Los problemas de un enrutador
Esta máquina, a parte de la web y otros servicios, se encarga de manejar tráfico de tres redes: mi red local, Internet y elxwifi (red inalámbrica).
Mi red local, gestionada por ne3
, tiene salida a Internet, mediante rl0
, y a su vez salida a la red wireless con wi0
.
Me he encontrado con este mensaje en los logs del sistema:
Oct 8 11:55:28 blackshell /bsd: arp: attempt to overwrite entry\ for 192.168.0.50 on lo0 by 00:10:b5:de:92:dc on wi0
¿Qué significa esto? La IP de ne3
es 192.168.0.50 y la tarjeta con MAC
00:10:b5:de:92:dc está intentando sobreescribir su entrada. Además esta petición llega por lo0
, lo que podría ser debido a que soy permisivo con el tráfico en loopback (pero no sé aun si es debido a esto).
¿Cómo es posible que me llegue una petición ARP de la subred 192.168.0.x
por wi0
si en ese interfaz solo se pueden recibir peticiones de las subredes de 10.1.x.x
?
Lo he confirmado, algo va mal:
# tcpdump -n -i wi0 arp tcpdump: listening on wi0 [...] 11:53:02.693138 arp who-has 192.168.0.5 tell 192.168.0.60 11:53:09.863470 arp who-has 192.168.0.254 tell 192.168.0.13 11:53:31.270527 arp who-has 192.168.0.253 tell 192.168.0.254 [...] 11:53:52.575000 arp who-has 192.168.0.5 tell 192.168.0.20 11:54:12.959079 arp who-has 192.168.0.253 tell 192.168.0.249 11:54:33.444521 arp who-has 192.168.0.60 tell 192.168.0.250 [...]
Solo he dejado las peticiones interesantes de la salida de tcpdump
.
En este caso no hay problema porque el cortafuegos está bien configurado y, aunque consiguieran darme una MAC
incorrecta para una IP de mi red local, nunca pasaría el tráfico IP y no se podría suplantar a esa máquina de la red local (Nota: ARP poisoning).
Las peticiones ARP
están en la capa de Red y normalmente los cortafuegos trabajan en la capa de Transporte, lo cual hace complicado controlar estas situaciones.
Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.