
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::225:90ff:fe32:cf58/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7392811 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11364734 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:630797860 (601.5 MiB)  TX bytes:14895155729 (13.8 GiB)
          Memory:fe9e0000-fea00000

eth1      Link encap:Ethernet  HWaddr 00:25:90:32:xx:xx
          inet addr:xxx.xxx.xxx.xxx  Bcast:255.255.255.255  Mask:255.255.255.0
          inet6 addr: xxxx::xxx:xxxx:xxxx:xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:31561026 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13352768 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:33063324211 (30.7 GiB)  TX bytes:1014158963 (967.1 MiB)
          Memory:feae0000-feb00000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1022 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1022 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:216542 (211.4 KiB)  TX bytes:216542 (211.4 KiB)




root@imars:~# cat /etc/udev/rules.d/70-persistent-net.rules
# This file was automatically generated by the /lib/udev/write_net_rules
# program, run by the persistent-net-generator.rules rules file.
#
# You can modify it, as long as you keep each rule on a single
# line, and change only the value of the NAME= key.

# PCI device 0x8086:0x10d3 (e1000e)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:25:90:32:cf:58", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"

# PCI device 0x8086:0x10d3 (e1000e)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:25:90:32:xx:xx", ATTR{dev_id}=="0x0", ATTR{type}=="1", KERNEL=="eth*", NAME="eth1"


Dat klopt wel...

Koop hier mijn P1 reader :)

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq