czesc
Od kilku dni siedze nad nastepujacym problemem: jak przyporzadkowac na stale
pary adres_eth:adres_ip, tak aby dany linux-router otrzymawszy powiedzmy na
interfejsie eth0 pakiet o parze roznej od tej, ktora ma wpisana w swoja tablice
arp, nie wypusczal tego pakietu do internetu. Wpisanie na stale odpowiednich
par do tablicy arp (PERM) nie daje efektu : pakiety z bledna para sa dalej
wypuszczane, jedyne co uzyskujemy, to to, ze ewentualne pakiety powrotne dotra
do blednego (pod inny adres ethernetowy) celu, niemniej jednak niepotrzebnie
zasmiecam internet :(. Czy macie jakies ciekawe pomysly ?
ponizej przedstawiam bardziej szczegolowy opis:
przedstawie sytuacje, ktora u mnie wystepuje, troche blizej, oto model (nazwy
interfejsow wprowadzam tam , gdzie to konieczne; jesli chodzi o adresy fizyczne
i ip to podaje tylko dwa "najmlodsze" bajty adresu, mysle, ze to wystarczy):
|host a | |router |
|fiz=11:aa| --------------eth1;ip=6.1 |host b|
|ip=6.2 | ip=5.20;eth0----------------| |
|ip=5.30|
w jadrze mam :
ip_forwarding
arp
NIE mam rarp'a
socket_filtering
dla przypadku standardowego, czyli dla dynamicznych i prawidlowych wpisow w
tablicy arp router'a arp wszystko dziala bez problemu (i tak ma byc), czyli np.
ping z host'a a do b, dziala normalnie.
teraz w tablicy arp router'a zmieniam adres fiz. host'a z 11:aa na, powiedzmy
11:bb,czyli wpis wyglada nastepujaco :
router # arp -a
.....
6.2 at 11:bb [ether] PERM on eth1
.....
i puszczam ping'a :
host_a# ping host_b
jak latwo sie domyslec host_a nie otrzyma odpowiedzi.
pytanie : dlaczego ?
ano, zbadalem ruch i ... host a puszcza pakiet icmp-echo request do hosta_b,
router, mimo blednego wpisu w swojej tablicy arp, przepuszcza pakiet z
interfejsu eth1 na eth0; icmp-echo request zostaje odebrany przez hosta_b,
ten natychmiast odpowiada hostowi_a pakietem icmp-echo reply; pakiet dochodzi
do router'a, router przepuszcza pakiet z eth0, na eth1 i !!!!!UWAGA!!!!
dopiero tu router korzysta ze swojej tablicy arp czyli wysyla ten pakiet na
dobry adres ip=6.2 na bledny adres fiz=11:bb i DLATEGO ja pusczajac ping'a
nie otrzymam odpowiedzi na ekranie mego hosta_a, niemniej jednak jak widac,
router przepuszcza pakiety bez problemu , czyli : zasmieca internet, a mnie
chodzi o to aby router, w ogole nie wypuszczal pakietow z niezgodna, jego
zdaniem para <ip,fiz>
Czy macie jakies pomysly na rozwiazanie tego problemu ?
pozdrowienia
Received on Thu Jul 06 2000 - 10:38:57 NZST