URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94237
[ Назад ]

Исходное сообщение
"CentOS Трафик валится на другой интерфейс"
Отправлено Sakojpa , 11-Янв-13 18:00

Добрый день, коллеги.
Столкнулся с очень неприятной и странной для себя ситуации. Встречаюсь первый раз, так что  может она и плевая ;)
Итак:
На виртуальной машине я создаю 7 сетевых карт. Все работает нормально, кроме eth4,5,6.
Все эти сетевые интерфейсы смотрят в одну и туже сетку с белым IP. Конфиг сетевух верен на 100%, никаких бриджей и прочего.
Условимся,  что eth4 имеет последний октет 194, 5 - 195, 6 - 196.
Так вот в чем проблема:
Трафик на сетевом интерфейсе сайта eth 4 содержит пакеты также и для другого сетевого интерфейса eth5.

eth4      Link encap:Ethernet  HWaddr 00:50:56:A7:39:90
          inet addr: xx.xx.xx.194  Bcast: xx.xx.xx.199  Mask:255.255.255.248
          inet6 addr: xxxx:xxxx:xxxx::::::xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:20398982 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11499246 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2340788272 (2.1 GiB)  TX bytes:3755495210 (3.4 GiB)
          Interrupt:17 Base address:0x2424
tcpdump -i eth4  port 443 | grep 195
18:18:04.154711 IP .195.https > .143.56766: Flags [S.], seq 2109355464, ack 1786645357, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0
18:18:04.185691 IP .143.56766 > .195.https: Flags [.], ack 1, win 16685, length 0
18:18:04.187007 IP .143.56766 > .195.https: Flags [P.], seq 1:394, ack 1, win 16685, length 393
18:18:04.187039 IP .195.https > .143.56766: Flags [.], ack 394, win 245, length 0
18:18:04.187581 IP .195.https > .143.56766: Flags [P.], seq 1:146, ack 394, win 245, length 145
18:18:04.218262 IP .143.56766 > .195.https: Flags [P.], seq 394:453, ack 146, win 16648, length 59
18:18:04.221946 IP .143.56766 > .195.https: Flags [P.], seq 453:1455, ack 146, win 16648, length 1002
18:18:04.221961 IP .195.https > .143.56766: Flags [.], ack 1455, win 277, length 0
При этом
eth5      Link encap:Ethernet  HWaddr 00:50:56:B8:41:6E
          inet addr: xx.xx.xx.195  Bcast: xx.xx.xx.199  Mask:255.255.255.248
          inet6 addr: xxxx:xxxx:xxxx:::::xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:58045 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3482700 (3.3 MiB)  TX bytes:636 (636.0 b)
          Interrupt:17 Base address:0x28a4

tcpdump -i eth5  port 443 | grep 195
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth5, link-type EN10MB (Ethernet), capture size 65535 bytes
^C0 packets captured
0 packets received by filter
0 packets dropped by kernel
Отсюда вопрос. Что делать и кто виноват? Сетевики утверждают, что с их стороны все настроено корректно,  однако я вижу такую ситуацию. Куда копать? Проблемы с сервером или как?

Содержание

CentOS Трафик валится на другой интерфейс,PavelR, 18:14 , 11-Янв-13
- CentOS Трафик валится на другой интерфейс,Sakojpa, 18:20 , 11-Янв-13
  - CentOS Трафик валится на другой интерфейс,PavelR, 08:10 , 12-Янв-13
- CentOS Трафик валится на другой интерфейс,Sakojpa, 18:36 , 11-Янв-13
  - CentOS Трафик валится на другой интерфейс,farmut, 21:56 , 11-Янв-13
  - CentOS Трафик валится на другой интерфейс,PavelR, 08:03 , 12-Янв-13
- CentOS Трафик валится на другой интерфейс,Andrey Mitrofanov, 23:57 , 11-Янв-13

Сообщения в этом обсуждении

"CentOS Трафик валится на другой интерфейс"
Отправлено PavelR , 11-Янв-13 18:14

> Отсюда вопрос. Что делать и кто виноват? Сетевики утверждают, что с их
> стороны все настроено корректно,  однако я вижу такую ситуацию. Куда
> копать? Проблемы с сервером или как?
Конечно проблемы с сервером. Вам паленую сетевуху подсунули. //сарказм.

1) Вы хотите чего-то непонятного (что не описали в данном топике как вашу реальную решаемую проблему)
2) Странно конфигурируете интерфейсы
3) Решаете не вашу проблему, а боретесь с результатом её изначально неправильного решения.
4) Получаете такой результат.
Можно конечно разобраться,почему так происходит, но смысла в этом я не вижу.
Если захотите разбираться, то ключевыми словами для вас будут:
tcpdump -ei eth4 arp
tcpdump -ei eth5 arp   (одновременно в нескольких терминалах)
Возможно, информативнее будет что-то вроде tcpdump -ei eth4 arp or port 443
tcpdump -ei eth4  ..... (ключевой момент - ключ -e)
Если не захотите разбираться, то попробуйте уж описать, чего хотите добиться на самом деле. Я вот не понимаю, зачем в здравом уме делать на сервере три интерфейса в одну и ту же сеть (да хоть два интерфейса, хоть больше).

"CentOS Трафик валится на другой интерфейс"
Отправлено Sakojpa , 11-Янв-13 18:20

> Если не захотите разбираться, то попробуйте уж описать, чего хотите добиться на
> самом деле. Я вот не понимаю, зачем в здравом уме делать
> на сервере три интерфейса в одну и ту же сеть (да
> хоть два интерфейса, хоть больше).
Конфигурацию сервера делал не я, а заказчик, а расхлебывать, конечно, мне :) Три интерфейса в данном случае обслуживают 3 различных веб-сайта.
Хочу я только одного - понять почему интерфейс с ДРУГИМ ИП принимает пакеты для ДРУГОГО ИП.

"CentOS Трафик валится на другой интерфейс"
Отправлено PavelR , 12-Янв-13 08:10

>> Если не захотите разбираться, то попробуйте уж описать, чего хотите добиться на
>> самом деле. Я вот не понимаю, зачем в здравом уме делать
>> на сервере три интерфейса в одну и ту же сеть (да
>> хоть два интерфейса, хоть больше).
> Конфигурацию сервера делал не я, а заказчик, а расхлебывать, конечно, мне :)
> Три интерфейса в данном случае обслуживают 3 различных веб-сайта.
> Хочу я только одного - понять почему интерфейс с ДРУГИМ ИП принимает
> пакеты для ДРУГОГО ИП.
нет никаких препятствий тому, чтобы интерфейс "с ДРУГИМ ИМ" принимал пакеты "для другого ИП".
Если вы хотите ответа именно на этот вопрос - то ответ прост: хост должен так себя вести и он так себя и ведет. Без разницы (при открытом файрволле), через какой интерфейс прилетел пакет, если пакет имеет адрес назначения принадлежащий хосту - он будет им принят, иначе может быть замаршрутизирован, если включен форвардинг пакетов.
Например это именно так и происходит в маршрутизаторах, в хостах с подключением в несколько сетей - у них куча айпишников на разных интерфейсах.

Опять же, на самом деле вы хотите не этого, просто неспособны внятно выразить желаемое вами. На самом деле вы хотите понять, почему на интерфейс с одним IP прилетают пакеты с другим IP, что для вас оказалось неожиданностью. Уже написал ниже: смотрите tcpdump, вкуривайте в таблицы маршрутизации и протокол arp.

"CentOS Трафик валится на другой интерфейс"
Отправлено Sakojpa , 11-Янв-13 18:36

> 1) Вы хотите чего-то непонятного (что не описали в данном топике как
> вашу реальную решаемую проблему)
> 2) Странно конфигурируете интерфейсы
> 3) Решаете не вашу проблему, а боретесь с результатом её изначально неправильного
> решения.
> 4) Получаете такой результат.
Так же прошу указать ответы на 2 и 3 пункт

"CentOS Трафик валится на другой интерфейс"
Отправлено farmut , 11-Янв-13 21:56

В вашем посте ничего не сказано про firewall. Если вы говорите что это веб сервер с сайтами, то он по любому должен быть прикрыт firewall(iptables). Возможно в правилах iptables будут ответы на вопросы по перенаправлению трафика с интерфейсов.

"CentOS Трафик валится на другой интерфейс"
Отправлено PavelR , 12-Янв-13 08:03

>> 1) Вы хотите чего-то непонятного (что не описали в данном топике как
>> вашу реальную решаемую проблему)
>> 2) Странно конфигурируете интерфейсы
>> 3) Решаете не вашу проблему, а боретесь с результатом её изначально неправильного
>> решения.
>> 4) Получаете такой результат.
> Так же прошу указать ответы на 2 и 3 пункт
пункт 2:
- допустим, понадобится еще десять сайтов разместить. Будете подымать еще десять интерфейсов ?
- не пробовали ли вы начать задуматься, как, к примеру, это происходит на физических серверах?
Хорошим вопросом будет "неужели они там тоже сетевые пачками вставляют", "а как же быть если на сервере тысяча сайтов"?
пункт 3: я так понял, что вы согласились с утверждением.

кроме того, дополнительный вопрос:
оно работает? "Работает-не трожь".

Хотите понять, почему оно работает так - я уже написал, что вам нужно потцпдампить чтобы увидеть, почему оно так.

"CentOS Трафик валится на другой интерфейс"
Отправлено Andrey Mitrofanov , 11-Янв-13 23:57

> Конечно проблемы с сервером. Вам паленую сетевуху подсунули. //сарказм.
Вы-таки зря хихикаете! Народу же нужно Чудо. Они _все (регулярно, раз в две недели - в этом форуме) хотят двух, трёх, четырёх различных физических интерфейсов включённых и настроенных на ip в одном физ. и ip сегментах. И да, они настроили интерфейсы Правильно(тм)! Оно обязано Сделать Им Хорошоу(р)!
Надо же пояснить юношам со Взором, что это заговор массонов, торвальдсов и прочих керниганов с бернсами-ли, что всё, решительно всё против них!, и "это" работать не будет.
> 1) Вы хотите чего-то непонятного
> 2) Странно конфигурируете интерфейсы
> 3) Решаете не вашу проблему,
> 4) Получаете такой результат.
> Можно конечно разобраться,почему так происходит, но смысла в этом я не вижу.
> Если захотите разбираться, то ключевыми словами для вас будут:
> tcpdump -ei eth4 arp
> tcpdump -ei eth5 arp (одновременно в нескольких терминалах)
Гм?! О! Arp? А я думал, роутинг. Не-е-ет! Ну, их эти эксперименты.
> Возможно, информативнее будет что-то вроде tcpdump -ei eth4 arp or port 443
> tcpdump -ei eth4 ..... (ключевой момент - ключ -e)
> Если не захотите разбираться, то попробуйте уж описать, чего хотите добиться на
Гы, чего хочет добиться каждый из них всех (не тех, которые "в этом форуме", а вокруг конкретного сервера). И пусть это расскажут друг другу? Шекспир.