Arpwatch après reboot, me retourne 7 hostname diffèrents. ?

Support Debian
#1

Salut,

Un dédié ovh.

Mon pc principal ma lâché (carte mère HS)

Recours à une deuxième machine, accès ssh par clès.

Je venais tout juste d’installer arpwatch sur le dédié, j’ai dû rebooter (changement d’IP local)

Et là, je suis bouche bée, :118 logcheck m’informe de ceci:

[code]new station (rb.x.x.eu) eth0

hostname: rb.x.x.eu
ip address: 91.121.x.x
interface: eth0
ethernet address: 00:d0:x:x:x:x
ethernet vendor: CISCO SYSTEMS, INC.
timestamp: Thursday, April 26, 2012 18:11:15 +0200[/code]

[code]new station (mrtg.x.net) eth0

     hostname: mrtg.x.net
     ip address: 91.121.x.x
      interface: eth0

ethernet address: 00:30:x:x:x:x
ethernet vendor: Supermicro Computer, Inc.
timestamp: Thursday, April 26, 2012 18:12:01 +0200[/code]

Celui-ci, ksz OK!

[code]new station (ksz.kimsufi.com) eth0

hostname: ksz.kimsufi.com
ip address: 91.121.x.x
interface: eth0
ethernet address: 00:18:x:x:x:x
ethernet vendor: ASUSTek COMPUTER INC.
timestamp: Thursday, April 26, 2012 18:12:01 +0200[/code]

[code]new station (rbx.x.eu) eth0

 hostname: rbx-4-m0.fr.eu
     ip address: 91.121.x.x
      interface: eth0

ethernet address: 00:00:x:x:x:x
ethernet vendor: CISCO SYSTEMS, INC.
timestamp: Thursday, April 26, 2012 18:13:54 +0200[/code]

[code]new station (91.121.x.x) eth0

 hostname: <unknown>
     ip address: 91.121.x.x
      interface: eth0

ethernet address: 00:30:x:x:x:x
ethernet vendor: Supermicro Computer, Inc.
timestamp: Thursday, April 26, 2012 18:20:08 +0200
[/code]

[code]new station (91.121.x.x) eth0

     hostname: <unknown>
     ip address: 91.121.x.x
      interface: eth0

ethernet address: 00:30:x:x:x:x
ethernet vendor: Supermicro Computer, Inc.
timestamp: Thursday, April 26, 2012 18:47:40 +0200

[/code]

[code]new station (91.121.x.x) eth0

     hostname: <unknown>
     ip address: 91.121.x.x
      interface: eth0

ethernet address: 00:30:x:x:x:x
ethernet vendor: Supermicro Computer, Inc.
timestamp: Thursday, April 26, 2012 18:58:11 +0200[/code]

Je ne sais vraiment pas de quoi il en retourne … :unamused:

* edit *

Les seules règles pour ovh.

### OVH iptables -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT -m comment --comment "Autorisation/ovh 213.186.50.98 " iptables -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT -m comment --comment "Autorisation/ovh 213.186.45.4" iptables -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT -m comment --comment "Autorisation/ovh 213.251.184.9" iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT -m comment --comment "Autorisation/ovh 213.186.33.13" iptables -A INPUT -i eth0 -p icmp --source 91.121.19.250 -j ACCEPT -m comment --comment "Autorisation/ovh 91.121.19.250" iptables -A INPUT -i eth0 -p icmp --source 91.121.19.251 -j ACCEPT -m comment --comment "Autorisation/ovh 91.121.19.251" iptables -A INPUT -i eth0 -p tcp --dport 22 --source cache.ovh.net -j ACCEPT -m comment --comment "Autorisation/ovh 213.186.50.100"

Pas trop rassuré sur ce coup … :mrgreen:

#2

Bon, arpwatch te signale la présence de quelques voisins. Le contraire serait surprenant chez un hébergeur. Quel est le problème ?

#3

Merci Pascal, :wink:

Deux de plus.

new station (91.121.19.244) eth0 new station (91-121-19-246.sw.ovh.net) eth0

Je ne savais absolument pas, s’y problème il y avait. :blush: D’où mon inquiétude, par méconnaissance de cette l’outil, visiblement.

Il me faut donc les percevoir comme des voisins sans m’en soucier outre mesure … (?)

Ceci sans trop savoir le pourquoi du comment … :confused:

#4

Salut,

Ça dépend du voisin… :005
Nous ne sommes pas dans le même réseau, ça aurait été marrant…

#5

Bonjour,

il ne faut pas oublier que OVH effectue une surveillance des pc avec des outils de monitoring pour prévenir en cas de crash du pc. Pour fair"e cela, les outils de surveillance font des accès (ping par exemple) à ta machine.

Il y a de grandes chances que les pc que tu voissoient ces pc de surveillance.

#6

Salut,

Quel merveilleux outils, ce arpwatch … 8)

#7

Moi il m’affiche dans syslog le message suivant:

bad interface eth0
eth0: no ipv4 address assigned
listening on eth0

version 2.1a15

Et il m’envoie 2 mails pour chaque découverte:

  • un pour l’adresse définie par -m
  • un autre pour root@hostname.domain

/etc/default/arpwatch:
# Global options for arpwatch(8).

# Debian: don't report bogons, don't use PROMISC.
ARGS="-N -p"

# Debian: run as `arpwatch' user.  Empty this to run as root.
RUNAS="arpwatch"

/etc/arpwatch.conf:
eth0 -a -n 192.168.1.0/24 -m mon_email

ps -ef | grep arpwatch:
arpwatch 2315 1 0 17:15 ? 00:00:00 /usr/sbin/arpwatch -i eth0 -f eth0.dat -a -n 192.168.1.0/24 -m mon_email -u arpwatch -N -p