ARP настройки через sysctl

Обсуждения, связанные с сетями, сетевыми и веб-ориентированными сервисами, такими как Apache, BIND, Sendmail и т.д.

ARP настройки через sysctl

Непрочитанное сообщение Baby Boy » 15 окт 2010, 14:58

есть три параметра sysctl, которые как-то связаны с ARP:
net.link.ether.inet.log_arp_permanent_modify
net.link.ether.inet.log_arp_movements
net.link.ether.inet.log_arp_wrong_iface

Насчет этого: net.link.ether.inet.log_arp_wrong_iface - вроде я допетриваю что такое.
Наверное каждый хотя бы раз да сталкивался, что логи начинают засираться записями вида:
Код: Выделить всё
firma.local kernel log messages:
+++ /tmp/security.LS6moElO   2010-10-15 03:03:11.000000000 +0400
+arp: 192.168.1.76 is on xl0 but got reply from 00:02:1c:f8:0d:a7 on rl0
+arp: 172.16.16.20 is on rl0 but got reply from 00:1d:7d:4a:db:80 on xl0
+arp: 192.168.1.76 is on xl0 but got reply from 00:02:1c:f8:0d:a7 on rl0
+arp: 172.16.16.22 is on rl0 but got reply from 00:50:22:b0:74:ec on xl0
....

это происходит, если в сети на коммутаторах есть как минимум один комп, у которого как минимум две подсети (2 сетевухи соответственно), такая ситуация неумолимо приведет к описанным выше засираниям логов на тачке с 2мя подсетями.
И чтобы в логи не шли записи после бурдкастов из-за разрыва шаблона у оси вида "товарисчи, а че ета такое у меня в ARP-таблице на одном интерфейсе есть разрешение IP-MAC, и тут на тебе для этого MAC мне приходит ответ на другой мой интерфейс с адресом из другой подсети"
надо сделать так:
Код: Выделить всё
sysctl net.link.ether.inet.log_arp_wrong_iface=0


Вопрос:
а что делают два других параметра
net.link.ether.inet.log_arp_permanent_modify
net.link.ether.inet.log_arp_movements

?

подсобите, люди добрыя
даваите разбиремся в вопросе
Аватара пользователя
Baby Boy
Ученик
Ученик
 
Сообщения: 52
Зарегистрирован: 14 сен 2010, 23:36
Благодарил (а): 18 раз.
Поблагодарили: 0 раз.

Re: ARP настройки через sysctl

Непрочитанное сообщение Baby Boy » 15 окт 2010, 15:36

гугл головного мозга сначала привел Некоторые полезные sysctl переменные для FreeBSD
их трактовка параметра net.link.ether.inet.log_arp_wrong_iface сразу не понравилась, т.к. первооткрыватели могут быть пущены по ошибочному пути...
но самое главное наткнулся на первоисточник EnderUNIX sysctl, где есть объяснение параметру net.link.ether.inet.log_arp_movements:
By setting this knob to 1 (ON) the kernel will log all ARP broadcasts from hosts that have a MAC address that is different then the on in the ARP cache on the localhost.

This might help preventing and identifying ARP cache poisoning attacks.
т.е. если установлено в 1, то будут логироваться все ARP брудкасты с хостов, которые имеют MAC адреса, отличные от тех, которые находятся в ARP кеше localhost'а. Я так понимаю это когда например на компе сетевуха был один ип адрес, потом через некоторое время сменили сетевуху а ип прописали тот же и вот при следующем брудкасте с этого компа, он будет задетекчен в логах.

Осталось, вот это понять net.link.ether.inet.log_arp_permanent_modify чо такое
Аватара пользователя
Baby Boy
Ученик
Ученик
 
Сообщения: 52
Зарегистрирован: 14 сен 2010, 23:36
Благодарил (а): 18 раз.
Поблагодарили: 0 раз.

Re: ARP настройки через sysctl

Непрочитанное сообщение Raven2000 » 16 окт 2010, 12:38

Гуглил, но что то не нашел.
Если хочешь разобраться... Так иди и разбирайся!
[ igNix.ru | Технология жизни - технологии будущего ] [ Forum.igNix.ru ]
Аватара пользователя
Raven2000
-=_UNIX_=-
-=_UNIX_=-
 
Сообщения: 680
Зарегистрирован: 14 сен 2010, 13:08
Откуда: Там, где нас нет.
Благодарил (а): 1 раз.
Поблагодарили: 37 раз.


Вернуться в Сети, сетевые и веб сервисы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron