URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 16689
[ Назад ]

Исходное сообщение
"Hi All. Ребята, помогите с ARP Proxy, плиззз."
Отправлено Sobol , 26-Апр-02 17:33

Такое дело: Есть сетка (для простоты 200.200.200.0/24) Будем считать, что просто 200.x
Есть такой расклад:
200.1 Server (RH 7.0)
200.2 Host
200.6 - 200.x - разные компы.
Задача в следующем: Нужно прозрачно изолировать 200.2 от всей сети.
Предприняты такие шаги:
В сервак вставлена вторая сетевуха, ей дан IP 200.7, для первой меняем маску на /30 т.е. теперь есть:
eth0 - 200.1/30
eth1 - 200.7/24
В результате получаем отдельную подсеть в 4 IP адреса:
200.0 Net
200.1 Server
200.2 Host
200.3 BCast
Роутинг из обоих подсетей настроен правильно (ну во всяком случае из 200.5-200.x пингуется 200.1 без проблем.
Остаётся одно - заставить eth1 публиковать свой MAC на запрос о 200.2
Даю команду:
arp -i eth1 -Ds Host eth1 netmask 200.200.200.252 pub
Вообще ошибку выдаёт. (чё-то типа Invalid Parameter)
Делаю по другому:
arp -HW ether -i eth1 -s Host 00:50:... netmask 200.200.200.252 pub
Результат - запись в ARP таблице:
200.200.200.2 * * MP 255.255.255.252 eth1
То есть отсутствует флаг C (Complete), результат - MAC не публикуется.
Ну уже как только не пробовал - результату - ноль!
Если не указывать pub то MAC добавляется, но толку то от него? Во первых не на том интерфейсе, во вторых он не публикуется (а тогда, спрашивается, кому он нужен?!)
Может есть возможность как-то по другому в /proc/net/arp всё это записать, или в чём тогда дело?
Помогите, если сможете. Уж больно не охота совсем в другую подсеть ком переносить...

Содержание

RE: Hi All. Ребята, помогите с ARP Proxy, плиззз.,sphinX, 12:48 , 27-Апр-02
- RE: Hi All. Ребята, помогите с ARP Proxy, плиззз.,Sobol, 13:10 , 04-Май-02
  - RE: Hi All. Ребята, помогите с ARP Proxy, плиззз.,Mikka, 10:59 , 07-Май-02

Сообщения в этом обсуждении

"RE: Hi All. Ребята, помогите с ARP Proxy, плиззз."
Отправлено sphinX , 27-Апр-02 12:48

ipfw add allow tcp from 0.0.0.0/0 $ETH_NUM to any
ipfw add allow tcp from any to 0.0.0.0/0 $ETH_NUM
Где $ETH_NUM берем из:
http://teor.ysn.ru/CIE/RFC/1700/26.htm
>Такое дело: Есть сетка (для простоты
>200.200.200.0/24) Будем считать, что просто
>200.x
>Есть такой расклад:
>200.1 Server (RH 7.0)
>200.2 Host
>200.6 - 200.x - разные компы.
>
>Задача в следующем: Нужно прозрачно изолировать
>200.2 от всей сети.
>Предприняты такие шаги:
>В сервак вставлена вторая сетевуха, ей
>дан IP 200.7, для первой

"RE: Hi All. Ребята, помогите с ARP Proxy, плиззз."
Отправлено Sobol , 04-Май-02 13:10

>ipfw add allow tcp from 0.0.0.0/0
>$ETH_NUM to any
>ipfw add allow tcp from any
>to 0.0.0.0/0 $ETH_NUM
>
>Где $ETH_NUM берем из:
>
>http://teor.ysn.ru/CIE/RFC/1700/26.htm
Так енто он просто будет брать и форвардить все пакеты сквозь сервак. А мне бы так, чтобы все соединения 200.2 непосредственно с 200.1 открывал.
Нужно чтобы 200.2 не получал ни BroadCast'ов, ни ARP Request(кроме как от 200.1). И вообще чтобы ни чего лишнего. Только связь с 200.1 и непосредственно через него. Я потому и решился этот ARP проксирование испробовать, что уж больно хорошо получается, как раз, что мне надо. А ента штука не работает ни как. Может есть какие-то мысли, а? Или тот HOWTO - из области фантазий?

"RE: Hi All. Ребята, помогите с ARP Proxy, плиззз."
Отправлено Mikka , 07-Май-02 10:59

Чего то не совсем понятно...
Может попробуешь покопать в сторону Bridge? Прозрачно будет сидеть что надо или это не подходит? Для free можно тут посмотреть:
http://www.securityportal.ru/network/FilterBridge.html