«лишние» ARPы

наверно, у тебя с роутингом что-то не то, хост не должен вообще слать arp-запросы для ip-адресов за роутингом

роутинг стандартный, дефолт прописан в /etc/sysconfig/network

мало ли что прописано; смотри что по факту

# ip r

# tcpdump -nne arp

А сколько из них FAILED ?

net.ipv4.conf.eth0.arp_filter измени, глядишь всякий хлам перестанет попадать

А у тебя случаем нет строки в таблице машрутизации типа «default dev eth0»

Каких внешних адресов? Если из вашего же inetnum AS провайдера, то это еще можно объяснить его криворукостью, а если всех подряд, то это с большей вероятностью серьезная заявка на ARP spoofing. Надо звонить в техподдержку.

Спасибо! Не совсем так было, но по запарке в качестве шлюза написал ip выданый на eth0. Странно что интернет при этом работал...

Должно быть вы и не слышали о шлюзе вне подсети интерфейса =)

Да подробностей не слышал, недавно обнаружил что cisco умеет в качестве шлюза использовать ip вне подсети. Видимо нужно идти учить матчасть. У вас случаем не будет ссылочки?

Должно быть вы и не слышали о шлюзе вне подсети интерфейса =)

если речь не о p-t-p интерфейсе и соответственно 'gw via dev' или не о шлюзе в виде одиночного ip-адреса за пределами локально подключенных подсетей всех интерфейсов хоста, но до которого ранее явно уже прописан роутинг, т.е. такая цепочка так или иначе должна опираться на какой-то адрес в локальных подсетях, а оба этих варианта исключены описанием ТС, то да, другого не слышал; можно ссылку?

Вообще это я ответил на утверждение анонима. Ссылок-то полно, google: «default gateway in different subnet», но там в основном все с точки зрения клиента.

Провайдер же использует эту технику для экономии IPv4 адресов. Представьте, что вы крупный ISP и у вас есть 100500 пулов IP. В каждом пуле каждому клиенту вы даете /30 подсеть и теряете на каждом 3 IP. Это расточительно, и вы решаете использовать ip-unnumbered, чтобы изолировать клиентов на L2, но оставить им доступ к единственному шлюзу в пуле. Но и тут (так как пулов, повторяю, 100500) вы теряете 100500 IP на адреса шлюзов. Тогда вы решаете сделать один gateway для всех пулов, и по понятным причинам он не может попадать во все их подсети одновременно. Тогда вы берете proxy arp и вешаете с его помощью левый IP адрес gateway на все-все-все VLAN клиентов. Ваш роутер будет отзываться на ARP request этого gateway своим MAC'ом и маршрутизировать трафик.

На стороне же клиента нужно настроить всего 2 машрута. Во-первых, default через IP глобального gateway, пусть он и не входит в подсеть интерфейса смотрящего в сторону провайдера. Во-вторых, маршрут через этот интерфейс к IP глобального gateway:

[root@fc6-pmx ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.23.254  0.0.0.0         255.255.255.255 UH    0      0        0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.23.254  0.0.0.0         UG    0      0        0 eth0

Пример из FreeBSD, но сути не меняет. Сеть интерфейса 10.0.0.0/24, а шлюз по умолчанию - 192.168.23.254. Но система знает, что шлюз в одном сегменте с eth0 и шлет все на МАС 192.168.23.254, где отвечает конечно proxy arp.

Шлюз по умолчанию должен быть доступен по L2, одинаковая с интерфейсом подсеть - это городские легенды =)

Знаете как оффтопик от Vista и далее определяет, что она оказалась в другой сети и просит юзера указать домашняя это сеть, предприятия, или публичная? По изменению MAC адреса default gateway. Не важно, что вся сеть прописана статикой и настройки не менялись. Новый MAC - стало быть новая сеть.

вне подсети интерфейса

192.168.23.254  0.0.0.0         255.255.255.255 UH    0      0        0 eth0

/0

/32

/32

оценил :)

UH = usable host, можно на цифры не смотреь =)

да какая разница? подсеть (хоть и маленькая, из одного адреса) «висит» на интерфейсе