> Единственное почему-то можно пинговать все IP маршрутизатора, а не

Question

> Единственное почему-то можно пинговать все IP маршрутизатора, а не

только тот что в твоем VLAN, но и с этим щас разберусь
Я конечно могу прописать в INPUT кучу условий чтоб это не работало, но нет ли лучшего варианта, типо какой-то опции ядра или настройки сетевого интерфейса?

Если что вот как это выглядит. На маршрутизаторе есть мост "lan" с включенным vlan filtering и два интерфейса:
# ip -d a s lan.11
2334: lan.11@lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 00:16:3e:dc:eb:36 brd ff:ff:ff:ff:ff:ff promiscuity 0 allmulti 0 minmtu 0 maxmtu 65535
vlan protocol 802.1Q id 11 <REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 tso_max_size 65536 tso_max_segs 65535 gro_max_size 65536
inet 10.108.53.1/24 brd 10.108.53.255 scope global noprefixroute lan.11
valid_lft forever preferred_lft forever
# ip -d a s lan.101
2329: lan.101@lan: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 00:16:3e:dc:eb:36 brd ff:ff:ff:ff:ff:ff promiscuity 0 allmulti 0 minmtu 0 maxmtu 65535
vlan protocol 802.1Q id 101 <REORDER_HDR> numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 tso_max_size 65536 tso_max_segs 65535 gro_max_size 65536
inet 10.108.54.1/24 brd 10.108.54.255 scope global noprefixroute lan.101
valid_lft forever preferred_lft forever

ПК из VLAN 11 (его интерфейс подключен в мост и настроен как 11 pvid untagged) c IP 10.108.53.186 спокойно пингует IP 10.108.54.1:
# tcpdump -nei lan icmp
12:52:05.186390 de:35:87:3f:22:f8 > 00:16:3e:dc:eb:36, ethertype 802.1Q (0x8100), length 102: vlan 11, p 0, ethertype IPv4 (0x0800), 10.108.53.186 > 10.108.54.1: ICMP echo request, id 73, seq 160, length 64
12:52:05.186457 00:16:3e:dc:eb:36 > de:35:87:3f:22:f8, ethertype 802.1Q (0x8100), length 102: vlan 11, p 0, ethertype IPv4 (0x0800), 10.108.54.1 > 10.108.53.186: ICMP echo reply, id 73, seq 160, length 64

netfilter при этом показывает что пинги приходят на интерфейс lan.11, хотя на нем нет этого IP
IN=lan.11 OUT= MAC=00:16:3e:dc:eb:36:de:35:87:3f:22:f8:08:00 SRC=10.108.53.186 DST=10.108.54.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=47087 DF PROTO=ICMP TYPE=8 CODE=0 ID=74 SEQ=1

#devops #network #programming #russian

0

03.06.2023

1 ответов

23 просмотра

Serj · Accepted Answer

Serj

А в твоём влан что есть маршруты к другим влан?

0

03.06.2023

172 похожих чатов

> Единственное почему-то можно пинговать все IP маршрутизатора, а не

1 ответов

Похожие вопросы