উবুন্টু লিনাক্স - একাধিক এনআইসি, একই ল্যান ... এআরপি প্রতিক্রিয়া সর্বদা একটি এনআইসি বাইরে যায়

আমরা এটি অ্যান্ড টি ইউ-শ্লোক ইন্টারনেট পরিষেবা পেয়েছি, এটির একটি অত্যন্ত হাড়যুক্ত মাথা ডিএসএল গেটওয়ে রয়েছে।

আমাদের 5 টি আইপি রয়েছে (নেটমাস্ক 248), তবে গেটওয়েতে একটি আইপি -> একক ম্যাক অ্যাড্রেস ম্যাপিং ছাড়া অন্য কিছু করতে অক্ষম।

আমাদের কাছে একটি ফায়ারওয়াল মেশিন রয়েছে এবং আমরা একটি ডিএমজেডের ভিতরে বিভিন্ন আইপি / পোর্ট কম্বোকে বিভিন্ন জায়গায় পুনঃনির্দেশ করি।

আমাদের সমাধান এখনও অবধি ফায়ারওয়ালে একটি ভিএমওয়্যার ভার্চুয়াল মেশিন রয়েছে যাতে এতে আরও 4 টি অতিরিক্ত এনআইসি থাকে, অন্য 4 টি আইপি ঠিকানা পেতে ... তবে আমাদের সমস্যা আছে।

গেটওয়েটি মূলত একটি এআরপি পিং করছে এটি দেখার জন্য যে আইপি প্রত্যাশিত ম্যাকের প্রতিক্রিয়া করছে কিনা। একই ল্যানে থাকা 4 টি এনআইসি সহ, লিনাক্স একটি একক ইন্টারফেস ব্যবহার করে সমস্ত আইপি-র জন্য এআরপি অনুরোধের প্রতিক্রিয়া জানায়। গেটওয়েটি যা প্রত্যাশা করে তা এটি নয় এবং এটি 3 অন্যান্য এনআইসিকে জড়িয়ে ফেলছে। গেটওয়ে আইপিগুলির জন্য আগত ট্র্যাফিকের পথে যেতে অস্বীকার করে যেখানে এআরপি পিং ফলাফল প্রত্যাশিত ম্যাক হয় না C

আমরা কীভাবে এথপির আইপি 0, এথ 1 ছাড়ার জন্য এথ 1 এর আইপি ইত্যাদির জন্য এথ 0 এর আইপি পেতে পারি?

সম্পাদনা

ক্রিস্টোফার ক্যাসেলের প্রতিক্রিয়া এই পরিস্থিতিতে কাজ করে না। আমি এটা পড়ার খুব আশা ছিল, কিন্তু ... না।

সম্পাদনা 2

মীমাংসিত! আমার উত্তর নীচে দেখুন।

আপনার নির্বাচিত সমাধানটি কাজ করে, তবে এমন বিকল্প রয়েছে যাতে আরপটেবলগুলি জড়িত না। (ক্রিস্টোফার ক্যাসেল মূলত সঠিক পথে ছিলেন, তবে তিনি একটি স্মিজে পড়ে ছিলেন))

সংক্ষেপে, আপনি এই পরামিতিগুলি সেট করতে চান:

net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2

আধুনিক, ২.6 সিরিজের লিনাক্স কার্নেল চালানোর সময় এগুলি পাওয়া উচিত। আপনার সিস্টেমে '/ proc / sys / নেট / ipv4 / conf / / arp_announce' এবং / proc / sys / নেট / ipv4 / conf / / arp_ignore ' পরীক্ষা করে দেখুন এবং নিশ্চিত করুন।

'আরপ_ফিল্টার' পরামিতি কেবল তখনই কাজ করে যখন আপনার বিভিন্ন আইপি ঠিকানা ল্যান সেগমেন্ট ভাগ করে নেয় তবে বিভিন্ন আইপি সাবনেট ব্যবহার করে। যদি তারা আইপি সাবনেটটিও ভাগ করে নেয় তবে আপনাকে উপরের মতো 'আরপ_গাইনোর' এবং 'আরপ_নানউনস' ব্যবহার করতে হবে।

(আমি বিশ্বাস করি আপনারও 'আরপ_ফিল্টার' আবার '0' এ সেট করতে হবে))

ঠিক আছে, সমাধান এখানে। প্রথমত, একটি পুনরুদ্ধার:

এখানে আমার বেসিক নেটওয়ার্ক পরিকল্পনাটি রয়েছে:

 eth0 10.10.10.2 netmask 255.255.255.248
 eth1 10.10.10.3 netmask 255.255.255.248
 eth2 10.10.10.4 netmask 255.255.255.248
 eth3 10.10.10.5 netmask 255.255.255.248

সমস্ত ইন্টারফেস ওভারল্যাপ। এটি প্রযুক্তিগতভাবে ভুল, এবং আমার সমস্ত দুর্দশার উত্স ... তবে এই বোবা আবাসিক গেটওয়ের কারণে আমাকে এটি করতে হয়েছিল।

প্রথমে সম্প্রচার এআরপি অনুরোধগুলি এই সমস্তগুলিতে যায়। সমস্ত 4 আইপি বৈধ স্থানীয় ঠিকানা হওয়ায় সমস্ত 4 টি ইন্টারফেস সাড়া দেওয়ার চেষ্টা করতে চলেছে।

1) আর্টেবলগুলি ইনস্টল করুন । বুটের সময় এই জায়গাটি যুক্ত করুন ( /etc/rc.local এখানে):

arptables -F INPUT
arptables -A INPUT -i eth0 --destination-ip ! 10.10.10.2 -j DROP
arptables -A INPUT -i eth1 --destination-ip ! 10.10.10.3 -j DROP
arptables -A INPUT -i eth2 --destination-ip ! 10.10.10.4 -j DROP
arptables -A INPUT -i eth3 --destination-ip ! 10.10.10.5 -j DROP

এটি সম্প্রচারগুলিকে ভুল ইন্টারফেসে যেতে বাধা দেবে। সুতরাং, সঠিক ইন্টারফেস এখন একমাত্র প্রতিক্রিয়াশীল হবে।

এটি নিজেই যথেষ্ট নয়। পরের বিটটি একটি এআরপি টেবিল সমস্যা। অনুরোধ পিসি সম্ভবত ইতিমধ্যে একটি এআরপি টেবিল এন্ট্রি আছে, এবং তাই লিনাক্স এটি এর সাথে যুক্ত ইন্টারফেস ব্যবহার করতে চলেছে। যেটি এআরপি টেবিল এন্ট্রির মেয়াদ শেষ না হওয়া অবধি এটি এআরপি অনুরোধের সাথে সম্পর্কিত নয়, সেই প্রবেশের ইন্টারফেস ব্যবহার করে এআরপি প্রতিক্রিয়াগুলি প্রেরণের চেষ্টা করবে।

Sysctl অপশনটি rp_filter টি যদি ভুল ইন্টারফেসে থাকে তবে বহির্গামী এআরপি প্রতিক্রিয়া প্যাকেটগুলি প্রত্যাখ্যান করে বলে মনে হচ্ছে। তাই ...

2) আরপি_ফিল্টার অক্ষম করুন ।

ডেবিয়ান / উবুন্টুতে, এর অর্থ /etc/sysctl.d/10-network-security.conf এ দুটি আরপি_ফিল্টার লাইনটি মন্তব্য করা ।

এই বিকল্পটি কোনও কারণে সক্ষম করা হয়েছিল ... যথা ক্রস ইন্টারফেসের স্পোফিং আক্রমণগুলি রোধ করতে সহায়তা করে। আমি এটি পড়তে পেরেছি যে প্যাকেটটি যে ইন্টারফেসে আসছে বা এটি চলছে তা ম্যাক্স এবং আইপিগুলি অদলবদল করে এবং এটি এখনও একই ইন্টারফেসের উপর দিয়ে গেছে কিনা তা দেখে বৈধ কিনা read সুতরাং, সাধারণত এটি বন্ধ করা খারাপ ধারণা হবে। আমার ক্ষেত্রে, সমস্ত ইন্টারফেস একই নেটওয়ার্কে রয়েছে ... যাতে চেকটি মোটেই গুরুত্বপূর্ণ নয়।

যদি আমি অন্য ইন্টারফেস যোগ এবং স্পুফিং সুরক্ষা প্রয়োজন, সম্ভবত কিছু নৈপুণ্য করতে arptables / iptables- র একই জিনিস করে এন্ট্রি।

লিনাক্স যেভাবে আইপি এবং এনআইসি পরিচালনা করে তার সাথে এটি করতে হবে। মূলত, এটি কোনও আইপি ঠিকানার সাথে আচরণ করে যেমন এটি বাক্সের সাথে সম্পর্কিত, এবং কেবল নির্দিষ্ট এনআইসি নয়। ফলাফলটি আপনি প্রত্যাশা করবেন না এমন ইন্টারফেসে আইপি ঠিকানাগুলি থেকে এআরপি প্রতিক্রিয়া পেতে পারেন।

সমাধানটি একটি সিস্কিটল বিকল্প। আমার স্মরণ হিসাবে, আপনি যা খুঁজছেন তা হ'ল:

net.ipv4.conf.default.arp_filter=1
net.ipv4.conf.all.arp_filter=1

এটি আপনার জন্য সমস্যার সমাধান করবে। কেবল সেগুলিকে /etc/sysctl.conf এ যুক্ত করুন এবং চালিত করুন ' sysctl -p' (অথবা প্রতিটি লাইনটি ' sysctl -w' এর আর্গুমেন্ট হিসাবে চালান ।

এটি লিনাক্সের দ্বারা কেবলমাত্র একটি আইপি ঠিকানাটি অর্পিত ইন্টারফেসে কেবলমাত্র এআরপি অনুরোধগুলিতে সাড়া দেয়।

এর সাথে সম্মত স্বীকৃত উত্তর: http://www.linuxquestions.org/questions/linux-networking-3/m Multipleple-interfaces-all-traffic-flows-through-just-one-538701 /

স্থিতিশীল রুটগুলি নির্দিষ্ট ইন্টারফেসের মাধ্যমে কেবলমাত্র কাঙ্ক্ষিত আইপিগুলির সাথে যোগাযোগ করার জন্য ব্যবহৃত হয়, আমার একই ধরণের সমস্যার একটি শক্তিশালী এবং সহজ সমাধান তৈরি করে।

আপনি কি গেটওয়ে ব্রিজ করতে পারবেন এবং ফায়ারওয়াল আইপিগুলি হ্যান্ডেল করতে পারবেন?