Итак пропала сеть и интернет 4 дня назад. Долго разбирались и со стороны ДонАпекса и я копал в настройках у себя. Только сегодня заметил, что в результате какого-то глюка на встроенной сетевой карте пропал mac адрес, то есть он стал 00-00-00-00 (встроенная сетевая карта marvell yukon). В драйверах этой карты есть возможность поставить mac адрес вручную, я поставил там левый mac адрес. Сеть появилась на 20 секунд И опять пропала. Стал разбираться дальше. Оказалось, что теперь с mac адреса 00-15-17-5F-7B-2C постоянно приходит ARP_SCAN, в результате чего файрволл (outpost) блокирует этот адрес с сообщением "атака ARP_SCAN с ip 0.0.0.0 и адреса 00-15-17-5F-7B-2C", после чего пропадает и сеть и интернет. Посмотрел через "arp -a" что это мак адрес 00-15-17-5F-7B-2C и есть адрес шлюза 172.16.0.1, поэтому и пропадает сеть. В outpost нет возможности добавить исключения по мак адресу, поэтому пока отключил файлвол совсем. В таком варианте все работает. Вопросы: 1. Есть ли на ДонАпексе фильтрация по мак адресам ? 2. Почему теперь постоянно приходит ARP_SCAN со шлюза, ведь еще 10 дней назад было все ok. Это из-за того, что я поставил левый mac адрес ? В общем разьясните плиз что мне делать, т.к. сидеть без файрвола не хочу. Обьясните плиз подробнее, т.к. я не админ
1. Мы не применяем фильтрацию по мак адресам 2. Пошли продвинутые вирусы. Зараженная машина посылает от имени Вашей машины пакет на наш шлюз и он отвечает Вашему компьютеру. Фаервол считает что так как Ваш компьютер пакет не посылал - это arp-атака и блокирует мак-адрес шлюза. Единственный выход - отменить проверки арп-атак на Вашем фаерволе. Написатели фаерволов попытались написать защиту от arp-атак, но пока написатели вирусов легко обходят эти проверки и от фаервола получаем только вред.
Спасибо за ответ! А отключение этой проверки мне ничем не будет чревато ? И еще хотел узнать, Вы можете вычислить зараженную машину в сети ?
