Здравствуйте, коллеги!
Для меня сегодня явилось новостью то, что если в Linux включить forward, начинают forward-иться и те пакеты, которые не должны forward-иться, ИМХО.
То есть:
Пусть у нас есть сеть для простоты 192.168.0.0/24. IP-адрес шлюза 192.168.0.254, пусть этот IP присвоен интерфейсу eth0.
Добавим на какой-нибудь сторонней машине с IP из данной сети (к примеру, на машинке 192.168.0.99) роут:
route add 192.168.0.1 gw 192.168.0.254
И опа, данная тачка 192.168.0.1 пингуется с 192.168.0.99.
В "traceroute 192.168.0.1" видно, что первый хоп это шлюз, второй сама тачка. Что за бред, я всегда считал, что чтобы так сделать (на eth0 шлюза пакет приходит и с eth0 пакет уходит) нужны дополнительные телодвижения. А тут всё по умолчанию. Это не проблема когда маска сети 255.255.255.0, но если маска шире, а винда по умолчанию ставит 255.255.255.0, люди не правят на верную, так как всё работает. А шлюз подвергается лишней нагрузке. Конечно, можно это запретить в iptables (то же лишняя нагрузка), но не ужели нет каких-то параметров в sysctl чтоб такое вообще запретить?
OS: RH9, kernel: 2.4.20-31.9.