Титла: Статична arp таблица
Публикувано от: VladSun в Oct 11, 2006, 01:20
Имам много странен проблем със статична ARP таблица на рутер.
На една машина (рутер) всичко е ОК - ако ИП-МАК чифта не е правилен, няма връзка рутер-потребител.
На друга машина (рутер) със същото ядро и същият начин на ползване на ARP таблицата - въобще не сработва - минават всякакави комбинации от ИП-МАК чифтове. Интересното е, че при ping към ИП с правилно зададени ИП-МАК се получават DUP пакети.
На трета машина (рутер, пак същите софт. параметри) пък работи за някои ИП-та, за други не. И още по-интересното е, че DUP пакетите се появяват в обратния случай - при несъвпадение на ИП-МАК чифта.
Изчерпах се откъм идеи.
Пусках, спирах proxyarp (та да не би да е от него) - никакъв ефект.
ПП: В момента проблема съм го решил с macipmap на ipset.
На една машина (рутер) всичко е ОК - ако ИП-МАК чифта не е правилен, няма връзка рутер-потребител.
На друга машина (рутер) със същото ядро и същият начин на ползване на ARP таблицата - въобще не сработва - минават всякакави комбинации от ИП-МАК чифтове. Интересното е, че при ping към ИП с правилно зададени ИП-МАК се получават DUP пакети.
На трета машина (рутер, пак същите софт. параметри) пък работи за някои ИП-та, за други не. И още по-интересното е, че DUP пакетите се появяват в обратния случай - при несъвпадение на ИП-МАК чифта.
Изчерпах се откъм идеи.
Пусках, спирах proxyarp (та да не би да е от него) - никакъв ефект.
ПП: В момента проблема съм го решил с macipmap на ipset.
Титла: Статична arp таблица
Публикувано от: Uvigii в Oct 12, 2006, 21:26
Тези различни маршрутизаторчета
в различни мрежи ли за ?
в различни мрежи ли за ?
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 12, 2006, 23:21
// Здравей, Uvigii. Радвам се да те видя отново.
Два от тях са в една мрежа, но с различни интерфейси - първият обслужва две C-клас мрежи + рутиране на една С-клас мрежа, която се намира зад вторият рутер.
Третият е в напълно друга (и физичеки, и логически) С-клас мрежа.
Само третият работи 100% както се очаква. Лошото за другите два е, че за някои ИП-МАК чифтове работи , за други - не. Просто няма никаква логика.
Два от тях са в една мрежа, но с различни интерфейси - първият обслужва две C-клас мрежи + рутиране на една С-клас мрежа, която се намира зад вторият рутер.
Третият е в напълно друга (и физичеки, и логически) С-клас мрежа.
Само третият работи 100% както се очаква. Лошото за другите два е, че за някои ИП-МАК чифтове работи , за други - не. Просто няма никаква логика.
Титла: Статична arp таблица
Публикувано от: melwin в Oct 13, 2006, 09:17
За да локализираш проблема опитай arping -D на всяка една от машините. Щом ти дава ДУП пакети значи 2 машини отговарят на един и същ адрес.
Ако ще пускаш - arp proxy то трябва да е пуснато на машини 1 и 2.
Ако ще пускаш - arp proxy то трябва да е пуснато на машини 1 и 2.
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 13, 2006, 14:15
DUP пакетите установихме, че идват от потребители с техни рутери. При това външните им адреси са различни.
при ping IP -R
се вижда много добре как минава едновременно по два различни пътя.
И май само за тях се получават DUP пакети. Но работещо/неработещо MAC-IP филтриране е произволно.
при ping IP -R
се вижда много добре как минава едновременно по два различни пътя.
И май само за тях се получават DUP пакети. Но работещо/неработещо MAC-IP филтриране е произволно.
Титла: Статична arp таблица
Публикувано от: melwin в Oct 13, 2006, 16:39
Ами мога да те посъветвам да погледнеш т.нар. ARP Flux Problem -
http://linux-ip.net/html/ether-arp.html
Нещо не мога да се ориентирам добре в обстановката: различни външни адреси, вътрешни рутери - много засекретено го даваш
Колкото повече информация дадеш ,толкова по-лесно ще ти се помогне.
С кое ядро става въпросният проблем?
http://linux-ip.net/html/ether-arp.html
Нещо не мога да се ориентирам добре в обстановката: различни външни адреси, вътрешни рутери - много засекретено го даваш
Колкото повече информация дадеш ,толкова по-лесно ще ти се помогне.
С кое ядро става въпросният проблем?
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 13, 2006, 18:32
/proc/sys/net/ipv4/conf/*/arp_filter
са на всичките рутери 0.
Ядро 2.6.15.7
Нищо секретно няма:
Интернет -> рутер1 ->2*С-клас мрежа -> рутер2 -> 1*С-клас мрежа
и
Интернет -> рутер3 -> 1*С-клас мрежа
В тези мрежи има и рутери на потребители.
са на всичките рутери 0.
Ядро 2.6.15.7
Нищо секретно няма:
Интернет -> рутер1 ->2*С-клас мрежа -> рутер2 -> 1*С-клас мрежа
и
Интернет -> рутер3 -> 1*С-клас мрежа
В тези мрежи има и рутери на потребители.
Титла: Статична arp таблица
Публикувано от: gat3way в Oct 13, 2006, 18:59
Малко ми е неясно, съжалявам но загрявам доста бавно
ping -R откъде докъде?
proxyarp има ли пуснато някъде?
Има ли рутер с два интерфейса в един етернет сегмент, без това да е bonding device (тъпо е но питам все пак) ?
Никой никъде не се опитва да бридж-ва мрежи, т.е brctl show по рутерите не вади нищо?
Има ли намесени 802.11 дейности в цялата работа някъде все пак?
ping -R откъде докъде?
proxyarp има ли пуснато някъде?
Има ли рутер с два интерфейса в един етернет сегмент, без това да е bonding device (тъпо е но питам все пак) ?
Никой никъде не се опитва да бридж-ва мрежи, т.е brctl show по рутерите не вади нищо?
Има ли намесени 802.11 дейности в цялата работа някъде все пак?
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 13, 2006, 22:40
Чиста Ethernet среда, няма VLAN-и, нищо.
Няма никъде пуснато proxyarp (макар, че преди беше пуснато и си работеше филтрирането).
Няма рутери с повече от един интерфейс към един и същ сегмент.
Няма bonding интерфейси, bridge.
ping -R от router2 до router1.
Router2 е зад router1.
Единственото подозрение ми остава ARP Tables в Networking, но не мисля, че е от там.
Няма никъде пуснато proxyarp (макар, че преди беше пуснато и си работеше филтрирането).
Няма рутери с повече от един интерфейс към един и същ сегмент.
Няма bonding интерфейси, bridge.
ping -R от router2 до router1.
Router2 е зад router1.
Единственото подозрение ми остава ARP Tables в Networking, но не мисля, че е от там.
Титла: Статична arp таблица
Публикувано от: ray в Oct 14, 2006, 08:22
Здравейте,
Само като 'hint' - опита ли с друго ядро (други настройки).
Скоро да си сменял нещо по ядрата и т.н.
Виж за неща свързани с ARP-a.
Успех.Румен
PS:sorry за шума. чак сега пак погледнах (и видях), че вече си писал за това.
Само като 'hint' - опита ли с друго ядро (други настройки).
Скоро да си сменял нещо по ядрата и т.н.
Виж за неща свързани с ARP-a.
Успех.Румен
PS:sorry за шума. чак сега пак погледнах (и видях), че вече си писал за това.
Титла: Статична arp таблица
Публикувано от: gat3way в Oct 14, 2006, 09:48
| Цитат |
| ping -R от router2 до router1. |
Как тогава RR има различни пътища на отиване и връщане? В смисъл нали са в един и същ етернет сегмент, т.е router1 иrouter2 имат по един интерфейс в една и съща мрежа?
В смисъл при пинг от рутер 1 до рутер 2 трябва да има само 1 хоп...и би следвало да изпише нещо като:
RR: router1_ip
router2_ip
router1_ip
Странно..
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 14, 2006, 14:42
ping -R router1 (от router2)
RR:
router1
router2
user_ip
router2
router1
а би трябвало да ми върне:
RR:
router1
router2
router2
router1
ПП: И на мен ми е странно
RR:
router1
router2
user_ip
router2
router1
а би трябвало да ми върне:
RR:
router1
router2
router2
router1
ПП: И на мен ми е странно
Титла: Статична arp таблица
Публикувано от: Uvigii в Oct 15, 2006, 01:21
| Цитат |
| user_ip |
Според мен машинката с това ИП си предлага услугите без да са и искани. Дали случайно не е някоя малка кутийка с не обновен фирмуеър?
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 15, 2006, 01:23
Не знам каква е точно (но със сигурност е малка кутийка).
Въпросът е, че не точно това ми е главният проблем. Проблемът ми е със статичната ARP таблица - просто искам да работи
.
Останалото са странични ефекти, които давам за да подскажа нещо, което аз не виждам.
Въпросът е, че не точно това ми е главният проблем. Проблемът ми е със статичната ARP таблица - просто искам да работи
.Останалото са странични ефекти, които давам за да подскажа нещо, което аз не виждам.
Титла: Статична arp таблица
Публикувано от: Uvigii в Oct 15, 2006, 10:16
| Цитат |
| Не знам каква е точно (но със сигурност е малка кутийка). |
Въпреки, че е малка - тя е вълшебна, има всякави чудеса от рода на 'Clone MAC', 'RIP','NAT'.... Не е ясно като се надушат 2-3 такива нещица - какво става. Както ти предложи melwin - tcpdump може да даде малко насоки.
п.п. Потърси проблема извън твоите машинки. И друго .. какво значи някой път работи, някой път не ? tcpdump какво показва в случая? има ли промяна в мак и ттл ?
Титла: Статична arp таблица
Публикувано от: VladSun в Oct 16, 2006, 16:22
Искам да направя ИП-МАК защитата да работи първо (с arp -f ethers), останалото ще го гледам по-нататък.
Титла: Статична arp таблица
Публикувано от: rers32e в Oct 20, 2006, 12:03
Хмм , струва ми се ,че някой се прави на лош в твоята мрежа. Представи си следната ситуация -
рутер1 - (ЛАН1-(малката кутиика) - ЛАН1) - рутер2 - (ЛАН2) ,
ако малката кутиика от ЛАН1 казва на останалите - ИП-то на рутер1 е с моя мак адрес , по този начин л2 от някои в ЛАН1 към рутер1 ще минава през малката кутиика , а понеже рутер1 има статична арп таблица , то той ще връща заявката директно до хоста от който е получена - това е проблема ти с различните пътища.А ако малката кутиика реши да промени мак-а (чуждия) (снат , днат върху л2 с арптаблес) то целия трафик ще минава през нея.
рутер1 - (ЛАН1-(малката кутиика) - ЛАН1) - рутер2 - (ЛАН2) ,
ако малката кутиика от ЛАН1 казва на останалите - ИП-то на рутер1 е с моя мак адрес , по този начин л2 от някои в ЛАН1 към рутер1 ще минава през малката кутиика , а понеже рутер1 има статична арп таблица , то той ще връща заявката директно до хоста от който е получена - това е проблема ти с различните пътища.А ако малката кутиика реши да промени мак-а (чуждия) (снат , днат върху л2 с арптаблес) то целия трафик ще минава през нея.