Điểm:0

Server

Cầu nối Linux không phản hồi các yêu cầu ARP sau khi thêm quy tắc ip

joshuao

16:31, 20/04/2023

Tôi có một máy ảo được tạo bằng libvirt/qemu/kvm được gắn TAP vào cầu nối Linux (virbr1). Bên trong VM có IP là 10.99.0.9. Và có thiết lập định tuyến sau.

mặc định qua 10.99.0.1 dev enp1s0 liên kết tĩnh proto 
10.99.0.1 qua 10.99.0.1 dev enp1s0 liên kết tĩnh nguyên mẫu

Đây 10.99.0.1 là IP của cây cầu

Tôi muốn tất cả lưu lượng truy cập đến từ máy ảo đó đi đến một tuyến VPN (wg0) mà tôi đã thiết lập, vì vậy trên máy chủ tôi đã làm

tuyến ip thêm bảng dev wg0 mặc định 42
thêm quy tắc ip từ 10.99.0.9 bảng 42

Điều này hoạt động tốt, nhưng tôi nhận thấy rằng bên trong VM, tôi vẫn có thể ping địa chỉ IP của máy chủ 192.168.2.1. Cuối cùng tôi nhận ra điều này là do tra cứu cục bộ quy tắc ip có tùy chọn 0 cao hơn quy tắc tôi đã thêm. Tôi nghĩ rằng tôi chỉ cần trao đổi thứ tự, và tất cả sẽ ổn thôi.

quy tắc ip thêm tùy chọn 300 tra cứu cục bộ # 300 ở đây cao hơn 0 tùy ý
quy tắc ip del tùy chọn 0
quy tắc ip thêm từ 10.99.0.9 bảng 42 tùy chọn 0

Tuy nhiên, khi thực hiện việc này, tôi hiện không có kết nối nào trong VM. Nếu tôi đánh hơi trên linux bridge, tôi thấy nó liên tục gửi yêu cầu ARP để tìm xem ai có 10.99.0.1 , và không có phản hồi sắp tới. Tôi không nghĩ rằng các quyết định định tuyến này sẽ ảnh hưởng đến ARP chút nào, vì nó hoạt động cùng với IP, vì vậy điều này đã bị nhầm lẫn. Tôi đã xác nhận chính xác những dòng đó gây ra sự cố

Tại sao các phản hồi ARP không quay trở lại giao diện VM?

254

0 + 0

mạng linux

Lockszmith

16:33, 20/04/2023

Không thực sự chắc chắn, nhưng tôi nghĩ bạn có thể cần bật chế độ lăng nhăng

Hồi đáp

Điểm:1

Server

Roman Spiak

00:45, 24/04/2023

Ấn tượng của tôi là câu trả lời của bạn được cung cấp trong câu hỏi của bạn.

Bạn đã thay đổi tùy chọn quy tắc ip cục bộ từ 0 thành 300 do đó đã đẩy tuyến đường mặc định thành tuyến đường được ưu tiên nhất:

tuyến ip thêm bảng dev wg0 mặc định 42
thêm quy tắc ip từ 10.99.0.9 bảng 42
#và cuối cùng:
quy tắc ip thêm từ 10.99.0.9 bảng 42 tùy chọn 0

điều này khiến hạt nhân chỉ thích tuyến đường này.

bạn đã nói: "Tôi thấy nó liên tục gửi yêu cầu ARP tìm kiếm ai có 10.99.0.1 và không có phản hồi nào sắp tới."

điều này hợp lý vì các chương trình phát sóng ARP sẽ đến wg0 giao diện nơi không có thiết bị có 10.99.0.1 Địa chỉ IP (tôi giả sử).

giải pháp ?

Lời khuyên của tôi là đừng lộn xộn với mức độ ưu tiên của tuyến đường và nếu cần - hãy tường lửa quyền truy cập không cần thiết cho VM bằng iptables.

0 + 0

joshuao

09:42, 28/04/2023

Tôi có ấn tượng rằng các gói /IP/ đến từ 10.99.0.9 sẽ được chuyển đến giao diện wg, tuy nhiên một thông báo ARP không phải là một gói IP. Tôi không nghĩ rằng các quy tắc ip thậm chí sẽ làm bất cứ điều gì cho đến khi các gói IP thực tế bắt đầu bay, điều này chỉ xảy ra khi giao diện trong VM cũng biết MAC nào sẽ gửi các gói của nó. Điều này có đúng không?

Hồi đáp

Roman Spiak

10:22, 28/04/2023

xem xét kỹ https://en.wikipedia.org/wiki/Address_Resolution_Protocol#Packet_structure bạn đã đúng khi cho rằng ARP hoạt động trên Lớp 2 của OSI và các tuyến IP là Lớp 3 nên ARP không bị ảnh hưởng bởi định tuyến IP.Tuy nhiên, vui lòng tra cứu kỹ lệnh này thực hiện chức năng gì: `ip route add default dev wg0 table 42` bằng cách đánh hơi cầu trước và sau khi áp dụng lệnh này vì tôi nghi ngờ nó cũng có thể can thiệp vào layer2...

Hồi đáp

Tom Yan

12:34, 28/04/2023

Tôi nghĩ rằng các tuyến cục bộ là thứ quyết định xem có nên trả lời yêu cầu ARP hay không, chẳng hạn như nếu hệ thống được định cấu hình để bỏ qua tất cả các tuyến cục bộ của nó, thì nó sẽ không phản hồi các yêu cầu ARP. (Để biết chi tiết, người ta có thể phải kiểm tra mã hạt nhân; chỉ cần lưu ý rằng mức độ ưu tiên 0 khá đặc biệt. Có thể nó sẽ không kiểm tra bảng cục bộ khi không có quy tắc ưu tiên 0 tra cứu.)

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Linux bridge doesn't respond to ARP requests after an ip rule is added

TH: สะพาน Linux ไม่ตอบสนองต่อคำขอ ARP หลังจากเพิ่มกฎ ip

RO: Puntea Linux nu răspunde la solicitările ARP după ce este adăugată o regulă IP

RU: Мост Linux не отвечает на запросы ARP после добавления правила ip

VI: Cầu nối Linux không phản hồi các yêu cầu ARP sau khi thêm quy tắc ip

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.