Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 11:33:49

Имеется шлюз на FreeBSD 6.4
Две сетевухи: vr0 (192.168.0.1) на локалку, vr1 (84.227.164.132) к провайдеру
на mpd4 через pptp-client поднят VPN к прову (ng0), через него же поднимается nat
проблема: постоянно идут сообщения

Код: Выделить всё

gateway kernel: arp: 192.168.0.xxx is on vr0 but got reply from [xx:xx:xx:xx:xx:xx] on vr1
Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?
Последний раз редактировалось f_andrey 2011-04-05 12:04:35, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение vadim64 » 2011-04-05 12:02:34

это, фаером запретите из локалки прова всякому гавну от соседей сыпаться
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение rmn » 2011-04-05 12:09:28

w01demar писал(а):Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?
отключить arp на внешнем интерфейсе?

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 12:23:28

vadim64 писал(а):это, фаером запретите из локалки прова всякому гавну от соседей сыпаться
вставил в rc.firewall такое

Код: Выделить всё

ipfw -q add 50 deny all from 192.168.0.0/24 to me in via vr1
ipfw -q add 60 deny all from 192.168.0.0/24 to 192.168.0.1 in via vr1
ipfw -q add 70 deny all from 192.168.0.1 to 192.168.0.0/24 out via vr1
ipfw -q add 80 deny all from 192.168.0.1 to 192.168.0.0/24 out via vr1

ipfw -q add 200 deny arp from 192.168.0.0/24 to any via vr1
ipfw -q add 210 deny udp from 192.168.0.0/24 to any via vr1
ipfw -q add 220 deny tcp from 192.168.0.0/24 to any via vr1
не помогает, может что-то еще подскажете?
rmn писал(а): отключить arp на внешнем интерфейсе?
при отключении arp на vr1 (внешний) пропадает инет в локалке

rmn
старшина
Сообщения: 427
Зарегистрирован: 2008-10-03 18:52:02

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение rmn » 2011-04-05 12:40:44

w01demar писал(а):при отключении arp на vr1 (внешний) пропадает инет в локалке
ну так соответствие IP/MAC шлюза надо добавить вручную:

Код: Выделить всё

#arp -s xxx.xxx.xxx.xxx xx:xx:xx:xx:xx:xx

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 12:46:47

rmn писал(а):
w01demar писал(а):при отключении arp на vr1 (внешний) пропадает инет в локалке
ну так соответствие IP/MAC шлюза надо добавить вручную:

Код: Выделить всё

#arp -s xxx.xxx.xxx.xxx xx:xx:xx:xx:xx:xx
точно, что то я про это не подумал, щас попробую...

как сделать чтобы arp отключался при загрузке? где прописать, в rc.conf?

Гость
проходил мимо

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение Гость » 2011-04-05 12:56:51

Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?
убрать хаб и поставить нормальный свитч
или разобратся с вашей топологией

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 13:13:38

Гость писал(а):
Как запретить хождение arp пакетов на внешнюю сеть и получение ответов оттуда?
убрать хаб и поставить нормальный свитч
или разобратся с вашей топологией
причем здесь хаб и топология? свитч стоит на локалке, внешняя сетевуха на кабеле прова и свитча не касается

Гость
проходил мимо

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение Гость » 2011-04-05 13:18:13

очистите arp таблицу
если сообщения все равно будут продолжать идти
забретитесь лучше в топологии и кто там что у вас навтыкал в кабели

Гость
проходил мимо

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение Гость » 2011-04-05 13:21:00

либо у вас с провайдером общая сеть 192.168.0/24
и оно аукается сразу и с его стороны
в любом случае лучше разобратся что к чему
чем тупо что сразу deny запрещать

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 14:18:52

сеть прова 84.227.164/24
через ВПН 10.10.15/24
а эти сообщения из-за "умников" в сегменте...
вот и думаю как побороть...

snorlov
подполковник
Сообщения: 3713
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение snorlov » 2011-04-05 14:23:57

Код: Выделить всё

ipfw -q add  <номер> allow all from 192.168.0.0/24 to me via   vr0
ipfw -q add >номер + 1> deny all from 192.168.0.0/24 to me  via  vr1

Гость
проходил мимо

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение Гость » 2011-04-05 14:25:15

делать статический арп это глупо
он перебивается
либо мак адресс можно сменить на клиенте

а вот почему клиент аукается на внешнем интерфейсе в то время как он на внутренем
лучше разберитесь
а с помощю дубинки проведите
методологию воспитания своих юзеров, уже на форуме обсуждалась, поищите

snorlov
я тоже задумывался
но вроде человек уже построил нормальный фаер

а дайте ваш
ipfw show
?

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение vadim64 » 2011-04-05 14:27:24

тс так делал, но что то не сраслось. с него надо потребовать полный ipfw show, но как то влом
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

snorlov
подполковник
Сообщения: 3713
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение snorlov » 2011-04-05 14:43:14

Гость писал(а): а вот почему клиент аукается на внешнем интерфейсе в то время как он на внутренем
лучше разберитесь
У меня у провайдера циска была настроена все пропускать и я в канале из интернета чего только не нагляделся, даже ipx/spx видел...

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 14:57:56

Код: Выделить всё

#ipfw show
00070    0      0 deny ip from 192.168.0.1 to 192.168.0.0/24 out via vr1
00080    0      0 deny ip from 192.168.0.1 to 192.168.0.0/24 out via vr1
00210    0      0 deny udp from 192.168.0.0/24 to any via vr1
00220    0      0 deny tcp from 192.168.0.0/24 to any via vr1
00500  817 117614 allow ip from me to 10.0.0.1
00510 1284 365806 allow ip from 10.0.0.1 to me
01000  544 100059 divert 8668 ip from 192.168.0.0/24 to any out via ng0
01010  639 322696 divert 8668 ip from any to me in via ng0
01200    0      0 allow icmp from any to any icmptypes 0
01210   31   2120 allow icmp from any to any icmptypes 3
01220    0      0 allow icmp from any to any icmptypes 4
01230    0      0 allow icmp from any to any icmptypes 8
01240    0      0 allow icmp from any to any icmptypes 11
01250    0      0 allow icmp from any to any icmptypes 12
01310  301  60206 allow ip from 192.168.0.102 to any
01320  776 611016 allow ip from any to 192.168.0.102
01330  117   4728 allow ip from 192.168.0.103 to any
01340  184   7288 allow ip from any to 192.168.0.103
01400  162  37343 allow ip from 192.168.0.105 to any
01401  264  23552 allow ip from any to 192.168.0.105
10001  548 100335 allow ip from me to any
10002    0      0 allow tcp from any to me established
10610    0      0 allow udp from [dns1] 53 to me dst-port 53
10610    0      0 allow udp from [dns2] to me dst-port 53
10620    0      0 allow udp from me 53 to [dns1] dst-port 53
10620    0      0 allow udp from me 53 to [dns2] dst-port 53
11001    0      0 allow tcp from any to 84.227.164.132 dst-port 20,21
11002    0      0 allow tcp from 84.227.164.132 20,21 to any
11101    0      0 allow tcp from 192.168.0.0/16 to me dst-port 20,21 via vr0
11101    0      0 allow tcp from me 20,21 to 192.168.0.0/16 via vr0
20001    0      0 allow ip from 127.0.0.1 to any
20002    0      0 allow ip from any to 127.0.0.1
65535  553  35512 deny ip from any to any

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение hizel » 2011-04-05 15:11:30

бином ньютона, они и не фильтруется первыми правилами патамушта это ARP протокол на layer 2 :-)
можете посмотреть tcpdump-ом в обе стороны и увидите логику работы
я бы просто отключил или вывел в другой лог эти сообщения
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 15:23:22

hizel писал(а):бином ньютона, они и не фильтруется первыми правилами патамушта это ARP протокол на layer 2 :-)
можете посмотреть tcpdump-ом в обе стороны и увидите логику работы
я бы просто отключил или вывел в другой лог эти сообщения
то есть плохого в этих сообщениях ничего нет?
и фильтровать arp запросы/ответы с помощью ipfw не удастся?

Гость
проходил мимо

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение Гость » 2011-04-05 15:26:50

попросите провайдера настроить свой стык
и не спамить вам в сеть :-D

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение hizel » 2011-04-05 15:28:24

то есть плохого в этих сообщениях ничего нет?
смотря как посмотреть
и фильтровать arp запросы/ответы с помощью ipfw не удастся?
можно, если включить layer2, но перед этим раскурить man ipfw на предмет layer2 и спецификацию arp протокола :-)
если включите фильтрацию layer2 узнаете много подробностей о работе сети ^_^
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 15:31:55

hizel писал(а):можно, если включить layer2, но перед этим раскурить man ipfw на предмет layer2 и спецификацию arp протокола :-)
если включите фильтрацию layer2 узнаете много подробностей о работе сети ^_^
спасибо
пошел курить маны...

w01demar
рядовой
Сообщения: 10
Зарегистрирован: 2011-04-05 11:23:00
Откуда: Екатеринбург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение w01demar » 2011-04-05 17:39:34

Курю маны по layer-2 в ipfw, видимо надо за пивом сходить, а то пока мутно...
Возник вопрос: решит ли проблему dhcpd?

snorlov
подполковник
Сообщения: 3713
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение snorlov » 2011-04-05 17:48:14

w01demar писал(а):Курю маны по layer-2 в ipfw, видимо надо за пивом сходить, а то пока мутно...
Возник вопрос: решит ли проблему dhcpd?
А при чем здесь DHCP? Просто ему укажите слушать внутренний интерфейс, а на внешке блокируйте порты 67-68, кажется так...

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение ADRE » 2011-04-05 18:05:48

w01demar писал(а):сеть прова 84.227.164/24
через ВПН 10.10.15/24
а эти сообщения из-за "умников" в сегменте...
вот и думаю как побороть...

Код: Выделить всё

Имя: 84.227.164.2
IP: 84.227.164.2

country: CH (Швейцарская Кофедерация)
address: sunrise , TDC Switzerland AG , sunrise Tower , Hagenholzstrasse 20/22 , CH - 8050 ZЭrich , Switzerland

?? чё за пров??
//del

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Шлюз FreeBSD, kernel: arp: 192.168.0.xxx is on vr0...

Непрочитанное сообщение ADRE » 2011-04-05 18:07:37

snorlov писал(а):
w01demar писал(а):Курю маны по layer-2 в ipfw, видимо надо за пивом сходить, а то пока мутно...
Возник вопрос: решит ли проблему dhcpd?
А при чем здесь DHCP? Просто ему укажите слушать внутренний интерфейс, а на внешке блокируйте порты 67-68, кажется так...
а причем тут 67-68?
//del