← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #37935

Stadigvæk problemer med arp... suk

  Thread PreviousDate PreviousThread Next 
Hej igen

Jeg havde problemer med at få statisk arp til at virke på en 2.4.4 kerne og
iptables. For lige at skitse op ser mit setup sådan ud:
Internet
	|
ADSL-off.ent.lig.tip
ADSL-192.168.1.0/24
	|
FW-192.168.1.2/24
FW-192.168.222.1/24
	|
Intern-net-192.168.222.0/24

Det jeg gerne ville var at lave pool-nat af internt net, til en pool f.eks.
192.168.1.129-254. Når svaret kommer tilbage skal pakken så _ind_ på FW'ens
interface (192.168.1.2) og her skal så laves en arp entry:
#arp -i eth1 _Ds 192.168.1.128 eth1 netmask 255.255.255.128 pub

Fint nok, det virker bare ikke :-/.  Da det egentligt ikke var dette problem
jeg ville undersøge, løste jeg bare problemet ved at lave en route i ADSL
routeren,
#set route add ip 192.168.1.128 mask 255.255.255.128 gw 192.168.1.2 metric 1
, og så virkede det også (med regler i iptables se'føl'ig).

Nu har jeg så lige sat endnu et netkort i min FW, så den har 3 stk. Dermed
bliver iptables lidt mere specielt at sætte op, da bl.a. ip-spoofing bliver
mere interessant. Setup'et er nu sådan:
Internet
	|
ADSL-off.ent.lig.tip
ADSL-192.168.1.0/24
	|
FW-192.168.1.2/24(eth1)
	FW-192.168.1.244.1/24(eth0) - DMZ-192.168.244.0/24
FW-192.168.222.1/24(eth2)
	|
Intern-net-192.168.222.0/24

Da jeg imidlertid ikke har et krydset kabel eller en ekstra hub, valgte jeg
at ligge begge logiske net (192.168.222.0/24 og 192.168.244.0/24) på samme
hub, altså kabler fra eth0 og eth2 i samme hub.

Fint, nu begynder problemerne: Efter lidt tid (ca 2-5 minutter) får jeg
asymmetrisk routning ! Pakkerne fra 192.168.222.0/24 ryger _ind_ på
192.168.244.1 (eth0) og ud af 192.168.222.1(eth2). Selvfølgelig spærrer
anti-ip-spoofing for disse pakker, så ingenting virker før jeg slår
anti-ip-spoofing fra. Underligt ikke, da det jo netup må være en arp som
spiller ind. I /proc/net/arp findes også entry's for 192.168.222.0/24 på
både eth0 og eth2 (kan tænkes at det er iorden, da adresserne jo faktisk
findes der. Jeg har ingen statiske arp entries, og
/proc/sys/net/conf/*/proxy_arp er alle 0.

Har I nogle ideer ? - Problemet er faktisk ikke så stort, da jeg alligevel
anskaffer mig et krydset kabel og sætter den enlige maskine på DMZ med det.
Men det er sku' da underligt, ikke ?


Mvh Jeppe
  Thread PreviousDate PreviousThread Next