OpenForum RSS: Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... https://www.opennet.me/openforum/vsluhforumID1/86766.html Коллеги, <br>Никогда не обращал внимание на сабж, а тут подходят по работе и просят запретить пинг на девайсе, где нельзя включать iptables. Помогите разобраться для начала почему при выключенном ip_forward идут пакеты на интерфейс из другой сети,а затем как эту хрень отключить без iptables. Теперь подробнее:<br><br>1) 2 сети: ххх.ххх.33.0/24 и ххх.ххх.100.0/24<br>2) GW стоит между ними как та избушка из сказки, одним концом к одному, другим к другому, соотв. адреса на портах сетевухи завершаются еденицами. <br>3) FC-10 , на ней нельзя включать iptables<br>4) /proc/sys/net/ipv4/ip_forward, /proc/sys/net/ipv4/conf/all/forwarding, /proc/sys/net/ipv4/conf/default/forwarding и по всем интерфесам все в нулях. <br><br>route<br><br>Destination Gateway Genmask Flags Metric Ref Use Iface<br>ххх.ххх.33.0 * 255.255.255.0 U 0 0 0 eth0<br>ххх.ххх.100.0 * 255.255.255.0 U 0 0 0 eth3<br>link-local * 255.255.0.0 U 1003 0 0 Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (reader) https://www.opennet.me/openforum/vsluhforumID1/86766.html#13 Fri, 02 Oct 2009 18:54:34 GMT &gt;&gt;&gt;Поспешил, второй интерфейс он будет видеть :) <br>&gt;&gt;<br>&gt;&gt;когда то я тоже это проверил, только не специально :) <br>&gt;<br>&gt;Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом <br>&gt;на eth1 и lo тихо. Как вообще тогда идет пакет? <br><br>если пинг пришел через eth0, то на них ничего и не должно быть.<br><br>примерно как описано в 8.9<br>http://wm-help.net/books-online/book/25686/25686-11.html<br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (ALex_hha) https://www.opennet.me/openforum/vsluhforumID1/86766.html#12 Fri, 02 Oct 2009 10:16:30 GMT &gt;&gt;Поспешил, второй интерфейс он будет видеть :) <br>&gt;<br>&gt;когда то я тоже это проверил, только не специально :) <br><br>Кстати, специльно смотрел с помощью tcpdump. Ответы то шли, но при этом на eth1 и lo тихо. Как вообще тогда идет пакет?<br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (madisson) https://www.opennet.me/openforum/vsluhforumID1/86766.html#11 Fri, 02 Oct 2009 03:07:07 GMT &gt;&gt;Поспешил, второй интерфейс он будет видеть :) <br>&gt;<br>&gt;когда то я тоже это проверил, только не специально :) <br><br>а я все как то традиционно... все с пробросом наружу всегда боролся, а вот проверить доступ на 2-й интерфес шлюза так и не докумекал. Не, а нах козе боян..., а тут вона как.. понадобился :-D<br><br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (madisson) https://www.opennet.me/openforum/vsluhforumID1/86766.html#10 Fri, 02 Oct 2009 03:04:13 GMT &gt;&gt;пакеты идущие к любому интерфейсу GW из любой подсети, в том числе <br>&gt;&gt;и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными <br>&gt;&gt;и соответственно отключение forward вам не поможет <br>&gt;<br>&gt;Это с какого перепуга?! Не будет он ничего "пинговать" <br><br>бггггг<br>ну радует шо не я один такой :-D <br>тож одминчег с 10 летним стажем до начхальника дослужился, а о такой хрени не задумывался.. вот так - век живи, век учись! <br><br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (reader) https://www.opennet.me/openforum/vsluhforumID1/86766.html#9 Thu, 01 Oct 2009 17:49:32 GMT &gt;Поспешил, второй интерфейс он будет видеть :) <br><br>когда то я тоже это проверил, только не специально :)<br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (ALex_hha) https://www.opennet.me/openforum/vsluhforumID1/86766.html#8 Thu, 01 Oct 2009 17:11:57 GMT Поспешил, второй интерфейс он будет видеть :)<br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (ALex_hha) https://www.opennet.me/openforum/vsluhforumID1/86766.html#7 Thu, 01 Oct 2009 16:40:08 GMT &gt;пакеты идущие к любому интерфейсу GW из любой подсети, в том числе <br>&gt;и пинги из ххх.ххх.100.0/24 к ххх.ххх.33.1, будут входящими, а не транзитными <br>&gt;и соответственно отключение forward вам не поможет <br><br>Это с какого перепуга?! Не будет он ничего "пинговать"<br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (madisson) https://www.opennet.me/openforum/vsluhforumID1/86766.html#6 Thu, 01 Oct 2009 10:25:14 GMT <br>&gt;&gt;ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще. <br>&gt;&gt;<br>&gt;<br>&gt;на основе mac адреса , а как с теми кто придет из-за <br>&gt;шлюза. на будущее :) <br><br>я полагаю, достаточно будет запретить дестинейшн на противоположный порт (их всего то 2) , а проброс наружу и так запрещен. <br><br>ebtables -I FORWARD -i eth0 -d $MAC_ETH3 -j DROP<br>ebtables -I FORWARD -i eth3 -d $MAC_ETH0 -j DROP<br><br>Должно решится, вроде.<br> Почему пингуется 2-й и-фейс на дф шлюзе с клиента другой сет... (reader) https://www.opennet.me/openforum/vsluhforumID1/86766.html#5 Thu, 01 Oct 2009 10:11:47 GMT &gt;<br>&gt;&gt;без изменения логики работы ядра возможно ничего. <br>&gt;&gt;в ADSL модемах, в шлюзах, .... iptables встраивают. <br>&gt;<br>&gt;а тут низзя... :-) ладно, будем ставить вопрос на голо-сование. Спасибо. <br>&gt;<br>&gt;ps: еще порою в сторону ebtables , впрочем, хрен редьки не слаще. <br>&gt;<br><br>на основе mac адреса , а как с теми кто придет из-за шлюза. на будущее :)<br>