Re: Virtuálne sieťové rozhrania v iptables

[Pavel Kankovsky]

On Sat, 19 Nov 2016, Róbert Čerňanský wrote:

> Pre istotu som skúsil ešte aj macvlan, a bolo to to isté.  iptables
> videli, že traffic chodí na eth0, aj keď som posielal pakety na IP
> adresu rozhrania macvlan.

A na jakou *MAC* adresu se to posílalo?

Tam může být ještě jedna finta spočívající v tom, že ARP dotaz pro IP 
adresu rozhraní č. 2 dorazí na obě rozhraní, jelikož jsou obě ve stejné 
síti, a pokud tam nemáte patřičným způsobem nastavené určité sysctl 
(arp_ignore, arp_filter, arp_announce), tak odpoví rozhraní č. 1, protože 
jádro považuje obě rozhraní v jedné síti za rovnocenná.

Některé zdroje doporučují v takovém případě nastavit arp_filter na 1, jiné 
zase nastavit arp_ignore na 1 a arp_announce na 2 a arp_filter ponechat 
na 0. Ta druhá varianta je asi nějakým způsobem lepší, ale moc nerozumím 
důvodům.

To je další důvod, proč je lepší použít vlany.

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"