Маршрутизация на одном интерфейсе, чудеса.

0

0

Здравствуйте, коллеги!
Для меня сегодня явилось новостью то, что если в Linux включить forward, начинают forward-иться и те пакеты, которые не должны forward-иться, ИМХО.
То есть:
Пусть у нас есть сеть для простоты 192.168.0.0/24. IP-адрес шлюза 192.168.0.254, пусть этот IP присвоен интерфейсу eth0.

Добавим на какой-нибудь сторонней машине с IP из данной сети (к примеру, на машинке 192.168.0.99) роут:
route add 192.168.0.1 gw 192.168.0.254

И опа, данная тачка 192.168.0.1 пингуется с 192.168.0.99.

В "traceroute 192.168.0.1" видно, что первый хоп это шлюз, второй сама тачка. Что за бред, я всегда считал, что чтобы так сделать (на eth0 шлюза пакет приходит и с eth0 пакет уходит) нужны дополнительные телодвижения. А тут всё по умолчанию. Это не проблема когда маска сети 255.255.255.0, но если маска шире, а винда по умолчанию ставит 255.255.255.0, люди не правят на верную, так как всё работает. А шлюз подвергается лишней нагрузке. Конечно, можно это запретить в iptables (то же лишняя нагрузка), но не ужели нет каких-то параметров в sysctl чтоб такое вообще запретить?

OS: RH9, kernel: 2.4.20-31.9.

Ссылка

←	vlc && dvb

Блэк-листы для Postfix

→

iptables -P FORWARD DROP
никакой нагрузки не будет - проверъ

kilolife ★★★★★
(17.12.07 02:28:20 MSK)

Ссылка

Твое имхо к реальной жизни отношения не имеет. То, что ты описал, работает именно так, как и должно.

ansky ★★★★★
(17.12.07 02:28:48 MSK)

Ссылка

>есть сеть для простоты 192.168.0.0/24.
>IP-адрес шлюза 192.168.0.254
>И опа, данная тачка 192.168.0.1 пингуется с 192.168.0.99.
>В "traceroute 192.168.0.1" видно, что первый хоп это шлюз, второй сама тачка.

У тебя проблемы в настройке 192.168.0.1, при указанной маске /24, хост 192.168.0.99 должен пинговаться напрямую

Что же касается шлюза, то он делает, то что ему сказали -- форвардит пришедшие пакеты в соотв. со своей таблицей маршрутизации.
А то что так не должно быть связанно не с шлюзом, а с проблемой описанной выше.

~~sdio~~ ★★★★★
(17.12.07 07:25:51 MSK)

Ссылка

полностью согласен со всеми ответами.
а чтоб подобное присекать на шлюзе включи icmp_redirects

chocholl ★★
(17.12.07 12:32:28 MSK)

Ссылка

>я всегда считал, что чтобы так сделать (на eth0 шлюза пакет приходит и с eth0 пакет уходит) нужны дополнительные телодвижения

это и есть тедодвижения

>route add 192.168.0.1 gw 192.168.0.254

вообще, зачем те маршрутизация внутри одной подсети??

если бы ты написал
route add default gw 192.168.0.254
то было бы все так, как ты хочешь (наверное), и гейт бы подхватился

shlag ★
(19.12.07 12:11:04 MSK)

Ответ на: комментарий от shlag 19.12.07 12:11:04 MSK

>route add default gw 192.168.0.254

Это делается на клиенте, для того чтобы показать что трафик действительно маршрутизируется.

Я понимаю, когда на одном интерфейсе маршрутизируется трафик из разных подсетей, но зачем маршритузируется трафик из одной подсети в туже самую подсеть, когда трафик может ходить на прямую, почему эти пакеты по умолчанию не дропаются, может что-то нужно поменять в /proc/sys/net? То есть чтобы драпались автоматом, не средствами iptables.

anonymous
(27.12.07 16:57:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	vlc && dvb

Admin

Блэк-листы для Postfix

→

Похожие темы