LINUX.ORG.RU
ФорумAdmin

Почему linux bridge не пересылает arp ответы от узлов?

 , ,


0

4

Есть debian, на нем сделан мост из 50-ти vlan, он и выполнят роль маршрутизатора, через vlan гоняется трафик виртуалок, виртуалки нормально пингуют интернет и маршрутизатор, но не могут пинговать другие виртуалки, при это iptables этот трафик не блокирует, если посмотреть tcpdump, то мы видем arp реквесты от одной виртуалки другой, и arp ответы виртуалки, вот только их не получает конечная виртуалка. Все виртуалки в одном L3 домене.

root@router:~# tcpdump -p arp -i br-servers
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on br-servers, link-type EN10MB (Ethernet), snapshot length 262144 bytes
07:35:37.455502 ARP, Request who-has 10.11.0.5 tell 10.11.0.1, length 28
07:35:38.203211 ARP, Request who-has 10.11.0.5 tell 10.11.0.2, length 42
07:35:38.479254 ARP, Request who-has 10.11.0.5 tell 10.11.0.1, length 28
07:35:38.479755 ARP, Reply 10.11.0.5 is-at 22:b6:43:f4:f3:81 (oui Unknown), length 42

Centos не получает DHCP
Проблема с динамическим назначением адреса DNS-сервера OpenVPN клиенту

надо смотреть в сторону proxy arp и arp spoofing, на сколько я помню

keir ★★
() 
bridge link set dev DEV [ cost COST ] [ priority PRIO ] [ state STATE ] [ guard { on | off } ] [ hairpin { on | off } ] [ fastleave { on | off } ] [ root_block { on | off } ] [ learning { on | off }
               ] [ learning_sync { on | off } ] [ flood { on | off } ] [ hwmode { vepa | veb } ] [ bcast_flood { on | off } ] [ mcast_flood { on | off } ] [ mcast_max_groups MAX_GROUPS ] [ mcast_router
               MULTICAST_ROUTER ] [ mcast_to_unicast { on | off } ] [ neigh_suppress { on | off } ] [ neigh_vlan_suppress { on | off } ] [ vlan_tunnel { on | off } ] [ isolated { on | off } ] [ locked { on
               | off } ] [ mab { on | off } ] [ backup_port DEVICE ] [ nobackup_port ] [ self ] [ master ]


из man 8 bridge.
возможно тут стоит поэкспериментировать?

etwrq ★★★★★
()
Ответ на: комментарий от vel

Если вы про etables, то его даже нет, если про arptables, то он чист, и весь трафик разрешен, если не про это, как тогда проверить, включен ли он?

Bermut
() автор топика
Ответ на: комментарий от YAR

Файлы bridge-nf-call-arptables bridge-nf-call-ip6tables bridge-nf-call-iptables bridge-nf-filter-pppoe-tagged bridge-nf-filter-vlan-tagged bridge-nf-pass-vlan-input-dev, везде параметр 0

Bermut
() автор топика
Ответ на: комментарий от Bermut

тебе лень ртфм сделать и отписаться? что ты такое?

sudo bridge link set dev $YOUR_BRIDGE_INTERFACE neigh_vlan_suppress off

etwrq ★★★★★
()
Ответ на: комментарий от Bermut

man bridge /isolated

Еще есть всякие vlan_filtering у бриджа

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)

Если у тебя академический интерес, то желаю успеха

Но если тебе просто нужны vlan’ы, почему бы не попробовать openvswitch? Он ещё и быстрее будет

router ★★★★★
()
Ответ на: комментарий от router

Гм, есть подозрение, что это борьба с «reorder_hdr off» при создании vlan-интерфейса.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

Он работает с потоками (flow), а не с отдельными пакетами

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
Тема будет перемещена в архив .
Centos не получает DHCP
Admin
Проблема с динамическим назначением адреса DNS-сервера OpenVPN клиенту