Доброе время суток!

Имеется 2 физические машины, которые подключены следующим образом в разных вланах:

SRV1:

eth0 - 172.16.1.2 255.255.255.0 gw 172.16.1.1 (влан 10)
eth1 - 10.10.10.2 255.255.255.0 (влан 20)

SRV2:
eth0 - 172.16.1.3 255.255.255.0 gw 172.16.1.1 (влан 10)
eth1 - 10.10.10.3 255.255.255.0 (влан 20)

Сетка 172.16 натится через роутер и выходит в инет, а другая обрублена от внешнего мираб роута между ними нет.

Проблема заключается в следующем:

Когда от SRV1  сканирую SRV2 нмапом следующим образом:

nmap -e eth1 172.16.1.3  --packet-trace

получаю ответ, что 172.16.1.3 хост жив, хотя судя по опциям сканирование должно исходить от 10.10.10.2 и (по идее) не должен видеть 172.16.1.3, но возврвщвется ответ что данный хост жив, и открыт 80 порт на адрес 172.16.1.3, и присутствует мак адрес интерфейса eth1 от SRV2.

как сделать, чтоб от сети 10.10.10.0/24 нмап не смог увидеть что творится в 172.16.1.0/24 сети?

Заранее благодрен!

• NMAP и изоляция трафика,omnomnin, 18:18 , 07-Мрт-17
  • NMAP и изоляция трафика,Mirage_sk, 16:00 , 15-Мрт-17
• NMAP и изоляция трафика,ACCA, 04:39 , 10-Мрт-17

Ось на серверах какая?

если линукс - то nmap и не видит на самом деле, ты наткнулся на увлекательное явления называемое "arp flux", гугл и поллитра в помощь

> Ось на серверах какая?
> если линукс - то nmap и не видит на самом деле, ты
> наткнулся на увлекательное явления называемое "arp flux", гугл и поллитра в
> помощь

Обошлось без поллитры :) спасибо за подсказку, быстро понял и перекрыл.

Вот описание и лечение:

https://openvz.org/Multiple_network_interfaces_and_ARP_flux

> как сделать, чтоб от сети 10.10.10.0/24 нмап не смог увидеть что творится
> в 172.16.1.0/24 сети?

nmap этого и не видит.

Когда SRV2 получает на eth1 ARP who has 172.16.1.3, ему есть, что ответить.

Таки да, ARP flux. Можно подрезать с помощью arptables.