ping na adresu interfacu co je DOWN?
Jan Houstek
Jan na houstek.net
Pátek Prosinec 2 14:11:34 CET 2011
On Thu, 1 Dec 2011, Václav Ovsík wrote:
>> Jestli je to dobře nebo ne je věc názoru, osobně mi to chování
>> celkem vyhovuje (podobně i iptables, kde jsou taky chainy společné
>> pro všechny interfacy). Pokud vadí, že server je dostupný přes
>> adresu jednoho interface z jiného interface, není nic snazšího, než
>> to ošetřit v iptables.
>
> Tak já jsem nebyl v údivu ani tak z faktu, že bych se propingl ze sítě
> na jakýkoliv interface v hostu (to se teď ještě musím trochu dovzdělat
> jak to přes ARP funguje), ale vlastně z toho, že jsem se propingnul na
> interface, který byl DOWN.
Stručný popis viz např. http://en.wikipedia.org/wiki/Host_model
Když na linux (nebo obecně každý stack s weak modelem) dorazí IP packet,
jehož dst IP adresa odpovídá adrese na některém z jeho interfaců, tak jej
bere jako lokální (bez ohledu na to kterým interfacem přišel). U tight
modelu se jako lokální bere jen pokud dst IP adresa souhlasí s adresou
na interface, kterým packet přišel (což se u DOWN interface zřejmě
nestane).
Ladění ARP je jen berlička, neovlivní to výše popsané chování, ale
znesnadní nalezení adresy interface A ze sítě připojené na interface B
(standardně je linux ochoten odpovídat na arp who-has na adresy všech
interface, ne jen toho, kterým dotaz přišel).
> Tedy pro úplnost - úplně normálně to síťuje. Můžu na tu adresu udělat
> SSH, ačkoliv její interface je DOWN. To mě přijde docela neintuitivní.
Mě zase přijde lehce neintuitivní, když přes WAN link nepingnu na LAN
adresu Cisco routeru jen proto, že LAN interface je DOWN (tj. link down,
ne administratively down).
> Nebo je tahle featura snad součástí nějakého std chování v případě toho
> multihomingu a weak host modelu?
Ano, je. Jak jsem psal, mě to chování celkem vyhovuje - u běžného
serveru/stanice s jedním interface je to jedno. Stroj s více interface je
buď server, který má všem poskytovat totéž (pak je weak multihoming
výhoda, protože odpadají různé záhadné problémy s nedostupností),
nebo je to firewall či server připojený do více sítí s jiným security
kontextem, kde je tak jako tak nutné mít iptables.
-- HH
Další informace o konferenci Linux