LINUX.ORG.RU
решено ФорумAdmin

Strongswan в routed mode и arp

 ,


0

1

Привет! Прошу помощи! После того как поднял ipsec в routed mode, машина начала отвечать на arp запросы на все адреса в локалке, будто все локальные адреса у нее. Как побороть? Пробовал на машинке заблокировать arp на вход через arptables - все равно отвечает.

★★
PKI, собственный CA для локальных веб ресурсов.
MySQL - подсчет времени
Ответ на: комментарий от victorb

В nftables видно что пакеты попадают в блокирующее правило


# nft list ruleset



table arp table_arp {
        chain input {
                type filter hook input priority filter; policy drop;
                ether saddr 00:50:56:9a:ad:47 counter packets 4 bytes 184 drop
                ether saddr 00:50:56:9a:eb:ab counter packets 0 bytes 0 drop
        }

        chain output {
                type filter hook input priority filter; policy accept;
                ether daddr 00:50:56:9a:ad:47 counter packets 0 bytes 0 drop
                ether daddr 00:50:56:9a:eb:ab counter packets 0 bytes 0 drop
        }
}

Но все равно проходят


# tcpdump -n -v -e -i ens192 arp
dropped privs to tcpdump
tcpdump: listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
17:10:47.163892 00:50:56:9a:ad:47 > 00:50:56:9a:eb:a5, ethertype ARP (0x0806), length 60: Ethernet (len 6), IPv4 (len 4), Request who-has 45.xx.xx.14 (00:50:56:9a:eb:a5) tell 45.xx.xx.11, length 46
17:10:47.163974 00:50:56:9a:eb:a5 > 00:50:56:9a:ad:47, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Reply 45.xx.xx.14 is-at 00:50:56:9a:eb:a5, length 28

Как же их заблокировать?

victorb ★★
() автор топика
Ответ на: комментарий от victorb

В общем, завернул интерфейс в бридж и зафильтровал на бридже эти arp

victorb ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
PKI, собственный CA для локальных веб ресурсов.
Admin
MySQL - подсчет времени