LINUX.ORG.RU
ФорумAdmin

arp левые ip

 ,


0

1

Есть такое дело.


                                    ж
        |-----|  |---------------|  |
--inet--| ADSL|--| wifi.localnet |---
       A|-----| B|---------------| C
          |D|
          | |
         дальше

A - инет от провайдера. За натом.
B - ADSL - 192.168.1.1 wifi.localnet - 192.168.1.2
C - wifi 192.168.2.0/24
D - 192.168.1.0/24

на wifi.localnet (который на RPi) через какое-то время arp -a показывает следующее:

root@wifi-router:/var/log# arp -a
hbars.localnet (192.168.1.55) at 00:e0:4d:72:d1:b5 [ether] on eth0                                       
? (192.168.1.100) at <incomplete> on eth0                                                                
? (192.168.2.104) at <incomplete> on wlan0                                                               
? (192.168.1.28) at <incomplete> on eth0                                                                 
? (192.168.1.52) at <incomplete> on eth0                                                                 
? (192.168.1.17) at <incomplete> on eth0                                                                 
? (192.168.1.13) at <incomplete> on eth0                                                                 
adsl-router.localnet (192.168.1.1) at d0:15:4a:0b:7a:88 [ether] on eth0                                  
? (192.168.1.102) at <incomplete> on eth0                                                                
? (192.168.1.10) at <incomplete> on eth0

В сети адресов которые <incomplete> естественно нет.
На нем поднят dnsmasq с dhcp
dnsmasq-dhcp[2230]: DHCP, IP range 192.168.2.100 — 192.168.2.200, lease time 12h
Так что он здесь не причем. Для hostapd адреса он раздает исправно и из другой сети.

Вероятно что это лезет из провайдерской сети. Как закрыть этот фонтан? Оно мне не мешает, но и не нравится.

ps: Может еще нужны какие подробности?

★★★★★

если в вафле есть виндовые машины то фонтанировать могут они, вообще лучше запустить tcpdump на вафле хосте и по слушать arp, а то может там какое молодое дарование спуфингом занялось

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от artb1sh

Есть. Но вроде как к этой причине отношения не имеют.


[142710.920861] IPv4: martian source 192.168.1.2 from 192.168.2.11, on dev eth0
[142710.920909] ll header: 00000000: b8 27 eb ea e6 7f d0 15 4a 0b 7a 88 08 00 45 00  .'......J.z...E.
[142710.920925] ll header: 00000010: 00 83 7f 4f 00 00 29 11 8d bd                    ...O..)...
[166912.156323] IPv4: martian source 192.168.1.2 from 192.168.2.20, on dev eth0
[166912.156368] ll header: 00000000: b8 27 eb ea e6 7f d0 15 4a 0b 7a 88 08 00 45 00  .'......J.z...E.
[166912.156384] ll header: 00000010: 00 86 6f 47 00 00 68 11 5e b9                    ..oG..h.^.

hbars ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Нет.
Это лезет даже когда она отключена.
Да и она файрволом полностью изолирована в 192.168.2.0/24

hbars ★★★★★
() автор топика

Торрент-клиента там случайно нет? У меня вот тоже в ARP таблице куча подобного левака скопилась за 1,5 месяца аптайма. На машине помимо кучи сервисов и виртуалок в т.ч. торрент-клиент работает. Возможно, эти адреса он берет с трекеров или из DHT и пытается к ним коннектиться. Естественно, в ARP таблице будут только адреса из сегментов локальной сети, т.к. все остальное уйдет на шлюз.

Deleted
()
Ответ на: комментарий от Deleted

transmission там есть. Может оно и так.

hbars ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin