皆様、こんにちは。
ADSLモデム
|
RedHat9
RedHat9から突然外部にpingが飛ばなくなってしまいました。
そして、名前解決出来なくなってしまい困っています。
/var/log/messagesを見てみますと。
:
TYPE=11 CODE=0 [SRC=ccc.ccc.ccc.ccc DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=49119 PROTO=ICMP TYPE=8 CODE=0 ID=37009 SEQ=38 ]
Nov 17 19:47:00 redhat9 su(pam_unix)[10396]: session opened for user root by (uid=0)
Nov 17 19:47:02 redhat9 su(pam_unix)[10396]: session closed for user root
Nov 17 19:48:12 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ddd.ddd.ddd.ddd DST=ccc.ccc.ccc.ccc LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=23134 PROTO=ICMP TYPE=11 CODE=0 [SRC=ccc.ccc.ccc.ccc DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=49143 PROTO=ICMP TYPE=8 CODE=0 ID=45157 SEQ=8 ]
Nov 17 19:48:18 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=fff.fff.fff.fff DST=ccc.ccc.ccc.ccc LEN=56 TOS=0x00 PREC=0x00 TTL=250 ID=0 PROTO=ICMP TYPE=11 CODE=0 [SRC=ccc.ccc.ccc.ccc DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=49149 PROTO=ICMP TYPE=8 CODE=0 ID=45157 SEQ=14 ]
Nov 17 19:48:23 redhat9 adsl-connect: ADSL connection lost; attempting re-connection.
Nov 17 19:48:23 redhat9 /etc/hotplug/net.agent: NET unregister event not supported
Nov 17 19:48:28 redhat9 pppd[12920]: pppd 2.4.1 started by root, uid 0
Nov 17 19:48:28 redhat9 pppd[12920]: Using interface ppp0
Nov 17 19:48:28 redhat9 pppd[12920]: Connect: ppp0 <--> /dev/pts/0
Nov 17 19:48:28 redhat9 /etc/hotplug/net.agent: assuming ppp0 is already up
Nov 17 19:48:29 redhat9 pppoe[12921]: PPP session is 201
Nov 17 19:48:29 redhat9 pppd[12920]: local IP address eee.eee.eee.eee
Nov 17 19:48:29 redhat9 pppd[12920]: remote IP address xxx.xxx.xxx.xxx
Nov 17 19:50:13 redhat9 ddclient[2530]: WARNING: cannot connect to members.dyndns.org:80 socket: IO::Socket::INET: Bad hostname 'members.dyndns.org'
Nov 17 19:50:13 redhat9 ddclient[2530]: FAILED: updating redhat9.ddyn.net: Could not connect to members.dyndns.org.
:
(中略)
:
=0xC0 TTL=64 ID=10075 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33056 LEN=43 ]
Nov 17 19:51:46 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=10076 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33057 LEN=43 ]
Nov 17 19:52:00 redhat9 su(pam_unix)[18599]: session opened for user root by (uid=0)
Nov 17 19:52:03 redhat9 su(pam_unix)[18599]: session closed for user root
Nov 17 19:53:34 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC:
(中略)
:
=0xC0 TTL=64 ID=10152 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33075 LEN=43 ]
Nov 17 19:55:23 redhat9 ddclient[2530]: WARNING: cannot connect to members.dyndns.org:80 socket: IO::Socket::INET: Bad hostname 'members.dyndns.org'
Nov 17 19:55:23 redhat9 ddclient[2530]: FAILED: updating redhat9.ddyn.net: Could not connect to members.dyndns.org.
Nov 17 19:56:23 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=87 TOS=0x00 PREC=0xC0 TTL=64 ID=10158 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33091 LEN=39 ]
:
(中略)
:
=0xC0 TTL=64 ID=10572 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33223 LEN=39 ]
Nov 17 20:09:52 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=87 TOS=0x00 PREC=0xC0 TTL=64 ID=10573 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33223 LEN=39 ]
Nov 17 20:10:10 redhat9 named[3034]: listening on IPv4 interface ppp0, eee.eee.eee.eee#53
Nov 17 20:10:26 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=10586 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33224 LEN=43 ]
:
(中略)
:
=0xC0 TTL=64 ID=10653 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33250 LEN=43 ]
Nov 17 20:12:00 redhat9 su(pam_unix)[18846]: session opened for user root by (uid=0)
Nov 17 20:12:03 redhat9 su(pam_unix)[18846]: session closed for user root
Nov 17 20:13:26 redhat9 portsentry[3078]: attackalert: Host 193.217.165.85 has been blocked via dropped route using command: "/etc/myScript/portsentry.sh 193.217.165.85"
Nov 17 20:13:30 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=10662 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=33250 LEN=43 ]
といった感じになっていました。また、非公開でネームサーバを稼動しています。バージョンは
$ rpm -qa | grep bind
redhat-config-bind-1.9.0-13
kdebindings-devel-3.1-6
bind-utils-9.2.1-16
ypbind-1.11-4
kdebindings-3.1-6
bind-9.2.1-16
bind-devel-9.2.1-16
です。今回の障害発生後はppp0の切断・再接続、namedのリスタートを試してみました。でもダメでした。
下記は順次その時の動作状況です。
# service named status
number of zones: 8
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running
# service named stop
namedを停止中:
# tail -f /var/log/messages
Nov 17 21:35:59 redhat9 named[28733]: app.c:561: unexpected error:
Nov 17 21:35:59 redhat9 named[28733]: isc_app_shutdown() pthread_kill: No such process
# service named start
named: 既に実行中です
# ifdown ppp0
# tail -f /var/log/messages
Nov 17 21:37:00 redhat9 su(pam_unix)[29771]: session opened for user root by (uid=0)
Nov 17 21:37:01 redhat9 su(pam_unix)[29771]: session closed for user root
Nov 17 21:37:10 redhat9 adsl-stop: Killing pppd
Nov 17 21:37:11 redhat9 pppd[28529]: Terminating on signal 15.
Nov 17 21:37:11 redhat9 adsl-stop: Killing adsl-connect
Nov 17 21:37:11 redhat9 pppd[28529]: Connection terminated.
Nov 17 21:37:11 redhat9 pppd[28529]: Connect time 11.8 minutes.
Nov 17 21:37:11 redhat9 pppd[28529]: Sent 30 bytes, received 632 bytes.
Nov 17 21:37:11 redhat9 pppoe[28534]: read (asyncReadFromPPP): Session 1935: Input/output error
Nov 17 21:37:11 redhat9 pppoe[28534]: Sent PADT
Nov 17 21:37:11 redhat9 /etc/hotplug/net.agent: NET unregister event not supported
Nov 17 21:37:11 redhat9 pppd[28529]: Exit.
# ifconfig ppp0
ppp0: error fetching interface information: Device not found
# service named start
named: 既に実行中です
# tail -f /var/log/messages
Nov 17 21:38:06 redhat9 ntpd[2517]: sendto(210.173.160.27): Network is unreachable
Nov 17 21:38:13 redhat9 modprobe: modprobe: Can't locate module ppp0
Nov 17 21:38:20 redhat9 ntpd[2517]: sendto(210.150.254.122): Network is unreachable
Nov 17 21:38:28 redhat9 modprobe: modprobe: Can't locate module ppp0
# service named status
number of zones: 8
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running
# ifup ppp0
# tail -f /var/log/messages
Nov 17 21:39:48 redhat9 pppd[30287]: pppd 2.4.1 started by root, uid 0
Nov 17 21:39:48 redhat9 pppd[30287]: Using interface ppp0
Nov 17 21:39:48 redhat9 pppd[30287]: Connect: ppp0 <--> /dev/pts/0
Nov 17 21:39:48 redhat9 /etc/hotplug/net.agent: assuming ppp0 is already up
Nov 17 21:39:48 redhat9 pppoe[30288]: PPP session is 2145
Nov 17 21:39:49 redhat9 pppd[30287]: local IP address yyy.yyy.yyy.yyy
Nov 17 21:39:49 redhat9 pppd[30287]: remote IP address xxx.xxx.xxx.xxx
Nov 17 21:39:49 redhat9 ntpd[2517]: Connection re-established to zzz.zzz.zzz.zzz
# ifdown ppp0
# tail -f /var/log/messages
Nov 17 21:41:25 redhat9 pppd[30638]: local IP address vvv.vvv.vvv.vvv
Nov 17 21:41:25 redhat9 pppd[30638]: remote IP address xxx.xxx.xxx.xxx
Nov 17 21:41:29 redhat9 adsl-stop: Killing pppd
Nov 17 21:41:29 redhat9 pppd[30638]: Terminating on signal 15.
Nov 17 21:41:29 redhat9 adsl-stop: Killing adsl-connect
Nov 17 21:41:29 redhat9 pppd[30638]: Connection terminated.
Nov 17 21:41:29 redhat9 pppd[30638]: Connect time 0.2 minutes.
Nov 17 21:41:29 redhat9 pppd[30638]: Sent 30 bytes, received 30 bytes.
Nov 17 21:41:29 redhat9 pppoe[30639]: read (asyncReadFromPPP): Session 2168: Input/output error
Nov 17 21:41:29 redhat9 pppoe[30639]: Sent PADT
Nov 17 21:41:29 redhat9 /etc/hotplug/net.agent: NET unregister event not supported
Nov 17 21:41:29 redhat9 pppd[30638]: Exit.
# ps ax |grep named
28733 ? S 0:00 [named]
30763 pts/5 S 0:00 grep named
# kill 28733
# ps ax |grep named
30763 pts/5 S 0:00 grep named
# tail -f /var/log/messages
Nov 17 21:42:00 redhat9 su(pam_unix)[30767]: session opened for user root by (uid=0)
Nov 17 21:42:02 redhat9 su(pam_unix)[30767]: session closed for user root
Nov 17 21:42:11 redhat9 named[28733]: shutting down: flushing changes
Nov 17 21:42:11 redhat9 named[28733]: stopping command channel on 127.0.0.1#953
Nov 17 21:42:11 redhat9 named[28733]: no longer listening on 127.0.0.1#53
Nov 17 21:42:11 redhat9 named[28733]: no longer listening on 192.168.0.1#53
Nov 17 21:42:11 redhat9 named[28733]: no longer listening on 192.168.1.1#53
Nov 17 21:42:11 redhat9 named[28733]: no longer listening on ccc.ccc.ccc.ccc#53
Nov 17 21:42:11 redhat9 named[28733]: no longer listening on uuu.uuu.uuu.uuu#53
Nov 17 21:42:11 redhat9 named[28733]: exiting
# ifup ppp0
# tail -f /var/log/messages
Nov 17 21:43:24 redhat9 pppd[31028]: pppd 2.4.1 started by root, uid 0
Nov 17 21:43:24 redhat9 pppd[31028]: Using interface ppp0
Nov 17 21:43:24 redhat9 pppd[31028]: Connect: ppp0 <--> /dev/pts/0
Nov 17 21:43:24 redhat9 /etc/hotplug/net.agent: assuming ppp0 is already up
Nov 17 21:43:25 redhat9 pppoe[31029]: PPP session is 2196
Nov 17 21:43:25 redhat9 pppd[31028]: local IP address aaa.aaa.aaa.aaa
Nov 17 21:43:25 redhat9 pppd[31028]: remote IP address xxx.xxx.xxx.xxx
# service named status
rndc: connect failed: connection refused
# service named start
# tail -f /var/log/messages
Nov 17 21:44:29 redhat9 named[31280]: starting BIND 9.2.1 -u named
Nov 17 21:44:29 redhat9 named[31280]: using 1 CPU
Nov 17 21:44:29 redhat9 named[31280]: loading configuration from '/etc/named.conf'
Nov 17 21:44:29 redhat9 11月 17 21:44:29 named: named起動 succeeded
Nov 17 21:44:29 redhat9 named[31280]: no IPv6 interfaces found
Nov 17 21:44:29 redhat9 named[31280]: listening on IPv4 interface lo, 127.0.0.1#53
Nov 17 21:44:29 redhat9 named[31280]: listening on IPv4 interface eth0, 192.168.0.1#53
Nov 17 21:44:29 redhat9 named[31280]: listening on IPv4 interface eth2, 192.168.1.1#53
Nov 17 21:44:29 redhat9 named[31280]: listening on IPv4 interface ipsec0, ccc.ccc.ccc.ccc#53
Nov 17 21:44:29 redhat9 named[31280]: listening on IPv4 interface ppp0, aaa.aaa.aaa.aaa#53
Nov 17 21:44:29 redhat9 named[31280]: command channel listening on 127.0.0.1#953
Nov 17 21:44:29 redhat9 named[31280]: zone 0.0.127.in-addr.arpa/IN: loaded serial 1997022700
Nov 17 21:44:29 redhat9 named[31280]: zone 0.168.192.in-addr.arpa/IN: loaded serial 1057993852
Nov 17 21:44:29 redhat9 named[31280]: zone 1.168.192.in-addr.arpa/IN: loaded serial 1055779334
Nov 17 21:44:29 redhat9 named[31280]: zone localhost/IN: loaded serial 42
Nov 17 21:44:29 redhat9 named[31280]: zone omega-redhat9.ddyn.net/IN: loaded serial 1055779106
Nov 17 21:44:29 redhat9 named[31280]: zone redhat9.ddyn.net/IN: loaded serial 1065541252
Nov 17 21:44:29 redhat9 named[31280]: running
Nov 17 21:44:29 redhat9 named[31280]: zone omega-redhat9.ddyn.net/IN: sending notifies (serial 1055779106)
# service named status
number of zones: 8
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running
# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:xxx.xxx.xxx.xxx Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:16 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1212 (1.1 Kb) TX bytes:30 (30.0 b)
という風になりました。でも相変わらずpingが飛びません。
# ping -c3 xxx.xxx.xxx.xxx
PING xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) 56(84) bytes of data.
--- xxx.xxx.xxx.xxx ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2012ms
リブートすれば回復します。
リブートせずに復旧させる方法は無いものでしょうか?
こんばんは。
namedとpingがおかしくなっているということなら、おやじならシステムが壊れた?
とかHDDやメモリや電源等のハードの不調を疑いますが。
同時に2つおかしくなるなんて考えにくいですよね。
ご回答うれしく存じます。゜
> namedとpingがおかしくなっているということなら、おやじならシステムが壊れた?
> とかHDDやメモリや電源等のハードの不調を疑いますが。
> 同時に2つおかしくなるなんて考えにくいですよね。
職場と自宅でRedHat9を使用してまして(ほぼ環境も同じでして)、双方で時々同様の障害が発生しまうのです。
双方は異なるプロバイダを使用してます(双方ともpppoeに接続)のでハード的な問題とは考えにくいのです。
(片方はだいぶ中古と言えば中古ですが他方は購入してまもないです)
ログからは何とも言えないですかね。
> 職場と自宅でRedHat9を使用してまして(ほぼ環境も同じでして)、双方で時々同様の障害が発生しまうのです。
> 双方は異なるプロバイダを使用してます(双方ともpppoeに接続)のでハード的な問題とは考えにくいのです。
> (片方はだいぶ中古と言えば中古ですが他方は購入してまもないです)
となると、ネットワーク側の問題に見えますが、再起動で直るとなるとサーバ側の問題の
ように見えるので、正直アプローチ方法が見えてきませんが。
pingを、BRASゲートウェイ以外の他のところに打ってもダメですか?
pingに関して言えば、W32/Blaster ワーム以降、いくつかネットワーク側で変化が起こっている
可能性があるのではないでしょうか?(推定です)。これらのワームはまずpingを打って相手を
探してから、感染の試みをするので、ネットワーク側で負荷を下げる意味で、
1. pingに応答しないように設定を変えた。
2. ショートpingに応答しない、またはフィルタするように設定を変えた。
等が行われている可能性がないでしょうか?ロングpingなら通りませんか?無条件にフィルタ
されたらどうしようもありませんね。そもそも何でpingを打っているのかがありますが。
そういうおやじも、やたらワームのアクセスがあり、ログ上はトップディレクトリへの
アクセスログと同じため、はじくこともできない(user agentでもある程度はじけますが)ので、
ルータでWAN側アドレスへのicmpをステルスモードに変えています。
これで、ワームと思われる無用のアクセスは止まっています。
>> 職場と自宅でRedHat9を使用してまして(ほぼ環境も同じでして)、双方で時々同
>> 様の障害が発生しまうのです。
>> 双方は異なるプロバイダを使用してます(双方ともpppoeに接続)のでハード的な
>> 問題とは考えにくいのです。
>> (片方はだいぶ中古と言えば中古ですが他方は購入してまもないです)
> となると、ネットワーク側の問題に見えますが、再起動で直るとなるとサーバ側
> の問題の
> ように見えるので、正直アプローチ方法が見えてきませんが。
> pingを、BRASゲートウェイ以外の他のところに打ってもダメですか?
LAN内部には問題無く打てます。WANに向けてはダメですね。
$ ifconfig ppp0
で表示されるP-t-Pアドレスにさえも打てなくなったりする場合もあります。
> pingに関して言えば、W32/Blaster ワーム以降、いくつかネットワーク側で変化
> が起こっている
> 可能性があるのではないでしょうか?(推定です)。これらのワームはまずpingを
> 打って相手を
ん? RedHat9がウイルスに感染しているかもしれないという意味ですか?
> 探してから、感染の試みをするので、ネットワーク側で負荷を下げる意味で、
> 1. pingに応答しないように設定を変えた。
> 2. ショートpingに応答しない、またはフィルタするように設定を変えた。
私が知らない内に設定を変えてしまったのではという意味ですか?
それは無いと思いますが。
正常時にはpingは問題無く飛びます。
突然、pingが飛ばなくなってしまうので関係無いと思いますが(意味が通じてない?)。
> 等が行われている可能性がないでしょうか?ロングpingなら通りませんか?無条件
> にフィルタ
> されたらどうしようもありませんね。そもそも何でpingを打っているのかがありま
> すが。
ロングpingって何ですか。初めて聞きました。
因みにpingは
$ ping -c3 gaibu.host.co.jp
若しくはIPアドレスを直接指定して
$ ping -c3 gaibu.host.co.jp
として打っています。
> そういうおやじも、やたらワームのアクセスがあり、ログ上はトップディレクトリ
ワームへのアクセスというのは
=0xC0 TTL=64 ID=10572 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1
DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53
DPT=33223 LEN=39 ]
Nov 17 20:09:52 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT=
MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
LEN=87 TOS=0x00 PREC=0xC0 TTL=64 ID=10573 PROTO=ICMP TYPE=3 CODE=3
[SRC=127.0.0.1 DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=UDP SPT=53 DPT=33223 LEN=39 ]
Nov 17 20:10:10 redhat9 named[3034]: listening on IPv4 interface ppp0,
eee.eee.eee.eee#53
Nov 17 20:10:26 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT=
MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=10586 PROTO=ICMP TYPE=3 CODE=3
[SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
PROTO=UDP SPT=53 DPT=33224 LEN=43 ]
というログの事でしょうか?
確かにこれがズラズラ出ることが多くなりました。
> への
> アクセスログと同じため、はじくこともできない(user agentでもある程度はじけ
> ますが)ので、
> ルータでWAN側アドレスへのicmpをステルスモードに変えています。
> これで、ワームと思われる無用のアクセスは止まっています。
このステルスモードって具体的にどうすればいいのでしょか?
所で、今現在、ネットワーク状況は正常なのですが
# service named stop
namedを停止中:
# service named status
number of zones: 8
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
server is up and running
となり、停止させる事が出来ません。
これはどうすれば停止させれるのでしょうか?
(この時、/var/log/messgesにも何も出力されません)
こんばんは。
> LAN内部には問題無く打てます。WANに向けてはダメですね。
>
> $ ifconfig ppp0
> で表示されるP-t-Pアドレスにさえも打てなくなったりする場合もあります。
>
> > pingに関して言えば、W32/Blaster ワーム以降、いくつかネットワーク側で変化
> > が起こっている
> > 可能性があるのではないでしょうか?(推定です)。これらのワームはまずpingを
> > 打って相手を
> ん? RedHat9がウイルスに感染しているかもしれないという意味ですか?
>
> > 探してから、感染の試みをするので、ネットワーク側で負荷を下げる意味で、
> > 1. pingに応答しないように設定を変えた。
> > 2. ショートpingに応答しない、またはフィルタするように設定を変えた。
> 私が知らない内に設定を変えてしまったのではという意味ですか?
> それは無いと思いますが。
> 正常時にはpingは問題無く飛びます。
> 突然、pingが飛ばなくなってしまうので関係無いと思いますが(意味が通じてない?)。
違います。ワームが他に感染しようとpingで相手を探すので、ネットワーク側でpingを規制しているのでは?
という意味です。
> > 等が行われている可能性がないでしょうか?ロングpingなら通りませんか?無条件
> > にフィルタ
> > されたらどうしようもありませんね。そもそも何でpingを打っているのかがありま
> > すが。
> ロングpingって何ですか。初めて聞きました。
パケットサイズが大きいpingのことです。デフォルトでは64Byteですが、-s 1000としてあげれば、
1000Byteでパケットを投げます。パケットサイズ依存の問題を切り分けたい時には良く使います。
> ワームへのアクセスというのは
>
> =0xC0 TTL=64 ID=10572 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1
> DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53
> DPT=33223 LEN=39 ]
> Nov 17 20:09:52 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT=
> MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
> LEN=87 TOS=0x00 PREC=0xC0 TTL=64 ID=10573 PROTO=ICMP TYPE=3 CODE=3
> [SRC=127.0.0.1 DST=127.0.0.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
> PROTO=UDP SPT=53 DPT=33223 LEN=39 ]
> Nov 17 20:10:10 redhat9 named[3034]: listening on IPv4 interface ppp0,
> eee.eee.eee.eee#53
> Nov 17 20:10:26 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT=
> MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
> LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=10586 PROTO=ICMP TYPE=3 CODE=3
> [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF
> PROTO=UDP SPT=53 DPT=33224 LEN=43 ]
何となくですが、これが原因のような気がします。namedが止められないのも関係しているのでは?
これは、素直にみるとSPT=53,SRC=127.0.0.1ですからnamedからDST=127.0.0.1(自分自身)にping(PROTO=ICMP TYPE=3)を打っているというログですよね。こんな動きはしないと思うのですが。
namedが壊れているのではないですかね。2台とも同じCDから入れたのなら、CDがダメかもしれませんから
ダウンロードし直して入れなおして見てはどうですか?
> > アクセスログと同じため、はじくこともできない(user agentでもある程度はじけ
> > ますが)ので、
> > ルータでWAN側アドレスへのicmpをステルスモードに変えています。
> > これで、ワームと思われる無用のアクセスは止まっています。
> このステルスモードって具体的にどうすればいいのでしょか?
ルータを使われていないようなので、iptablesでICMPをDROPするのですが、pingが使えなくなります。
こんにちは。お手数をお掛けしております。
>> 私が知らない内に設定を変えてしまったのではという意味ですか?
>> それは無いと思いますが。
>> 正常時にはpingは問題無く飛びます。
>> 突然、pingが飛ばなくなってしまうので関係無いと思いますが(意味が通じてない
> ?)。
> 違います。ワームが他に感染しようとpingで相手を探すので、ネットワーク側で
> pingを規制しているのでは?
> という意味です。
えーと、つまり、私のPCがワーム感染の可能性があり、そのワームがping活動をした時に
外部のpppoe、メールサーバ等が私からのping応答を拒否しているのでは。と言う意味ですね。
なるほど、とすると
hostコマンド等で名前解決(ネームサーバはlocalhsot)すらも出来ないという事は
各NSに問い合わせもping同様に拒否されている可能性があるという事ですね。
実験用に職場にもRedHat9でサーバを立ててまして、そこのIPアドレス宛にping打ってもunreachableでした。
特にワームのping攻撃に対する対策は講じてはいませんが、自動的に設定されているという事はないですよね?
pingに関してのフィルタリングは
ANY=0.0.0.0/0
/sbin/iptables -A INPUT -p icmp --icmp-type 0 -m limit --limit 60/m --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 3 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 4 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 60/m --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 11 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 12 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j LOG --log-prefix "RuleLettingIcmpThrough"
/sbin/iptables -A OUTPUT -p icmp --icmp-type 8 -d $ANY -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp --icmp-type 0 -d $ANY -j ACCEPT
/sbin/iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --syn -j LOG --log-prefix "SynOnlyPacketLogging"
/sbin/iptables -A INPUT -p tcp --syn -j DROP
とだけpingフィルタリングしてます。
ワームってLinuxにも感染するのでしょうか?
LAN内にはWin2kがありますが、ウイルスバスター2004入れてますし、RedHat9には
sophosでたまにウイルスチェックはしてますし、qmailscanner+sophosで随時メールスキャニングもしてはいますけど。。。
> パケットサイズが大きいpingのことです。デフォルトでは64Byteですが、-s 1000
> としてあげれば、
> 1000Byteでパケットを投げます。パケットサイズ依存の問題を切り分けたい時には良
> く使います。
本日も同様の障害が発生しました。
ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14062 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=23 ]
Nov 22 16:38:28 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ccc.ccc.ccc.ccc DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=246 ID=26778 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14069 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=30 ]
Nov 22 16:38:35 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ddd.ddd.ddd.ddd DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=243 ID=0 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14076 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=37 ]
Nov 22 16:38:41 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.130.183.132 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=241 ID=10917 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14082 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=43 ]
Nov 22 16:41:50 redhat9 smtpd: 1069486910.510167 tcpserver: status: 1/40
Nov 22 16:41:50 redhat9 smtpd: 1069486910.510488 tcpserver: pid 23792 from 127.0.0.1
Nov 22 16:41:50 redhat9 smtpd: 1069486910.515895 tcpserver: ok 23792 localhost:127.0.0.1:25 localhost:127.0.0.1::33036
Nov 22 16:41:52 redhat9 smtpd: 1069486912.949963 tcpserver: end 23792 status 0
Nov 22 16:41:52 redhat9 smtpd: 1069486912.950091 tcpserver: status: 0/40
Nov 22 16:42:00 redhat9 su(pam_unix)[23806]: session opened for user root by (uid=0)
Nov 22 16:42:01 redhat9 su(pam_unix)[23806]: session closed for user root
Nov 22 16:43:05 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.143.145.211 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=46429 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14100 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=7 ]
Nov 22 16:43:11 redhat9 ntpd[2541]: time reset -0.297591 s
Nov 22 16:43:11 redhat9 ntpd[2541]: synchronisation lost
Nov 22 16:43:17 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=eee.eee.eee.eee DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=59 ID=41258 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14109 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=16 ]
Nov 22 16:43:23 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=fff.fff.fff.fff DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=248 ID=64258 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14116 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=23 ]
Nov 22 16:43:31 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ccc.ccc.ccc.ccc DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=246 ID=33231 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14123 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=30 ]
Nov 22 16:43:37 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.130.232.198 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=244 ID=25839 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14129 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=36 ]
Nov 22 16:43:45 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.130.183.132 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=241 ID=33907 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14141 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=45 ]
Nov 22 16:45:20 redhat9 /etc/hotplug/net.agent: NET unregister event not supported
Nov 22 16:45:20 redhat9 adsl-connect: ADSL connection lost; attempting re-connection.
Nov 22 16:45:24 redhat9 ntpd[2541]: sendto(ggg.ggg.ggg.ggg): Network is unreachable
Nov 22 16:45:25 redhat9 ntpd[2541]: sendto(hhh.hhh.hhh.hhh): Network is unreachable
Nov 22 16:45:25 redhat9 ntpd[2541]: sendto(133.40.7.40): Network is unreachable
Nov 22 16:45:25 redhat9 pppd[24306]: pppd 2.4.1 started by root, uid 0
Nov 22 16:45:25 redhat9 pppd[24306]: Using interface ppp0
Nov 22 16:45:25 redhat9 pppd[24306]: Connect: ppp0 <--> /dev/pts/0
Nov 22 16:45:25 redhat9 /etc/hotplug/net.agent: assuming ppp0 is already up
Nov 22 16:45:26 redhat9 pppoe[24307]: PPP session is 2172
Nov 22 16:45:26 redhat9 pppd[24306]: local IP address iii.iii.iii.iii
Nov 22 16:45:26 redhat9 pppd[24306]: remote IP address jjj.jjj.jjj.jjj
Nov 22 16:46:27 redhat9 ntpd[2541]: Connection re-established to ggg.ggg.ggg.ggg
Nov 22 16:46:28 redhat9 ntpd[2541]: Connection re-established to 133.40.7.40
Nov 22 16:46:29 redhat9 ntpd[2541]: Connection re-established to hhh.hhh.hhh.hhh
Nov 22 16:47:00 redhat9 su(pam_unix)[24382]: session opened for user root by (uid=0)
Nov 22 16:47:01 redhat9 su(pam_unix)[24382]: session closed for user root
Nov 22 16:47:19 redhat9 kernel: 7.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38767 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32975 LEN=43 ]
Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38768 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32971 LEN=43 ]
Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38769 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32972 LEN=43 ]
Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38770 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32973 LEN=43 ]
Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38771 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32974 LEN=43 ]
Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38772 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32976 LEN=43 ]
Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38773 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32977 LEN=43 ]
って具合です。早速ご紹介いただいたping -s 1000を
$ ping -c3 -s 1000 xxx.xxx.xxx.xxx
として試してみましたがunreachableでした。
これで試してみまして、unreachableになったり、
0 receivedになったりします。
> namedが壊れているのではないですかね。2台とも同じCDから入れたのなら、CDがダ
> メかもしれませんから
> ダウンロードし直して入れなおして見てはどうですか?
はい、検討してみます。
> ルータを使われていないようなので、iptablesでICMPをDROPするのですが、pingが
> 使えなくなります。
そうですか。でもワームには相変わらず 感染した状態なのですよね。
所で、ワームに感染しているかを確認する方法は有りますでしょうか?
こんばんは。
> > 違います。ワームが他に感染しようとpingで相手を探すので、ネットワーク側で
> > pingを規制しているのでは?
> > という意味です。
> えーと、つまり、私のPCがワーム感染の可能性があり、そのワームがping活動をした時に
> 外部のpppoe、メールサーバ等が私からのping応答を拒否しているのでは。と言う意味ですね。
違います。インターネット上にいる感染したホストが他に感染しようとpingを打って相手を探しているということです。
> hostコマンド等で名前解決(ネームサーバはlocalhsot)すらも出来ないという事は
> 各NSに問い合わせもping同様に拒否されている可能性があるという事ですね。
> 実験用に職場にもRedHat9でサーバを立ててまして、そこのIPアドレス宛にping打ってもunreachableでした。
> 特にワームのping攻撃に対する対策は講じてはいませんが、自動的に設定されているという事はないですよね?
> pingに関してのフィルタリングは
>
> ANY=0.0.0.0/0
> /sbin/iptables -A INPUT -p icmp --icmp-type 0 -m limit --limit 60/m --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p icmp --icmp-type 3 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p icmp --icmp-type 4 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 60/m --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p icmp --icmp-type 11 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p icmp --icmp-type 12 -m limit --limit 1/s --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p icmp -j LOG --log-prefix "RuleLettingIcmpThrough"
> /sbin/iptables -A OUTPUT -p icmp --icmp-type 8 -d $ANY -j ACCEPT
> /sbin/iptables -A OUTPUT -p icmp --icmp-type 0 -d $ANY -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT
> /sbin/iptables -A INPUT -p tcp --syn -j LOG --log-prefix "SynOnlyPacketLogging"
> /sbin/iptables -A INPUT -p tcp --syn -j DROP
これでは、外部からのpingに応答してしまうので、ワーム対策にはなりません。完全にINPUTでicmpをDROPしなければだめです。
> ワームってLinuxにも感染するのでしょうか?
> LAN内にはWin2kがありますが、ウイルスバスター2004入れてますし、RedHat9には
> sophosでたまにウイルスチェックはしてますし、qmailscanner+sophosで随時メールスキャニングもしてはいますけど。。。
これは未経験ですが、あるようです。
> > パケットサイズが大きいpingのことです。デフォルトでは64Byteですが、-s 1000
> > としてあげれば、
> > 1000Byteでパケットを投げます。パケットサイズ依存の問題を切り分けたい時には良
> > く使います。
> 本日も同様の障害が発生しました。
>
> ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14062 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=23 ]
> Nov 22 16:38:28 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ccc.ccc.ccc.ccc DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=246 ID=26778 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14069 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=30 ]
> Nov 22 16:38:35 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ddd.ddd.ddd.ddd DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=243 ID=0 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14076 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=37 ]
> Nov 22 16:38:41 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.130.183.132 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=241 ID=10917 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14082 PROTO=ICMP TYPE=8 CODE=0 ID=56244 SEQ=43 ]
> Nov 22 16:41:50 redhat9 smtpd: 1069486910.510167 tcpserver: status: 1/40
> Nov 22 16:41:50 redhat9 smtpd: 1069486910.510488 tcpserver: pid 23792 from 127.0.0.1
> Nov 22 16:41:50 redhat9 smtpd: 1069486910.515895 tcpserver: ok 23792 localhost:127.0.0.1:25 localhost:127.0.0.1::33036
> Nov 22 16:41:52 redhat9 smtpd: 1069486912.949963 tcpserver: end 23792 status 0
> Nov 22 16:41:52 redhat9 smtpd: 1069486912.950091 tcpserver: status: 0/40
> Nov 22 16:42:00 redhat9 su(pam_unix)[23806]: session opened for user root by (uid=0)
> Nov 22 16:42:01 redhat9 su(pam_unix)[23806]: session closed for user root
> Nov 22 16:43:05 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.143.145.211 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=253 ID=46429 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14100 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=7 ]
> Nov 22 16:43:11 redhat9 ntpd[2541]: time reset -0.297591 s
> Nov 22 16:43:11 redhat9 ntpd[2541]: synchronisation lost
> Nov 22 16:43:17 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=eee.eee.eee.eee DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=59 ID=41258 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14109 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=16 ]
> Nov 22 16:43:23 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=fff.fff.fff.fff DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=248 ID=64258 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14116 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=23 ]
> Nov 22 16:43:31 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=ccc.ccc.ccc.ccc DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=246 ID=33231 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14123 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=30 ]
> Nov 22 16:43:37 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.130.232.198 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=244 ID=25839 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14129 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=36 ]
> Nov 22 16:43:45 redhat9 kernel: RuleLettingIcmpThroughIN=ppp0 OUT= MAC= SRC=210.130.183.132 DST=aaa.aaa.aaa.aaa LEN=56 TOS=0x00 PREC=0x00 TTL=241 ID=33907 PROTO=ICMP TYPE=11 CODE=0 [SRC=aaa.aaa.aaa.aaa DST=bbb.bbb.bbb.bbb LEN=38 TOS=0x00 PREC=0x00 TTL=1 ID=14141 PROTO=ICMP TYPE=8 CODE=0 ID=56821 SEQ=45 ]
> Nov 22 16:45:20 redhat9 /etc/hotplug/net.agent: NET unregister event not supported
> Nov 22 16:45:20 redhat9 adsl-connect: ADSL connection lost; attempting re-connection.
> Nov 22 16:45:24 redhat9 ntpd[2541]: sendto(ggg.ggg.ggg.ggg): Network is unreachable
> Nov 22 16:45:25 redhat9 ntpd[2541]: sendto(hhh.hhh.hhh.hhh): Network is unreachable
> Nov 22 16:45:25 redhat9 ntpd[2541]: sendto(133.40.7.40): Network is unreachable
> Nov 22 16:45:25 redhat9 pppd[24306]: pppd 2.4.1 started by root, uid 0
> Nov 22 16:45:25 redhat9 pppd[24306]: Using interface ppp0
> Nov 22 16:45:25 redhat9 pppd[24306]: Connect: ppp0 <--> /dev/pts/0
> Nov 22 16:45:25 redhat9 /etc/hotplug/net.agent: assuming ppp0 is already up
> Nov 22 16:45:26 redhat9 pppoe[24307]: PPP session is 2172
> Nov 22 16:45:26 redhat9 pppd[24306]: local IP address iii.iii.iii.iii
> Nov 22 16:45:26 redhat9 pppd[24306]: remote IP address jjj.jjj.jjj.jjj
> Nov 22 16:46:27 redhat9 ntpd[2541]: Connection re-established to ggg.ggg.ggg.ggg
> Nov 22 16:46:28 redhat9 ntpd[2541]: Connection re-established to 133.40.7.40
> Nov 22 16:46:29 redhat9 ntpd[2541]: Connection re-established to hhh.hhh.hhh.hhh
> Nov 22 16:47:00 redhat9 su(pam_unix)[24382]: session opened for user root by (uid=0)
> Nov 22 16:47:01 redhat9 su(pam_unix)[24382]: session closed for user root
> Nov 22 16:47:19 redhat9 kernel: 7.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38767 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32975 LEN=43 ]
おやじがおかしいと思うのは、前半のログではなくこのログ(この後もそうですが)。単にlocalでdnsを牽いているだけかなと思ったのですが、SPTが53ということはDNSからの返りのパケット。でもDSTが53のパケットが無い?
あとこのログの見方がよくわからないのです。ICMPとUDPが何でいっしょなのか?
> Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38768 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32971 LEN=43 ]
> Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38769 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32972 LEN=43 ]
> Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38770 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32973 LEN=43 ]
> Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38771 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32974 LEN=43 ]
> Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38772 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32976 LEN=43 ]
> Nov 22 16:47:19 redhat9 kernel: RuleLettingIcmpThroughIN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=91 TOS=0x00 PREC=0xC0 TTL=64 ID=38773 PROTO=ICMP TYPE=3 CODE=3 [SRC=127.0.0.1 DST=127.0.0.1 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=53 DPT=32977 LEN=43 ]
>
> って具合です。早速ご紹介いただいたping -s 1000を
> $ ping -c3 -s 1000 xxx.xxx.xxx.xxx
> として試してみましたがunreachableでした。
>
> これで試してみまして、unreachableになったり、
> 0 receivedになったりします。
どこに打った場合かわかりませんが、ネットワークがおかしいのかもしれませんね。ループしたりアドレスがぶつかったり。
traceroute -i インタフェース名(eth0等) xxx.xxx.xxx.xxx
とすると、どういう経路でパケットが中継されているかがわかります。(icmpがフィルタされているとだめですが)
> > namedが壊れているのではないですかね。2台とも同じCDから入れたのなら、CDがダ
> > メかもしれませんから
> > ダウンロードし直して入れなおして見てはどうですか?
> はい、検討してみます。
>
> > ルータを使われていないようなので、iptablesでICMPをDROPするのですが、pingが
> > 使えなくなります。
> そうですか。でもワームには相変わらず 感染した状態なのですよね。
上記のとおりで、感染している訳ではないですよ。
遅くなってしまいました。スイマセン。今日の夕方にやっと障害が発生してtracerouteを試す事が出来ました。
>> 外部のpppoe、メールサーバ等が私からのping応答を拒否しているのでは。と言
>> う意味ですね。
> 違います。インターネット上にいる感染したホストが他に感染しようとpingを
> 打って相手を探しているということです。
あっ。そういう意味だったのですね。
>> pingに関してのフィルタリングは
> > ANY=0.0.0.0/0
:
> > /sbin/iptables -A INPUT -p tcp --syn -j LOG --log-prefix
> "SynOnlyPacketLogging"
> > /sbin/iptables -A INPUT -p tcp --syn -j DROP
> これでは、外部からのpingに応答してしまうので、ワーム対策にはなりませ
ん。
> 完全にINPUTでicmpをDROPしなければだめです。
:
/sbin/iptables -A INPUT -i ppp0 -m state --state INVALID -j DROP
/sbin/iptables -A FORWARD -i ppp0 -m state --state INVALID -j DROP
#ワーム対策
/sbin/iptables -A INPUT -p icmp --icmp-type 11 -j DROP
# ICMPを通すルールです。-mで明示的にlimitモジュールをロードして、過度のパ
ケットは無視する。
/sbin/iptables -A INPUT -p icmp --icmp-type 0 -m limit --limit
60/m --limit-burst 5 -j ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type 3 -m limit --limit
1/s --limit-burst 5 -j ACCEPT
:
という風にしました。これで/var/log/messagesのログが格段に減りました。
>> sophosでたまにウイルスチェックはしてますし、qmailscanner+sophosで随時
> メールスキャニングもしてはいますけど。。。
> これは未経験ですが、あるようです。
肝に銘じて置きます。
>> 0 receivedになったりします。
> どこに打った場合かわかりませんが、ネットワークがおかしいのかもしれません
> ね。ループしたりアドレスがぶつかったり。
$ ping -c3 www.yahoo.co.jp
や
$ ping -c3 ISPのネームサーバのIPアドレス
としました。
> traceroute -i インタフェース名(eth0等) xxx.xxx.xxx.xxx
>
> とすると、どういう経路でパケットが中継されているかがわかります。(icmpが
> フィルタされているとだめですが)
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:00:21:E8:D0:A6
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9624020 errors:1051 dropped:203 overruns:1051 frame:0
TX packets:6965504 errors:0 dropped:0 overruns:19 carrier:0
collisions:0 txqueuelen:100
RX bytes:3326952654 (3172.8 Mb) TX bytes:3910372163 (3729.2 Mb)
Interrupt:5 Base address:0xe000
eth1 Link encap:Ethernet HWaddr 00:07:40:1E:CC:72
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6534195 errors:0 dropped:0 overruns:0 frame:0
TX packets:10292475 errors:0 dropped:0 overruns:0 carrier:0
collisions:84981 txqueuelen:100
RX bytes:1252665875 (1194.6 Mb) TX bytes:1046534497 (998.0 Mb)
Interrupt:10 Base address:0x8000
eth2 Link encap:Ethernet HWaddr 00:10:DC:52:9D:AD
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:240 (240.0 b)
Interrupt:11 Base address:0xa000
ipsec0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:159786 errors:0 dropped:0 overruns:0 frame:0
TX packets:159786 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41256293 (39.3 Mb) TX bytes:41256293 (39.3 Mb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:bbb.bbb.bbb.bbb Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:598 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:53918 (52.6 Kb) TX bytes:30 (30.0 b)
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix `lo Inbound Packet : '
ACCEPT all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level warning prefix `ppp0 Inbound Packet : '
LOG all -- anywhere anywhere LOG level warning prefix `eth0 Inbound Packet : '
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG all -- 192.168.0.0/24 anywhere LOG level warning prefix `eth0 Inbound Packet : '
LOG all -- anywhere 192.168.0.0/24 LOG level warning prefix `eth0 Outbound Packet : '
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning prefix `lo Outbound Packet : '
ACCEPT all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level warning prefix `ppp0 Outbound Packet : '
LOG all -- anywhere anywhere LOG level warning prefix `eth0 Outbound Packet : '
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
# cat /etc/resolv.conf
domain redhat9.ddyndns.net
nameserver ccc.ccc.ccc.ccc
nameserver ddd.ddd.ddd.ddd
↑
ISPのネームサーバです。
# ping -c3 ccc.ccc.ccc.ccc
connect: Network is unreachable
# ping -c3 bbb.bbb.bbb.bbb
PING bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 56(84) bytes of data.
64 bytes from bbb.bbb.bbb.bbb: icmp_seq=1 ttl=255 time=39.7 ms
64 bytes from bbb.bbb.bbb.bbb: icmp_seq=2 ttl=255 time=39.2 ms
64 bytes from bbb.bbb.bbb.bbb: icmp_seq=3 ttl=255 time=39.0 ms
--- bbb.bbb.bbb.bbb ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2027ms
rtt min/avg/max/mdev = 39.089/39.375/39.764/0.365 ms
# traceroute -i ppp0 ccc.ccc.ccc.ccc
traceroute to ccc.ccc.ccc.ccc (ccc.ccc.ccc.ccc), 30 hops max, 38 byte packets
1 bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 31.964 ms 38.500 ms 38.180 ms
2 eee.eee.eee.eee (eee.eee.eee.eee) 60.988 ms 60.570 ms 61.807 ms
3 fff.fff.fff.fff (fff.fff.fff.fff) 64.084 ms 62.229 ms 62.596 ms
4 ccc.ccc.ccc.ccc (ccc.ccc.ccc.ccc) 61.366 ms 63.165 ms 60.916 ms
# traceroute -i eth1 ccc.ccc.ccc.ccc
socket: No such device
# traceroute -i ppp0 bbb.bbb.bbb.bbb
traceroute to bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb), 30 hops max, 38 byte packets
1 bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 49.988 ms * 39.060 ms
という風になりました(namedは停止中)。下記は再接続して再度試してみました。
# ifdown ppp0
# ifup ppp
# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:ggg.ggg.ggg.ggg P-t-P:bbb.bbb.bbb.bbb Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:51 errors:0 dropped:0 overruns:0 frame:0
TX packets:46 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2794 (2.7 Kb) TX bytes:1664 (1.6 Kb)
# traceroute -i ppp0 bbb.bbb.bbb.bbb
traceroute to bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb), 30 hops max, 38 byte packets
1 bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 39.856 ms * 40.163 ms
# traceroute -i ppp0 ccc.ccc.ccc.ccc
traceroute to ccc.ccc.ccc.ccc (ccc.ccc.ccc.ccc), 30 hops max, 38 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
如何でしょうか?
※LAN内では障害の影響は有りません。相変わらずWAN側(ppp0)がおかしいです。
>> > ダウンロードし直して入れなおして見てはどうですか?
>> はい、検討してみます。
はっきりさせる為に数日前らかnamedは停止しました(上記はnamed停止状況下での作業です)。
# chkconfig named off
# reboot
> 上記のとおりで、感染している訳ではないですよ。
安心致しました。
明日があるので、一言だけ。
> # traceroute -i ppp0 bbb.bbb.bbb.bbb
> traceroute to bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb), 30 hops max, 38 byte packets
> 1 bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 39.856 ms * 40.163 ms
>
> # traceroute -i ppp0 ccc.ccc.ccc.ccc
> traceroute to ccc.ccc.ccc.ccc (ccc.ccc.ccc.ccc), 30 hops max, 38 byte packets
> 1 * * *
> 2 * * *
(snip)
> 12 * * *
>
> 如何でしょうか?
ppp0が落ちることによってルーティングがおかしくなっています。
traceroute -i ppp0 ccc.ccc.ccc.cccのccc.ccc.ccc.cccはインターネット上のアドレスですよね。
であれば、その1行目は、その上の1行目とおなじで、
1 bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 39.856 ms * 40.163 ms
と、pppのゲートウェイが出てくるはずです。
#route
で現時のkernelのルーティングテーブルがわかりますが、デフォルト(0.0.0.0)のインタフェースがppp0
になっていないはずです。つまり、インターネットアクセスが他のインターフェースに向いているので、
この原因を追求すれば解決します。
良く見ると、このシステムにはLANカードが4枚(eth0□2とppp0)も刺さっているのですか?
eth1を見るとで、collisions:84981 となっており異常に衝突が発生していると思えば、eth2は一つもパケットが流れていないなど、環境と設定がミスマッチしている気がします。
ppp0が物理的にethxとカブッてはダメですよ。NICを挿すと認識されてethxが登録されてしまいますが、ethxを削除してからppp0を登録します。
改めて見ると、チョコット直すレベルではないような気がしますが?
遅くなりしてすいません。
>> 如何でしょうか?
> ppp0が落ちることによってルーティングがおかしくなっています。
> traceroute -i ppp0 ccc.ccc.ccc.cccのccc.ccc.ccc.cccはインターネット上のアド
> レスですよね。
> であれば、その1行目は、その上の1行目とおなじで、
> 1 bbb.bbb.bbb.bbb (bbb.bbb.bbb.bbb) 39.856 ms * 40.163 ms
> と、pppのゲートウェイが出てくるはずです。
> #route
> で現時のkernelのルーティングテーブルがわかりますが、デフォルト(0.0.0.0)のイ
> ンタフェースがppp0
> になっていないはずです。つまり、インターネットアクセスが他のインターフェース
> に向いているので、
> この原因を追求すれば解決します。
仰る通り、障害発生時には
$route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
という風にデフォルトゲートウェイが有りませんでした。それで、
# route add default gw zzz.zzz.zzz.zzz ppp0
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 zzz.zzz.zzz.zzz 0.0.0.0 UG 0 0 0 ppp0
として、復旧しました。
> 良く見ると、このシステムにはLANカードが4枚(eth0□2とppp0)も刺さっているので
> すか?
3枚です(eth0、eth1、eth2)。
eth0、eth2がLAN向けです。
[スターと]→[システム設定]→[ネットワーク]で"デバイス"タブには
状態…起動、デバイス…eth2、ニックネーム…eth2、タイプ…Ethernet
コンピュータ起動時にデバイスを起動…on
アドレス…192.168.1.1
サブネットマスク…255.255.255.0
ハードウェアデバイス…eth2
状態…起動、デバイス…eth0、ニックネーム…eht0、Ethernet
コンピュータ起動時にデバイスを起動…on
アドレス…192.168.0.1
サブネットマスク…255.255.255.0
ハードウェアデバイス…eth0
状態…起動、デバイス…ppp0、ニックネーム…プロバイダ、タイプ…xDSL
コンピュータ起動時にデバイスを起動…on
全てのユーザにデバイスの有効かと無効化を許可…on
自動的にIPアドレス設定を取得…on、ダイアルアップ
ハードウェアデバイス…eth1
"ハードウェア"タブには
記述…RTL-8139/8139C/8139C+、タイプ…Ethernet、デバイス…eth0、状態…ok
記述…RTL-8139/8139C/8139C+、タイプ…Ethernet、デバイス…eth1、状態…ok
記述…RTL-8139/8139C/8139C+、タイプ…Ethernet、デバイス…eth2、状態…ok
となっています。
# grep -v ^# /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=redhat9.ddyndns.net
# grep -v ^# /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
BROADCAST=192.168.0.255
IPADDR=192.168.0.1
NETMASK=255.255.255.0
NETWORK=192.168.0.0
ONBOOT=yes
USERCTL=no
PEERDNS=no
TYPE=Ethernet
# grep -v ^# /etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
BOOTPROTO=none
BROADCAST=192.168.1.255
IPADDR=192.168.1.1
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
USERCTL=no
PEERDNS=no
TYPE=Ethernet
# grep -v ^# /etc/sysconfig/network-scripts/ifcfg-ppp0
USERCTL=yes
PEERDNS=no
TYPE=xDSL
DEVICE=ppp0
BOOTPROTO=dialup
ONBOOT=yes
PIDFILE=/var/run/pppoe-adsl.pid
FIREWALL=NONE
PING=.
PPPOE_TIMEOUT=80
LCP_FAILURE=3
LCP_INTERVAL=20
CLAMPMSS=1412
CONNECT_POLL=6
CONNECT_TIMEOUT=60
PERSIST=no
SYNCHRONOUS=no
DEFROUTE=yes
USER='hoge@isp.co.jp'
PROVIDER=seikyou
ETH=eth1
DEMAND=no
# grep -v ^# /etc/sysconfig/network-scripts/ifcfg-lo
DEVICE=lo
IPADDR=127.0.0.1
NETMASK=255.0.0.0
NETWORK=127.0.0.0
BROADCAST=127.255.255.255
ONBOOT=yes
NAME=loopback
# cat /proc/sys/net/ipv4/ip_forward
1
としています。尚、/etc/sysconfig/network-scripts/ifcfg-eth1は存在しません。
この状態で、
# ifup ppp0
# ifdown ppp0
で接続・切断出来てます。
普通、接続が成功したら
eth1 Link encap:Ethernet HWaddr 00:07:40:1E:CC:72
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6534195 errors:0 dropped:0 overruns:0 frame:0
TX packets:10292475 errors:0 dropped:0 overruns:0 carrier:0
collisions:84981 txqueuelen:100
RX bytes:1252665875 (1194.6 Mb) TX bytes:1046534497 (998.0 Mb)
Interrupt:10 Base address:0x8000
は消滅してしまうものなのでしょうか?
ppp0が現れればeth1が残っていても問題無いとばかり思っておりました。
> eth1を見るとで、collisions:84981 となっており異常に衝突が発生していると思え
> ば、eth2は一つもパケットが流れていないなど、環境と設定がミスマッチしている気
> がします。
eth2先のLANはノートPCばかりで外出先に持ち出したり電源をoffにしてる事が殆どですのでそのようになっているのです。
(説明不足ですみません)
> ppp0が物理的にethxとカブッてはダメですよ。NICを挿すと認識されてethxが登録さ
> れてしまいますが、ethxを削除してからppp0を登録します。
[スターと]→[システム設定]→[ネットワーク]で"デバイス"タブにはeth1が無いので登録されてないんですよね?
でもやはり、以下のようになっていないとすると異常状態なんでしょうか?
# ifconfig
eth0 Link encap:Ethernet HWaddr 00:00:21:E8:D0:A6
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9624020 errors:1051 dropped:203 overruns:1051 frame:0
TX packets:6965504 errors:0 dropped:0 overruns:19 carrier:0
collisions:0 txqueuelen:100
RX bytes:3326952654 (3172.8 Mb) TX bytes:3910372163 (3729.2 Mb)
Interrupt:5 Base address:0xe000
eth2 Link encap:Ethernet HWaddr 00:10:DC:52:9D:AD
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:240 (240.0 b)
Interrupt:11 Base address:0xa000
ipsec0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:159786 errors:0 dropped:0 overruns:0 frame:0
TX packets:159786 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:41256293 (39.3 Mb) TX bytes:41256293 (39.3 Mb)
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:bbb.bbb.bbb.bbb
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:598 errors:0 dropped:0 overruns:0 frame:0
TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:53918 (52.6 Kb) TX bytes:30 (30.0 b)
こんばんは。
> 仰る通り、障害発生時には
> $route -n
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref Use Iface
> zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
> zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0
> 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
>
> という風にデフォルトゲートウェイが有りませんでした。それで、
> # route add default gw zzz.zzz.zzz.zzz ppp0
pppの場合、論理的にはgatewayはなくても問題はずです。ここは、
# route add default ppp0
で問題はずです。
> # route -n
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref Use Iface
> zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
> zzz.zzz.zzz.zzz 0.0.0.0 255.255.255.255 UH 0 0 0 ipsec0
> 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
> 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2
> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
> 0.0.0.0 zzz.zzz.zzz.zzz 0.0.0.0 UG 0 0 0 ppp0
>
> として、復旧しました。
>
(snip)
> # grep -v ^# /etc/sysconfig/network-scripts/ifcfg-ppp0
> USERCTL=yes
> PEERDNS=no
> TYPE=xDSL
> DEVICE=ppp0
> BOOTPROTO=dialup
> ONBOOT=yes
> PIDFILE=/var/run/pppoe-adsl.pid
> FIREWALL=NONE
> PING=.
> PPPOE_TIMEOUT=80
> LCP_FAILURE=3
> LCP_INTERVAL=20
> CLAMPMSS=1412
> CONNECT_POLL=6
> CONNECT_TIMEOUT=60
> PERSIST=no
> SYNCHRONOUS=no
> DEFROUTE=yes
eth0とeth2にgatewayがなく、ここで「DEFROUTE=yes」となっているにも関わらずppp0にdefaultが
設定されていないとなると、あと思いつくのは、「/etc/sysconfig/network」にgatewayが書かれて
るのではないかぐらいです。
> としています。尚、/etc/sysconfig/network-scripts/ifcfg-eth1は存在しません。
> この状態で、
> # ifup ppp0
> # ifdown ppp0
> で接続・切断出来てます。
>
> 普通、接続が成功したら
> eth1 Link encap:Ethernet HWaddr 00:07:40:1E:CC:72
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> RX packets:6534195 errors:0 dropped:0 overruns:0 frame:0
> TX packets:10292475 errors:0 dropped:0 overruns:0 carrier:0
> collisions:84981 txqueuelen:100
> RX bytes:1252665875 (1194.6 Mb) TX bytes:1046534497 (998.0 Mb)
> Interrupt:10 Base address:0x8000
>
> は消滅してしまうものなのでしょうか?
> ppp0が現れればeth1が残っていても問題無いとばかり思っておりました。
そもそも消えるものではなく、存在しないはずです。但し、redhatのツールで消しただけでは
ifconfig上は残るので、システムの再起動をしてください。二度とeth1は出てこないはずです。
これが原因かもしれませんね。
お手数お掛けしております。
> ここは、
> # route add default ppp0
> で問題はずです。
アドレス指定は不要なのですね。
>eth0とeth2にgatewayがなく、ここで「DEFROUTE=yes」となっているにも関わらず
> ppp0にdefaultが
> 設定されていないとなると、あと思いつくのは、「/etc/sysconfig/network」に
> gatewayが書かれて
> るのではないかぐらいです。
ん? 前記事で申しましたと通り、
# grep -v ^# /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=redhat9.ddyndns.net
ゲートウェイは記述しておりませんが。
> そもそも消えるものではなく、存在しないはずです。但し、redhatのツールで消した
> だけでは
> ifconfig上は残るので、システムの再起動をしてください。二度とeth1は出てこない
> はずです。
> これが原因かもしれませんね。
redhatツールで消す事が出来るのですか?
どのツールで消せるのですか?
聞いてばかりですみません。m(_ _)m
> >eth0とeth2にgatewayがなく、ここで「DEFROUTE=yes」となっているにも関わらず
> > ppp0にdefaultが
> > 設定されていないとなると、あと思いつくのは、「/etc/sysconfig/network」に
> > gatewayが書かれて
> > るのではないかぐらいです。
> ん? 前記事で申しましたと通り、
> # grep -v ^# /etc/sysconfig/network
> NETWORKING=yes
> HOSTNAME=redhat9.ddyndns.net
>
> ゲートウェイは記述しておりませんが。
見落としてました。
> > そもそも消えるものではなく、存在しないはずです。但し、redhatのツールで消した
> > だけでは
> > ifconfig上は残るので、システムの再起動をしてください。二度とeth1は出てこない
> > はずです。
> > これが原因かもしれませんね。
> redhatツールで消す事が出来るのですか?
> どのツールで消せるのですか?
[スタート]→[システム設定]→[ネットワーク]で"デバイス"タブになければ、リブートしたら
消えているはずです。
一度、route addしているので、切断、接続してもdefault routeは残ってはいませんか?
PPPoEが落ちたことで、消えてしまう可能性の方が高いのですが。
同じような話が少し検索で引っ掛かりましたが、これといって当てはまるものもなく、
おやじも考えていたのですが、少し乱暴ですがPPPoEが繋がった後、default routeを書き換えて
しまう方法を採られている方がいましたね。対処療法ですが論理的には少しもおかしな話では
ないので、これでもいいのではと思います。
/sbin/adsl-startの196行目のConnected!の行とexit 0の間に以下のように書く方法です。
[ "$DEBUG" = "1" ] && tty -s && $ECHO " Connected!"
route del default
route add default dev ppp0
お世話様です。
>> どのツールで消せるのですか?
> [スタート]→[システム設定]→[ネットワーク]で"デバイス"タブになければ、リ
> ブートしたら
> 消えているはずです。
デバイスタブですよね。eth1は確かに存在しません。
$ ifconfig
ではeth1は有りますが。
とりあえずリブートしてみまして、
$ ifconfigしてみましたがeth1は消えません。相変わらず残ってます。
うーん、異常でしょうか????
> 一度、route addしているので、切断、接続してもdefault routeは残ってはいませ
> んか?
# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:bbb.bbb.bbb.bbb Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:1869673 errors:0 dropped:0 overruns:0 frame:0
TX packets:2956066 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:472268552 (450.3 Mb) TX bytes:2306371296 (2199.5 Mb)
# ifdown ppp0
# ifconfig ppp0
ppp0: error fetching interface information: Device not found
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
bbb.bbb.bbb.bbb * 255.255.255.255 UH 0 0 0 ipsec0
bbb.bbb.bbb.bbb * 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 bbb.bbb.bbb.bbb 255.255.255.0 UG 0 0 0 ipsec0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default bbb.bbb.bbb.bbb 0.0.0.0 UG 0 0 0 ipsec0
となりました。
> PPPoEが落ちたことで、消えてしまう可能性の方が高いのですが。
すると上記のroute結果は予想通りなのですね。
> /sbin/adsl-startの196行目のConnected!の行とexit 0の間に以下のように書く方法
> です。
> [ "$DEBUG" = "1" ] && tty -s && $ECHO " Connected!"
> route del default
> route add default dev ppp0
早速、加筆してみました。
その後、
# ifdown ppp0
# ifup ppp0
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
nagasaki.ntt-po * 255.255.255.255 UH 0 0 0 ipsec0
nagasaki.ntt-po * 255.255.255.255 UH 0 0 0 ppp0
192.168.2.0 nagasaki.ntt-po 255.255.255.0 UG 0 0 0 ipsec0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default * 0.0.0.0 U 0 0 0 ppp0
となりました。
defaultがUGとなっていないのですが外部ホストにアクセス出来ます。
このルーティングテーブルでいいんですかね。
こんにちは。
> >> どのツールで消せるのですか?
> > [スタート]→[システム設定]→[ネットワーク]で"デバイス"タブになければ、リ
> > ブートしたら
> > 消えているはずです。
> デバイスタブですよね。eth1は確かに存在しません。
> $ ifconfig
> ではeth1は有りますが。
>
> とりあえずリブートしてみまして、
> $ ifconfigしてみましたがeth1は消えません。相変わらず残ってます。
> うーん、異常でしょうか????
消えるはずですがね。/etc/sysconfig/network-scripts/ifcfg-eth1がありませんか?
あと、 。/etc/sysconfig/networking/devices とprofiles以下にも残ってませんか?
> > PPPoEが落ちたことで、消えてしまう可能性の方が高いのですが。
> すると上記のroute結果は予想通りなのですね。
>
> > /sbin/adsl-startの196行目のConnected!の行とexit 0の間に以下のように書く方法
> > です。
> > [ "$DEBUG" = "1" ] && tty -s && $ECHO " Connected!"
> > route del default
> > route add default dev ppp0
> 早速、加筆してみました。
> その後、
> # ifdown ppp0
> # ifup ppp0
> # route
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref Use Iface
> nagasaki.ntt-po * 255.255.255.255 UH 0 0 0 ipsec0
> nagasaki.ntt-po * 255.255.255.255 UH 0 0 0 ppp0
> 192.168.2.0 nagasaki.ntt-po 255.255.255.0 UG 0 0 0 ipsec0
> 192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
> 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
> 169.254.0.0 * 255.255.0.0 U 0 0 0 eth2
> 127.0.0.0 * 255.0.0.0 U 0 0 0 lo
> default * 0.0.0.0 U 0 0 0 ppp0
>
> となりました。
> defaultがUGとなっていないのですが外部ホストにアクセス出来ます。
> このルーティングテーブルでいいんですかね。
前にも言いましたが、pppではインタフェースさえ決まれば、ゲーウェイはいりません。
モデムで繋がっているようなものなので、相手からくれば受け取ってくれます。
これで、問題なく動くはずです。ネットワーク側のトラブル等でPPPoEが切れても問題
ないことを確認するため、試しにコマンドではなくeht1のLANケーブルを抜いて戻したときに、
問題なく再接続されるか試験したほうがいいでしょう。
今日は。お手数おかけしております。
>> うーん、異常でしょうか????
> 消えるはずですがね。/etc/sysconfig/network-scripts/ifcfg-eth1がありません
> か?
前記事でも申しましたが有りません。再度確認してみましたがやはり、ありませんね。。。
> あと、 。/etc/sysconfig/networking/devices とprofiles以下にも残ってませんか
> ?
# ls -al /etc/sysconfig/network-scripts/
合計 196
drwxr-xr-x 2 root root 4096 12月 5 15:24 ./
drwxr-xr-x 10 root root 4096 11月 23 20:43 ../
-rw-r--r-- 4 root root 159 12月 5 15:24 ifcfg-eth0
-rw-r--r-- 3 root root 159 12月 5 15:24 ifcfg-eth2
lrwxrwxrwx 1 root root 22 5月 6 2003 ifcfg-lo -> ../networking/ifcfg-lo
-rw-r--r-- 3 root root 428 12月 5 15:24 ifcfg-ppp0
-rw-r--r-- 1 root root 424 5月 6 2003 ifcfg-ppp0~
lrwxrwxrwx 1 root root 20 5月 6 2003 ifdown -> ../../../sbin/ifdown*
-rwxr-xr-x 1 root root 1026 1月 24 2001 ifdown-aliases*
-rwxr-xr-x 1 root root 372 2月 25 2003 ifdown-cipcb*
-rwxr-xr-x 1 root root 820 3月 12 2002 ifdown-ippp*
-rwxr-xr-x 1 root root 4076 11月 12 2002 ifdown-ipv6*
lrwxrwxrwx 1 root root 11 5月 6 2003 ifdown-isdn -> ifdown-ippp*
-rwxr-xr-x 1 root root 1132 6月 26 2002 ifdown-post*
-rwxr-xr-x 1 root root 1056 6月 26 2002 ifdown-ppp*
-rwxr-xr-x 1 root root 1568 11月 12 2002 ifdown-sit*
-rwxr-xr-x 1 root root 902 6月 26 2002 ifdown-sl*
lrwxrwxrwx 1 root root 18 5月 6 2003 ifup -> ../../../sbin/ifup*
-rwxr-xr-x 1 root root 13137 2月 21 2003 ifup-aliases*
-rwxr-xr-x 1 root root 2350 2月 25 2003 ifup-cipcb*
-rwxr-xr-x 1 root root 11156 7月 26 2002 ifup-ippp*
-rwxr-xr-x 1 root root 10128 1月 8 2003 ifup-ipv6*
-rwxr-xr-x 1 root root 821 6月 26 2002 ifup-ipx*
lrwxrwxrwx 1 root root 9 5月 6 2003 ifup-isdn -> ifup-ippp*
-rwxr-xr-x 1 root root 689 6月 26 2002 ifup-plip*
-rwxr-xr-x 1 root root 926 6月 26 2002 ifup-plusb*
-rwxr-xr-x 1 root root 3135 3月 13 2003 ifup-post*
-rwxr-xr-x 1 root root 3918 1月 14 2003 ifup-ppp*
-rwxr-xr-x 1 root root 1151 2月 21 2003 ifup-routes*
-rwxr-xr-x 1 root root 3534 1月 8 2003 ifup-sit*
-rwxr-xr-x 1 root root 1646 6月 26 2002 ifup-sl*
-rwxr-xr-x 1 root root 2821 6月 28 2002 ifup-wireless*
-rwxr-xr-x 1 root root 5397 11月 12 2002 init.ipv6-global*
-rw-r--r-- 1 root root 5207 2月 11 2003 network-functions
-rw-r--r-- 1 root root 41928 12月 3 2002 network-functions-ipv6
# ls -al /etc/sysconfig/networking/profiles/default
合計 32
drwxr-xr-x 2 root root 4096 12月 5 15:24 ./
drwxr-xr-x 3 root root 4096 5月 6 2003 ../
-rw-r--r-- 2 root root 200 12月 5 15:24 hosts
-rw-r--r-- 4 root root 159 12月 5 15:24 ifcfg-eth0
-rw-r--r-- 3 root root 159 12月 5 15:24 ifcfg-eth2
-rw-r--r-- 3 root root 428 12月 5 15:24 ifcfg-isp
-rw-r--r-- 1 root root 20 12月 5 15:24 network
-rw-r--r-- 2 root root 70 12月 5 15:24 resolv.conf
# ls -al /etc/sysconfig/networking/profiles
合計 12
drwxr-xr-x 3 root root 4096 5月 6 2003 ./
drwxr-xr-x 4 root root 4096 5月 6 2003 ../
drwxr-xr-x 2 root root 4096 12月 5 15:24 default/
# ls -al /etc/sysconfig/networking/devices
合計 20
drwxr-xr-x 2 root root 4096 11月 8 18:05 ./
drwxr-xr-x 4 root root 4096 5月 6 2003 ../
-rw-r--r-- 4 root root 159 12月 5 15:24 ifcfg-eth0
-rw-r--r-- 3 root root 159 12月 5 15:24 ifcfg-eth2
-rw-r--r-- 3 root root 428 12月 5 15:24 ifcfg-isp
#ls -l /etc/sysconfig/networking/devices
合計 12
-rw-r--r-- 4 root root 159 12月 5 15:24 ifcfg-eth0
-rw-r--r-- 3 root root 159 12月 5 15:24 ifcfg-eth2
-rw-r--r-- 3 root root 428 12月 5 15:24 ifcfg-isp
となりました。やはり無いようです。
# find /etc -name ifcfg-eth1
もしてみましたが何もヒットしませんでした。
>> このルーティングテーブルでいいんですかね。
> 前にも言いましたが、pppではインタフェースさえ決まれば、ゲーウェイはいりま
> せん。
わかりました。
> モデムで繋がっているようなものなので、相手からくれば受け取ってくれます。
> これで、問題なく動くはずです。
正常に繋がっているようです。
> ネットワーク側のトラブル等でPPPoEが切れても
> 問題
> ないことを確認するため、試しにコマンドではなくeht1のLANケーブルを抜いて戻し
> たときに、
> 問題なく再接続されるか試験したほうがいいでしょう。
# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:bbb.bbb.bbb.bbb Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:2761765 errors:0 dropped:0 overruns:0 frame:0
TX packets:4313811 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:719253984 (685.9 Mb) TX bytes:2655329236 (2532.3 Mb)
の状態で
モデム⇔eth1
や
WAN⇔モデム
のケープルを抜き差ししてみました。
# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:aaa.aaa.aaa.aaa P-t-P:bbb.bbb.bbb.bbb Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1454 Metric:1
RX packets:2761765 errors:0 dropped:0 overruns:0 frame:0
TX packets:4313811 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:719253984 (685.9 Mb) TX bytes:2655329236 (2532.3 Mb)
となりまして、問題無いようです。
横合いからのレスで恐縮ですが。。。
>> >> どのツールで消せるのですか?
>> > [スタート]→[システム設定]→[ネットワーク]で"デバイス"タブになければ、リ
>> > ブートしたら
>> > 消えているはずです。
>> デバイスタブですよね。eth1は確かに存在しません。
>> $ ifconfig
>> ではeth1は有りますが。
>>
>> とりあえずリブートしてみまして、
>> $ ifconfigしてみましたがeth1は消えません。相変わらず残ってます。
>> うーん、異常でしょうか????
>
> 消えるはずですがね。/etc/sysconfig/network-scripts/ifcfg-eth1がありませんか?
ifconfigでeth1が消えないとの事ですけど、いっそのことifcfg-eth1を作って再起動して
みてはどうでしょうかね?
#vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=no
> 横合いからのレスで恐縮ですが。。。
こちらこそ、恐縮です。
>> 消えるはずですがね。/etc/sysconfig/network-scripts/ifcfg-eth1がありませんか?
> ifconfigでeth1が消えないとの事ですけど、いっそのことifcfg-eth1を作って再起動
> して
> みてはどうでしょうかね?
> #vi /etc/sysconfig/network-scripts/ifcfg-eth1
>
> DEVICE=eth1
> ONBOOT=no
早速作成して、リブートしてみましたが
eth1が生成されてます。うーん、難しいんですね。
# grep -lr eth1 /etc
としてeth1が記述されているファイル類を調査してみましたら
# grep eth1 /etc/sysconfig/network-scripts/ifup-ipv6
# Example: IPV6TO4_ROUTING="eth0-:f101::0/64 eth1-:f102::0/64"
# grep eth1 /etc/sysconfig/network-scripts/ifcfg-ppp0
ETH=eth1
# grep eth1 /etc/sysconfig/networking/devices/ifcfg-isp
ETH=eth1
# grep eth1 /etc/sysconfig/networking/profiles/default/ifcfg-isp
ETH=eth1
# grep eth1 /etc/sysconfig/redhat-config-securitylevel
--trust=eth1
# grep eth1 /etc/sysconfig/redhat-config-securitylevel
--trust=eth1
# grep eth1 /etc/modules.conf
alias eth1 8139too
# grep eth1 /etc/ppp/ip-up.ipv6to4
# Example: IPV6TO4_ROUTING="eth0-:f101::0/64 eth1-:f102::0/64"
というものがありました。
これらはあまり関係無いですかね…
> # grep -lr eth1 /etc
> としてeth1が記述されているファイル類を調査してみましたら
>
> # grep eth1 /etc/sysconfig/network-scripts/ifup-ipv6
> # Example: IPV6TO4_ROUTING="eth0-:f101::0/64 eth1-:f102::0/64"
> # grep eth1 /etc/sysconfig/network-scripts/ifcfg-ppp0
> ETH=eth1
> # grep eth1 /etc/sysconfig/networking/devices/ifcfg-isp
> ETH=eth1
> # grep eth1 /etc/sysconfig/networking/profiles/default/ifcfg-isp
> ETH=eth1
> # grep eth1 /etc/sysconfig/redhat-config-securitylevel
> --trust=eth1
> # grep eth1 /etc/sysconfig/redhat-config-securitylevel
> --trust=eth1
> # grep eth1 /etc/modules.conf
> alias eth1 8139too
> # grep eth1 /etc/ppp/ip-up.ipv6to4
> # Example: IPV6TO4_ROUTING="eth0-:f101::0/64 eth1-:f102::0/64"
>
> というものがありました。
> これらはあまり関係無いですかね…
ifcfg-ispというのが気になりますね。これは何か思い当たることはありませんか。
こんばんは。
> ifcfg-ispというのが気になりますね。これは何か思い当たることはありませんか。
/etc/sysconfig/networking/devices/ifcfg-isp
と
/etc/sysconfig/networking/profiles/default/ifcfg-isp
とも
# Please read /usr/share/doc/initscripts-*/sysconfig.txt
# for the documentation of these parameters.
USERCTL=yes
PEERDNS=no
TYPE=xDSL
DEVICE=ppp0
BOOTPROTO=dialup
ONBOOT=yes
PIDFILE=/var/run/pppoe-adsl.pid
FIREWALL=NONE
PING=.
PPPOE_TIMEOUT=80
LCP_FAILURE=3
LCP_INTERVAL=20
CLAMPMSS=1412
CONNECT_POLL=6
CONNECT_TIMEOUT=60
PERSIST=no
SYNCHRONOUS=no
DEFROUTE=yes
USER='hoge@isp.co.jp'
PROVIDER=isp
ETH=eth1
DEMAND=no
となっていました(全く同じです)。
ispはNo.2082で
状態…起動、デバイス…ppp0、ニックネーム…プロバイダ、タイプ…xDSL
コンピュータ起動時にデバイスを起動…on
全てのユーザにデバイスの有効かと無効化を許可…on
自動的にIPアドレス設定を取得…on、ダイアルアップ
ハードウェアデバイス…eth1
↓
状態…起動、デバイス…ppp0、ニックネーム…isp、タイプ…xDSL
コンピュータ起動時にデバイスを起動…on
全てのユーザにデバイスの有効かと無効化を許可…on
自動的にIPアドレス設定を取得…on、ダイアルアップ
ハードウェアデバイス…eth1
と読み替えて下さい。
No.2082では「プロバイダ」と記述してしまいました。
これらの設定ファイルは[スターと]→[システム設定]→[ネットワーク]
で接続設定した時にこのツールが生成したファイルだと思います。
因みに/etc/sysconfig/network-scripts/ifcfg-ppp0もこれら全く同じ内容です。
# grep -v ^# /etc/sysconfig/network-scripts/ifcfg-ppp0
USERCTL=yes
PEERDNS=no
TYPE=xDSL
DEVICE=ppp0
BOOTPROTO=dialup
ONBOOT=yes
PIDFILE=/var/run/pppoe-adsl.pid
FIREWALL=NONE
PING=.
PPPOE_TIMEOUT=80
LCP_FAILURE=3
LCP_INTERVAL=20
CLAMPMSS=1412
CONNECT_POLL=6
CONNECT_TIMEOUT=60
PERSIST=no
SYNCHRONOUS=no
DEFROUTE=yes
USER='hoge@isp.co.jp'
PROVIDER=isp
ETH=eth1
DEMAND=no
こんにちは。
ifcfg-ispの件はわかりました。これ以上はおやじには環境もないので
(PPPoEサーバを上げればできますが・・・)、気持ちは悪いですが一応動
いているのでこれで本件はクローズしたいと思います。
> ifcfg-ispの件はわかりました。これ以上はおやじには環境もないので
> (PPPoEサーバを上げればできますが・・・)、気持ちは悪いですが一応動
> いているのでこれで本件はクローズしたいと思います。
どうもお手数お掛けしました。
因みにcronで
* * * * * ( date ; ps -eo pid,pcpu,args --sort=-pcpu | head ) >>/tmp/cpu.txt 2>&1
* * * * * ( date ; ps -fle --sort=-vsize | head ) >>/tmp/mem.txt 2>&1
を実行してみたらそれぞれ常時
PID %CPU COMMAND
1963 3.4 /usr/sbin/pppoe -p /var/run/pppoe-adsl.pid.pppoe -I eth1 -T 80 -U -m 1412
1 0.0 init
2 0.0 [keventd]
3 0.0 [kapmd]
4 0.0 [ksoftirqd_CPU0]
9 0.0 [bdflush]
5 0.0 [kswapd]
6 0.0 [kscand/DMA]
7 0.0 [kscand/Normal]
F S UID PID PPID C PRI NI ADDR SZ WCHAN STIME TTY TIME CMD
1 S named 2264 1 0 84 0 - 7407 rt_sig 01:53 ? 00:00:00 [named]
4 S root 2461 2460 37 84 0 - 3410 schedu 01:53 ? 00:00:00 [X]
1 S root 2402 1 0 75 0 - 2059 schedu 01:53 ? 00:00:00 /usr/bin/perl /usr/libexec/webmin/miniserv.pl /etc/webmin/miniserv.conf
1 S root 1742 1 0 75 0 - 2012 schedu 01:53 ? 00:00:00 ddclient - sleeping for 250 seconds
5 S xfs 1876 1 0 84 0 - 1589 schedu 01:53 ? 00:00:00 [xfs]
4 S user01 2411 2405 1 83 0 - 1357 wait4 01:53 tty1 00:00:00 -bash
0 S user01 2449 2411 1 85 0 - 1278 wait4 01:53 tty1 00:00:00 /bin/sh /usr/X11R6/bin/startx
0 S root 1939 1 0 85 0 - 1042 wait4 01:53 ? 00:00:00 /bin/bash /sbin/adsl-connect /etc/sysconfig/network-scripts/ifcfg-ppp0
5 S root 1896 1 0 84 0 - 1032 schedu 01:53 ? 00:00:00 /usr/sbin/amd -F /etc/amd.conf
となってました。あまり関係なのですかね…