यदि IP पता किसी अन्य (अक्षम) इंटरफ़ेस से जुड़ा है, तो लिनक्स ARP अनुरोध संदेशों का जवाब नहीं देता है


9

मेरे पास एक पीसी (कर्नेल 3.2.0-23-जेनेरिक ) है जो इंटरफ़ेस के 192.168.1.2/24लिए कॉन्फ़िगर किया गया eth0है और इंटरफ़ेस के लिए उपयोग 192.168.1.1और 192.168.1.2पते भी tun0:

root@T42:~# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:16:41:54:01:93 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 scope global eth0
    inet6 fe80::216:41ff:fe54:193/64 scope link
       valid_lft forever preferred_lft forever
3: bond0: <BROADCAST,MULTICAST,MASTER> mtu 1500 qdisc noop state DOWN
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
4: irda0: <NOARP> mtu 2048 qdisc noop state DOWN qlen 8
    link/irda 00:00:00:00 brd ff:ff:ff:ff
5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:13:ce:8b:99:3e brd ff:ff:ff:ff:ff:ff
    inet 10.30.51.53/24 brd 10.30.51.255 scope global eth1
    inet6 fe80::213:ceff:fe8b:993e/64 scope link
       valid_lft forever preferred_lft forever
6: tun0: <POINTOPOINT,MULTICAST,NOARP> mtu 1500 qdisc pfifo_fast state DOWN qlen 100
    link/none
    inet 192.168.1.1 peer 192.168.1.2/32 scope global tun0
root@T42:~# ip route show dev eth0
192.168.1.0/24  proto kernel  scope link  src 192.168.1.2 
root@T42:~# 

जैसा कि ऊपर देखा गया है, tun0प्रशासनिक रूप से अक्षम है ( ip link set dev tun0 down)। अब जब मुझे ARP अनुरोध प्राप्त होते हैं 192.168.1.2, तो PC उन अनुरोधों का जवाब नहीं देता:

root@T42:~# tcpdump -nei eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:30:34.875427 00:1a:e2:ae:cb:b7 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.1.2 tell 192.168.1.1, length 46
15:30:36.875268 00:1a:e2:ae:cb:b7 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.1.2 tell 192.168.1.1, length 46
15:30:39.138651 00:1a:e2:ae:cb:b7 > 00:1a:e2:ae:cb:b7, ethertype Loopback (0x9000), length 60:
^C
3 packets captured
3 packets received by filter
0 packets dropped by kernel
root@T42:~#

tun0इंटरफ़ेस हटाने के बाद ही ( ip link del dev tun0) पीसी इंटरफ़ेस 192.168.1.2पर एआरपी अनुरोध का जवाब देगा eth0

रूटिंग टेबल पहले और बाद में एक जैसी दिखती है ip link del dev tun0:

root@T42:~# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.30.51.254    0.0.0.0         UG        0 0          0 eth1
10.30.51.0      0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.1.0     192.168.1.2     255.255.255.0   UG        0 0          0 eth0
root@T42:~# ip link del dev tun0
root@T42:~# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.30.51.254    0.0.0.0         UG        0 0          0 eth1
10.30.51.0      0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.1.0     192.168.1.2     255.255.255.0   UG        0 0          0 eth0
root@T42:~# 

नीचे रूटिंग प्रविष्टि पहले ही ip link set dev tun0 downकमांड के साथ हटा दी गई है :

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.1.2     0.0.0.0         255.255.255.255 UH        0 0          0 tun0

हालाँकि, राउटिंग टेबल ip link del dev tun0कमांड के पहले और बाद में बिलकुल एक जैसे होते हैं , वास्तविक रूटिंग निर्णय जो कर्नेल बनाएंगे वे नहीं हैं:

T42:~# ip route get 192.168.1.1
local 192.168.1.1 dev lo  src 192.168.1.1 
    cache <local> 
T42:~# ip link del dev tun0
T42:~# ip route get 192.168.1.1
192.168.1.1 dev eth0  src 192.168.1.2 
    cache  ipid 0x8390
T42:~# 

क्या यह एक अपेक्षित व्यवहार है? कर्नेल रूटिंग टेबल की उपेक्षा क्यों करता है?


क्या आप दोनों मामलों के लिए netstat -rn का आउटपुट पेस्ट कर सकते हैं? इन प्रकार की त्रुटियों को देखने के लिए रूटिंग टेबल आम तौर पर पहली जगह होती है।
क्लारस

@ कलारिस मैंने अपनी प्रारंभिक पोस्ट अपडेट की।
मार्टिन

दो इंटरफेस पर एक ही आईपी होने से समस्याएं पैदा हो सकती हैं और इससे बचा जा सकता है, कहा जा रहा है कि आपको समस्या का पता लगाने में सक्षम होना चाहिए। अगला कदम arp कैश को देखना है, क्या arp -a कुछ उपयोगी दिखाता है?
क्लारस

@ क्लैरिस मूल कारण की तरह दिखता है कि कर्नेल रूटिंग टेबल की उपेक्षा करता है जब tun0इंटरफ़ेस अक्षम होता है, लेकिन वर्तमान। ip route getमेरे अपडेट किए गए प्रारंभिक पोस्ट में कमांड का आउटपुट देखें । हालाँकि, कर्नेल ऐसा व्यवहार क्यों करता है?
मार्टिन

जवाबों:


17

आपकी रूटिंग टेबल को अनदेखा नहीं किया जा रहा है, बिल्कुल। इसे उच्च प्राथमिकता वाली रूटिंग टेबल द्वारा अधिलेखित किया जा रहा है।

क्या चल रहा है

जब आप टाइप करते हैं तो ip route showराउटिंग टेबल केवल राउटिंग टेबल नहीं होती है जो कर्नेल उपयोग करता है। वास्तव में, डिफ़ॉल्ट रूप से तीन रूटिंग टेबल हैं, और ip ruleकमांड द्वारा दिखाए गए क्रम में उन्हें खोजा जाता है :

# ip rule show
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

जिस तालिका से आप सबसे अधिक परिचित हैं main, वह सर्वोच्च प्राथमिकता वाली रूटिंग टेबल है local। इस तालिका को स्थानीय और प्रसारण मार्गों का ट्रैक रखने के लिए कर्नेल द्वारा प्रबंधित किया जाता है: दूसरे शब्दों में, localतालिका कर्नेल को अपने स्वयं के इंटरफेस के पते पर कैसे रूट करती है, बताती है। यह कुछ इस तरह दिखता है:

# ip route show table local
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.1.0 dev eth0  proto kernel  scope link  src 192.168.1.2
local 192.168.1.1 dev tun0  proto kernel  scope host  src 192.168.1.1
local 192.168.1.2 dev eth0  proto kernel  scope host  src 192.168.1.2
broadcast 192.168.1.255 dev eth0  proto kernel  scope link  src 192.168.1.2

उस पंक्ति को देखें tun0। यही आपके अजीब परिणामों का कारण बन रहा है route get। यह कहता है कि 192.168.1.1 एक स्थानीय पता है, जिसका अर्थ है कि अगर हम 192.168.1.1 को ARP उत्तर भेजना चाहते हैं, तो यह आसान है; हम इसे अपने आप को भेजते हैं। और जब से हमें localतालिका में एक मार्ग मिला है , हम एक मार्ग खोजना बंद कर देते हैं, और तालिका mainया defaultतालिका की जाँच करने से परेशान नहीं होते हैं।

क्यों कई तालिकाओं?

कम से कम, यह टाइप करने में सक्षम होना अच्छा है ip routeऔर उन सभी "स्पष्ट" मार्गों को प्रदर्शन को अव्यवस्थित करते हुए नहीं देखना चाहिए ( route printविंडोज पर टाइपिंग का प्रयास करें )। यह गलत धारणा के खिलाफ कुछ न्यूनतम सुरक्षा के रूप में भी काम कर सकता है: भले ही मुख्य मार्ग तालिका को मिलाया गया हो, फिर भी कर्नेल को खुद से बात करना पता है।

(स्थानीय मार्गों को पहले स्थान पर क्यों रखा जाता है? इसलिए कर्नेल स्थानीय पतों के लिए समान लुकअप कोड का उपयोग कर सकता है जैसा कि वह सब कुछ करता है। यह आंतरिक रूप से चीजों को सरल बनाता है।)

ऐसी कई दिलचस्प बातें हैं जो आप इस बहु-तालिका योजना के साथ कर सकते हैं। विशेष रूप से, आप अपनी खुद की तालिकाओं को जोड़ सकते हैं, और जब वे खोजे जाते हैं तो नियम निर्दिष्ट कर सकते हैं। इसे "नीति रूटिंग" कहा जाता है, और यदि आप कभी भी अपने स्रोत पते के आधार पर एक पैकेट को रूट करना चाहते हैं , तो यह लिनक्स में कैसे करना है।

यदि आप विशेष रूप से मुश्किल या प्रयोगात्मक चीजें कर रहे हैं, तो आप कमांड में localनिर्दिष्ट करके अपने आप को मार्गों को जोड़ या हटा सकते हैं । जब तक आप नहीं जानते कि आप क्या कर रहे हैं, हालांकि, आप कर्नेल को भ्रमित करने की संभावना रखते हैं। और निश्चित रूप से, कर्नेल अभी भी अपने स्वयं के मार्गों को जोड़ना और निकालना जारी रखेगा, इसलिए आपको यह सुनिश्चित करने के लिए देखना होगा कि आपका ओवरराइट नहीं किया गया है।table localip route

अंत में, यदि आप एक ही बार में सभी रूटिंग टेबल देखना चाहते हैं:

# ip route show table all

अधिक जानकारी के लिए, ip-rule(8)मैन पेज या iproute2 डॉक्स देखें । आप उन्नत रूटिंग और ट्रैफ़िक कंट्रोल HOWTO के कुछ उदाहरणों के लिए भी प्रयास कर सकते हैं जो आप कर सकते हैं।


धन्यवाद! बाद शासन वास्तव में अभी भी में उपस्थित थे मार्ग की मेज। एक बार मैंने निष्पादित नियम को हटा दिया था। फिर भी, एक प्रश्न- क्या मैं सही हूं कि सभी आधुनिक लिनक्स कर्नेल (2.6.x, 3.x, 4.x) रूट लुकअप और इस प्रकार कई तालिकाओं के लिए RPDB का उपयोग करते हैं? ip link set dev tun0 downlocal 192.168.1.1 dev tun0 proto kernel scope host src 192.168.1.1localip link del dev tun0
मार्टिन

2
हां, आप सही और अधिक हैं। RPDB आश्चर्यजनक रूप से पुराना है! "RPDB खुद लिनक्स कर्नेल 2.2 में नेटवर्किंग स्टैक के पुनर्लेखन का एक अभिन्न अंग था।" और से ip(8): " ipएलेक्सी एन। कुज़नेत्सॉफ़ द्वारा लिखा गया था और लिनक्स 2.2 में जोड़ा गया था।"
जैंडर

यह मैंने देखा है कई कर्नेल राउटिंग टेबल के सबसे अच्छे स्पष्टीकरणों में से एक है। धन्यवाद!
djluko

1

आपका रिवर्स पाथ फ़िल्टरिंग कॉन्फिगरेशन शायद समस्या है। RFC3704 - अनुभाग 2.4

एंटरप्राइज लिनक्स वितरण में (RHEL, CentOS, वैज्ञानिक लिनक्स, एट अल) इस को हल करने की संभावना सबसे अच्छा तरीका संशोधित करने के लिए है /etc/sysctl.confके साथrp_filter = 2

जब आरएचईएल में कई आईपी कॉन्फ़िगर होते हैं, तो केवल एक रिमोट नेटवर्क से पहुंच योग्य होता है। या आरएचईएल पैकेट की अनदेखी क्यों करता है जब आने वाले यातायात के लिए मार्ग आने वाले यातायात के मार्ग से भिन्न होता है?


अगर मैं ढीले RPF चेक (2) का उपयोग करता हूं या यहां तक ​​कि RPF चेक (0) को भी पूरी तरह से निष्क्रिय कर देता हूं for rp_filter_file in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > "$rp_filter_file"; doneतो कर्नेल eth0192.168.1.1 को पैकेट को रूट करने के लिए इंटरफेस का उपयोग नहीं करता है । केवल एक बार जब मैं कर्नेल के tun0साथ इंटरफ़ेस हटाता हूं तो इंटरफ़ेस ip link del dev tun0का उपयोग करना शुरू कर देता eth0है।
मार्टिन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.