Virtuálne sieťové rozhrania v iptables
Róbert Čerňanský
openhs na tightmail.com
Sobota Listopad 19 22:38:35 CET 2016
On Sat, 19 Nov 2016 21:12:02 +0100 (CET)
Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> wrote:
> On Sat, 19 Nov 2016, Róbert Čerňanský wrote:
>
> > Pre istotu som skúsil ešte aj macvlan, a bolo to to isté. iptables
> > videli, že traffic chodí na eth0, aj keď som posielal pakety na IP
> > adresu rozhrania macvlan.
>
> A na jakou *MAC* adresu se to posílalo?
>
> Tam může být ještě jedna finta spočívající v tom, že ARP dotaz pro IP
> adresu rozhraní č. 2 dorazí na obě rozhraní, jelikož jsou obě ve
> stejné síti, a pokud tam nemáte patřičným způsobem nastavené určité
> sysctl (arp_ignore, arp_filter, arp_announce), tak odpoví rozhraní č.
> 1, protože jádro považuje obě rozhraní v jedné síti za rovnocenná.
Posielalo sa to na MAC rozhrania eth0. Aj v arp cache na klientovi mali
obidve IP rovnakú MAC.
> Některé zdroje doporučují v takovém případě nastavit arp_filter na 1,
> jiné zase nastavit arp_ignore na 1 a arp_announce na 2 a arp_filter
> ponechat na 0. Ta druhá varianta je asi nějakým způsobem lepší, ale
> moc nerozumím důvodům.
To stojí za pokus. Problém skutočne bude asi ten, že pakety
(vlastne asi rámce) sú posielané na MAC len jedného z rozhraní a na
cieľovom stroji sú potom k tomuto rozhraniu aj priradené.
--
Róbert Čerňanský
E-mail: openhs na tightmail.com
Jabber: hs na jabber.sk
Další informace o konferenci Linux