Для начала - опишу конфигурацию и надстройки.
Ось - FreeBSD 5.3
Клиентские машины - MS Окна ХР (в основном).
Для доступа к шлюзу сделал привязку клиентских IP адресов к мак-адресу небольшим скриптом, который взял с nag.ru.Теперь непосредственно сама проблема. Привожу часть лога системы:
kernel log messages:
>> arp: 00:14:6a:d5:83:1b attempts to modify permanent entry for 10.10.10.254 on rl2
>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2
>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2
>> arplookup 0.0.0.0 failed: host is not on local network
>> arp: 00:52:a8:69:48:f4 attempts to modify permanent entry for 10.10.10.26 on rl2
>> arplookup 0.0.0.0 failed: host is not on local network
>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2
>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2
>> arp: 00:a8:b3:73:bf:a7 attempts to modify permanent entry for 10.10.10.18 on rl2
>> arp: 00:cf:87:e2:37:38 attempts to modify permanent entry for 10.10.10.16 on rl2
>> arp: 00:02:0d:38:c1:3d attempts to modify permanent entry for 10.10.10.23 on rl2
>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2
>> arp: 00:52:a8:69:48:f4 attempts to modify permanent entry for 10.10.10.26 on rl2
>> arp: 00:f8:19:89:b0:06 attempts to modify permanent entry for 10.10.10.253 on rl2
>> arp: 00:06:c5:16:24:ea attempts to modify permanent entry for 10.10.10.27 on rl2
>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2
>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2
>> arp: 00:f3:00:3a:9b:b8 attempts to modify permanent entry for 10.10.10.25 on rl2
>> arp: 00:14:6a:d5:83:1b attempts to modify permanent entry for 10.10.10.254 on rl2
>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2
>> arp: 00:46:e5:56:c9:0c attempts to modify permanent entry for 10.10.10.9 on rl2
>> arp: 00:57:c1:b2:83:94 attempts to modify permanent entry for 10.10.10.10 on rl2
>> arp: 00:cf:87:e2:37:38 attempts to modify permanent entry for 10.10.10.16 on rl2
>> arp: 00:a8:b3:73:bf:a7 attempts to modify permanent entry for 10.10.10.18 on rl2
>> arp: 00:3b:88:b5:5f:7f attempts to modify permanent entry for 10.10.10.20 on rl2
>> arp: 00:bb:5f:d7:f4:fb attempts to modify permanent entry for 10.10.10.22 on rl2
>> arp: 00:02:0d:38:c1:3d attempts to modify permanent entry for 10.10.10.23 on rl2
Вот что пишет ARPWatch:
==============================
одно из сообщений:
==============================
Subject: changed ethernet address (sabina.XXXXXXXX.ua)
hostname: sabina.XXXXXXXX.ua
ip address: 10.10.10.9
ethernet address: 0:a0:5:be:46:43
ethernet vendor: DANIEL INSTRUMENTS, LTD.
old ethernet address: 0:2:44:77:d6:4a
old ethernet vendor: SURECOM Technology Co.
timestamp: Friday, April 29, 2005 15:33:15 +0300
previous timestamp: Friday, April 29, 2005 15:28:27 +0300
delta: 4 minutes
===============================
другое сообщение (связанное с предыдущим):
===============================
Subject: flip flop (sabina.XXXXXXXX.ua)
hostname: sabina.XXXXXXXX.ua
ip address: 10.10.10.9
ethernet address: 0:2:44:77:d6:4a
ethernet vendor: SURECOM Technology Co.
old ethernet address: 0:a0:5:be:46:43
old ethernet vendor: DANIEL INSTRUMENTS, LTD.
timestamp: Friday, April 29, 2005 15:33:49 +0300
previous timestamp: Friday, April 29, 2005 15:33:49 +0300
delta: 0 seconds
================================
При этом такие сообщения вылетают для всех клиентских машин (их сейчас 27).
Обобщу:
1. Происходит изменение мак-адреса клиента на совершенно левый (в сети таких мак-адресов вообще нет), длительность использования - от 0 сек до 15 минут.
2. По истечении указанного в предыдущем пункте времени происходит обратное изменение адреса на настоящий.
3. Такие изменения происходят с периодичностью в 5-7 минут.
Что это может быть? Помогите, пожалуйста, скажите, где копать?
Если нужны дополнительные сведения - сообщу.
Вариант для распечатки
(??) on 30-Апр-05, 15:33 
