ping na adresu interfacu co je DOWN?

Jan Houstek Jan na houstek.net
Pátek Prosinec 2 14:11:34 CET 2011 

On Thu, 1 Dec 2011, Václav Ovsík wrote:
>> Jestli je to dobře nebo ne je věc názoru, osobně mi to chování
>> celkem vyhovuje (podobně i iptables, kde jsou taky chainy společné
>> pro všechny interfacy). Pokud vadí, že server je dostupný přes
>> adresu jednoho interface z jiného interface, není nic snazšího, než
>> to ošetřit v iptables.
>
> Tak já jsem nebyl v údivu ani tak z faktu, že bych se propingl ze sítě
> na jakýkoliv interface v hostu (to se teď ještě musím trochu dovzdělat
> jak to přes ARP funguje), ale vlastně z toho, že jsem se propingnul na
> interface, který byl DOWN.

Stručný popis viz např. http://en.wikipedia.org/wiki/Host_model

Když na linux (nebo obecně každý stack s weak modelem) dorazí IP packet, 
jehož dst IP adresa odpovídá adrese na některém z jeho interfaců, tak jej 
bere jako lokální (bez ohledu na to kterým interfacem přišel). U tight 
modelu se jako lokální bere jen pokud dst IP adresa souhlasí s adresou 
na interface, kterým packet přišel (což se u DOWN interface zřejmě 
nestane).

Ladění ARP je jen berlička, neovlivní to výše popsané chování, ale 
znesnadní nalezení adresy interface A ze sítě připojené na interface B 
(standardně je linux ochoten odpovídat na arp who-has na adresy všech 
interface, ne jen toho, kterým dotaz přišel).

> Tedy pro úplnost - úplně normálně to síťuje. Můžu na tu adresu udělat
> SSH, ačkoliv její interface je DOWN. To mě přijde docela neintuitivní.

Mě zase přijde lehce neintuitivní, když přes WAN link nepingnu na LAN 
adresu Cisco routeru jen proto, že LAN interface je DOWN (tj. link down, 
ne administratively down).

> Nebo je tahle featura snad součástí nějakého std chování v případě toho 
> multihomingu a weak host modelu?

Ano, je. Jak jsem psal, mě to chování celkem vyhovuje - u běžného 
serveru/stanice s jedním interface je to jedno. Stroj s více interface je 
buď server, který má všem poskytovat totéž (pak je weak multihoming 
výhoda, protože odpadají různé záhadné problémy s nedostupností), 
nebo je to firewall či server připojený do více sítí s jiným security 
kontextem, kde je tak jako tak nutné mít iptables.

-- HH

Další informace o konferenci Linux