Флуд в сети и FTP

Шлюз куда?

Смотрите трафик, допустим tcpdump'ом, 21 порт tcp. Определить ip-адрес и mac-адрес, а дальше, раз коммутаторы не управляемые, то только ходить ногами до каждого компа и смотреть mac-адреса...

FTP сервер на Ubuntu Server 16.04

Где расположен, внутри локалки?
Сеть (адресация) одна на всех?
Как раздаются адреса? DHCP или статика?

Очень похоже на конфликт адресов. Уверены, что IP-адрес сервера уникален и не пересекается ни с одним из клиентских ПК?

Шлюз pfSense стоит между локалкой и WAN

Шлюз pfSense стоит между локалкой и WAN

ftp-сервер в локальной сети стоит? Доступ к нему только из локальной сети предполагается?

Да, шлюз pfSense c IP 192.168.0.254, сервер FTP внутри локалки с адресом 192.168.0.1. Этот адрес назначен ему вне диапазона выдаваемом pfSense по DHCP. Сеть да, одна на всех. Но есть еще роутеры, но они роздают свою подсеть, в основном 192.168.1.x каждый

Да, в локалке и доступ только из неё

Но есть еще роутеры, но они роздают свою подсеть, в основном 192.168.1.x каждый

У вас в одном сегменте несколько DHCP серверов?

Нет, только основной шлюз. Камрады, тут такое дело…Поставил я пинговать FTP, выдернул из него шнурок а пинг идёт все равно. Пздц, походу где то еще есть 0.1… Беда. Спасибо за идею, вроде тривиально но день промахался

Поставил я пинговать FTP, выдернул из него шнурок а пинг идёт все равно.

Вот именно про это я Вам и писал.

Ну да, я понял. Пинг пропал где то через минуту, сейчас туда-сюда втыкаю шнурок все работает как надо. Ничего не могу понять - может сетевуха или свитч на пути к финалу?

Кто-то ушел домой и выключил свой комп.

Ладно, проверим на свежую голову

С учетом того что это школа, где «по закону» порезан инет, предполагаю что кто-то притаскивает свой роутер и врубает в общую сеть.

2ТС выяснить виновного только кусками получиться, как писал в первом посте mky «ходить ногами» и находить методом половинного деления. Обращаю внимание, проблема может быть усугублена тем что он не один такой.

Ещё вариант. Развлечение школьников с arp spoofing.

Школьники arp spoofing не умеют. Возможно еще какой-то олень WAN и LAN кабели где-то перепутал, в результате там DHCP какого-то роутера раздает адреса быстрее главного роутера. У нас так в районе сетка легла провайдерская однажды.

Школьники arp spoofing не умеют.

Ога-ога. Просто читаем «как стать какером» и понеслась. Лет семь назад таким «какерам» «опубликовали» вариант «как сломать dns», зачем, почему я это делаю не имело смысла, главное мне дали готовое решение, ddos знатный устроили на весь мир, причем бессмысленный, просто запускали готовое «и вот я у мамки какер».

Ну открой же для себя arpwatch

Решил последовать совету многих ораторов выше и закрутить гайки по ARP, а неугодных вообще отлучить от соединения со шлюзом. Метод непопулярный, но по другому видимо не поймут…

Решил последовать совету многих ораторов выше и закрутить гайки по ARP, а неугодных вообще отлучить от соединения со шлюзом. Метод непопулярный, но по другому видимо не поймут…

А в чем проблема твоим хулиганам сменить mac и получить валидную связку mac-ip ? :)

И как это спасет отца русской демократии поможет предотвратить работу ещё н-цати dhcp серверов в той же не контролируемой L2 сети? Они к вашему роутеру вообще никакого отношения не имеют.

Для начала хотя бы поставлю под учёт то, что есть

Виноватый пришел с повинной. Это «учитель» информатики который внедрил мне в сеть еще один DHCP. Расстреляли. Все работает. Всем спасибо!

Это «учитель» информатики который внедрил мне в сеть еще один DHCP
«учитель» информатики
«учитель»

Мда, образование катиться все в большую попу... Как простите такой мудвин может чему-то учить? Если он сам такое устраивает. Мозг на уровне рептилии. Вы описали задачу на форуме и быстро нашли виновника. А «виновник» ещё детей «якобы» учит... Трудовик и то по образованнее должен быть, ТБ и так далее...