Debian 6.0.4. Шлюз c VLAN'ами дублирует бродкасты по всем подсетям внутреннего интерфейса.

3

1

Добрый день. Есть шлюз на Debian 6.0.4. На внутреннем интерфейсе настроены с десяток виланов, интерфейс подключен к транковому порту Cisco 3550. Все работает, все внутренние подсети выходят через шлюз в интернет, к нужным ресурсам между подсетями настроен доступ в iptables. По дефолту FORWARD заблокирован. Но, я обнаружил на интерфейсах внутренних хостов бродкасты, исодящие от шлюза, которые в эти подсети рассылаться не должны. Например DHCP запросы от хостов других подсетей. У мнея на шлюзе стоит dhcp-helper, я грешил на него, но его отключение проблему не убрало. Хосты адреса получать перестали, а бродкасты не исчесзи.

На коммутаторе, я настроил зеркалирование порта, к которому подключен внутренний интерфейс шлюза, подключил ПК c wireshark, и обнаружил, что шлюз любой полученный бродкаст рассылает по всем подинтерфейсам (интерфейсам виланов). Также, если помотреть на самом интерфейсе можно увидеть:

eth1.40 - интерфейс подсети 192.168.40.0/24 #tcpdump -i eth1.40

23:21:08.291354 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:09.041050 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:09.310682 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8028.00:08:7c:3a:58:00.8001, length 42 23:21:09.791113 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:10.534990 IP 192.168.70.57.55788 > 255.255.255.255.1947: UDP, length 40 23:21:10.859693 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:11.309918 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8028.00:08:7c:3a:58:00.8001, length 42 23:21:11.609207 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:12.359274 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:13.310558 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8028.00:08:7c:3a:58:00.8001, length 42 23:21:13.426713 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 23:21:14.176421 IP 192.168.42.73.netbios-ns > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

Прошу совета- куда копать?

Ссылка

←	Dovecot PostLoginScripting

Samba 3.6

→

eth1.40 - интерфейс подсети 192.168.40.0/24

что такое eth1.40 — тегированный VLAN или просто алиас на eth0? Что выводит команда:

ip addr show dev eth1

mky ★★★★★
(03.07.13 04:14:42 MSK)

Ответ на: комментарий от mky 03.07.13 04:14:42 MSK

Алиасы ethX:Y, а не через точку. Через точку - вланы.

blind_oracle ★★★★★
(03.07.13 10:41:03 MSK)

Ссылка

Оберни логи тцпдамп в тег code - абсолютно нечитаемо. Бриджа там нет у тебя? ProxyARP какого-нибудь? Покажи процессы ps ax

blind_oracle ★★★★★
(03.07.13 10:44:56 MSK)

Не может при маршрутизации роутер размножать пакет, только если у тебя интерфейсы объеденены в бридж. Скорее всего не хватает правил в фаерволе и пользователи из разных виланов могут слать друг другу пакеты. Попробуй попинговать из одного вилана в другой.

Yur4eg ★★
(03.07.13 11:41:19 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 03.07.13 10:44:56 MSK

Специально доп ПО для режима бриджа или ProxyARP не ставил.

#ps -ax

root@gw:/home/stalker# ps -ax
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
  PID TTY      STAT   TIME COMMAND
    1 ?        Ss     0:01 init [2]  
    2 ?        S      0:00 [kthreadd]
    3 ?        S      0:00 [migration/0]
    4 ?        S      0:05 [ksoftirqd/0]
    5 ?        S      0:00 [watchdog/0]
    6 ?        S      0:00 [migration/1]
    7 ?        S      0:00 [ksoftirqd/1]
    8 ?        S      0:00 [watchdog/1]
    9 ?        S      0:00 [migration/2]
   10 ?        S      0:45 [ksoftirqd/2]
   11 ?        S      0:00 [watchdog/2]
   12 ?        S      0:00 [migration/3]
   13 ?        S      0:00 [ksoftirqd/3]
   14 ?        S      0:00 [watchdog/3]
   15 ?        S      0:03 [events/0]
   16 ?        S      0:00 [events/1]
   17 ?        S      0:00 [events/2]
   18 ?        R      0:00 [events/3]
   19 ?        S      0:00 [cpuset]
   20 ?        S      0:00 [khelper]
   21 ?        S      0:00 [netns]
   22 ?        S      0:00 [async/mgr]
   23 ?        S      0:00 [pm]
   24 ?        S      0:00 [sync_supers]
   25 ?        S      0:00 [bdi-default]
   26 ?        S      0:00 [kintegrityd/0]
   27 ?        S      0:00 [kintegrityd/1]
   28 ?        S      0:00 [kintegrityd/2]
   29 ?        S      0:00 [kintegrityd/3]
   30 ?        S      0:00 [kblockd/0]
   31 ?        S      0:00 [kblockd/1]
   32 ?        S      0:00 [kblockd/2]
   33 ?        S      0:00 [kblockd/3]
   34 ?        S      0:00 [kacpid]
   35 ?        S      0:00 [kacpi_notify]
   36 ?        S      0:00 [kacpi_hotplug]
   37 ?        S      0:00 [kseriod]
   42 ?        S      0:00 [kondemand/0]
   43 ?        S      0:00 [kondemand/1]
   44 ?        S      0:00 [kondemand/2]
   45 ?        S      0:00 [kondemand/3]
   46 ?        S      0:00 [khungtaskd]
   47 ?        S      0:00 [kswapd0]
   48 ?        SN     0:00 [ksmd]
   49 ?        S      0:00 [aio/0]
   50 ?        S      0:00 [aio/1]
   51 ?        S      0:00 [aio/2]
   52 ?        S      0:00 [aio/3]
   53 ?        S      0:00 [crypto/0]
   54 ?        S      0:00 [crypto/1]
   55 ?        S      0:00 [crypto/2]
   56 ?        S      0:00 [crypto/3]
  301 ?        S      0:01 [ksuspend_usbd]
  302 ?        S      0:00 [khubd]
  313 ?        S      0:00 [ata/0]
  314 ?        S      0:00 [ata/1]
  315 ?        S      0:00 [ata/2]
  316 ?        S      0:00 [ata/3]
  317 ?        S      0:00 [ata_aux]
  320 ?        S      0:00 [scsi_eh_0]
  321 ?        S      0:00 [scsi_eh_1]
  322 ?        S      0:00 [scsi_eh_2]
  323 ?        S      0:00 [scsi_eh_3]
  324 ?        S      0:00 [scsi_eh_4]
  325 ?        S      0:00 [scsi_eh_5]
  344 ?        S      0:00 [usbhid_resumer]
  386 ?        S      0:00 [kjournald]
  501 ?        S<s    0:00 udevd --daemon
  662 ?        S<     0:00 udevd --daemon
  775 ?        S      0:00 [kpsmoused]
  836 ?        S      0:00 [hd-audio0]
 1001 ?        S      0:01 [flush-8:0]
 1028 ?        S      0:00 [kjournald]
 1029 ?        S      0:00 [kjournald]
 1030 ?        S      0:00 [kjournald]
 1031 ?        S      0:00 [kjournald]
 1032 ?        S      0:02 [kjournald]
 1806 ?        Ss     0:00 /sbin/portmap
 1818 ?        Ss     0:00 /sbin/rpc.statd
 1991 ?        Ss     0:00 /usr/sbin/acpid
 2007 ?        Ss     0:01 /usr/sbin/apache2 -k start
 2017 ?        Ss     0:00 /usr/sbin/atd
 2025 ?        S      0:00 /usr/sbin/apache2 -k start
 2026 ?        S      0:00 /usr/sbin/apache2 -k start
 2027 ?        S      0:00 /usr/sbin/apache2 -k start
 2028 ?        S      0:00 /usr/sbin/apache2 -k start
 2029 ?        S      0:00 /usr/sbin/apache2 -k start
 2048 ?        Ss     0:00 /usr/sbin/cron
 2072 ?        Ss     0:00 /usr/bin/dbus-daemon --system
 2085 ?        S      0:00 /usr/sbin/dhcp-helper -s 192.168.50.5
 2094 ?        Ss     0:00 /usr/sbin/pptpd
 2095 ?        S      9:06 /usr/sbin/bcrelay -i eth1 -o ppp[0-9].* -n
 2146 ?        Ss     0:00 /usr/sbin/squid -D -YC
 2149 ?        S      4:36 (squid) -D -YC
 2167 ?        S      0:03 (unlinkd)
 2169 ?        Ss     0:00 /usr/sbin/sshd
 3094 ?        S<     0:00 udevd --daemon
 3123 ?        Ss     0:01 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
 3136 tty1     Ss+    0:00 /sbin/getty 38400 tty1
 3137 tty2     Ss+    0:00 /sbin/getty 38400 tty2
 3138 tty3     Ss+    0:00 /sbin/getty 38400 tty3
 3139 tty4     Ss+    0:00 /sbin/getty 38400 tty4
 3140 tty5     Ss+    0:00 /sbin/getty 38400 tty5
 3141 tty6     Ss+    0:00 /sbin/getty 38400 tty6
 8213 ?        S      0:16 pptpd [217.67.187.234:BFD6 - 0080]                                                                                                 
 8215 pts/1    Ss+    0:00 /usr/sbin/pppd local file /etc/ppp/pptpd-options 115200 192.168.15.4:192.168.15.100 ipparam 217.67.187.234
10445 ?        Sl     0:00 /usr/sbin/rsyslogd -c4
11792 ?        Ss     0:00 sshd: stalker [priv]
11795 ?        S      0:00 sshd: stalker@pts/0
11796 pts/0    Ss     0:00 -bash
11829 pts/0    S      0:00 su
11830 pts/0    S      0:00 bash
11831 pts/0    R+     0:00 ps -ax
25263 ?        S      0:00 /usr/sbin/apache2 -k start
root@gw:/home/stalker#

Поскольку по умолчанию FORWARDинг в iptables заблокирован, то никакие пинги между сетями не проходят. Ресурсы изолированы.

ft845
(03.07.13 12:24:06 MSK) автор топика

Ответ на: Специально доп ПО для режима бриджа или ProxyARP не ставил. от ft845 03.07.13 12:24:06 MSK

Вот он тебе пакостит я думаю:

/usr/sbin/bcrelay -i eth1 -o ppp[0-9].* -n

Скорее всего этот релей не знает о вланах и дурит.

blind_oracle ★★★★★
(03.07.13 12:32:31 MSK)

Ответ на: комментарий от blind_oracle 03.07.13 12:32:31 MSK

Снимаю шляпу....

Отключил в pptpd этот релей и флуд сразу пропал... Большое спасибо за помощь...

ft845
(03.07.13 14:03:22 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Dovecot PostLoginScripting

Admin

Samba 3.6

→

Специально доп ПО для режима бриджа или ProxyARP не ставил.

Снимаю шляпу....

Похожие темы