Sanito Опубликовано: 7 травня, 2010 Опубликовано: 7 травня, 2010 Привет. Такая вот вводная. Есть небольшая сеть (знакомые, пять десятков хостов, офис), есть ее роутер. Была семерка, решили обновить до восьмерки. Админ там любит все контроллировать, кто/куда/откуда, т.е. ай-пи у всех статический и по мак-у лочит на порту и на роутере :-) Так вот, обнаружилось, что куда-то пропадают arp записи. Т.е. стоит в кроне такая вот штука: */10 * * * * root arp -a -n -d ; arp -n -f /usr/local/etc/ethers Есть такой файлик: 10.10.0.11 00:01:6c:ec:аа:19 # Sergey.Boburiev 10.10.0.12 00:04:61:6f:1e:6c # Vadim.Pehlev 10.10.0.13 00:1b:b9:b9:1d:2e # Dmitry.Dubchinsky ... Файлик и строчка в cron НЕ менялись со времени семёрки, формат соответствует требованиям man-а: -f filename Cause the file filename to be read and multiple entries to be set in the ARP tables. Entries in the file should be of the form hostname ether_addr [temp] [blackhole | reject] [pub [only]] with argument meanings as given above. Leading whitespace and empty lines are ignored. A `#' character will mark the rest of the line as a comment. Время от времени permanent записи пропадают (хотя они есть в файле), т.е. или какой-то буфер переполняется, или ХЗ. sysctl -a | grep arp дает такое: net.inet.ip.same_prefix_carp_only: 0 net.link.ether.inet.log_arp_permanent_modify: 1 net.link.ether.inet.log_arp_movements: 1 net.link.ether.inet.log_arp_wrong_iface: 1 Вопрос. Кто виноват и что делать? Куда копать?
Sanito Опубліковано: 8 травня, 2010 Автор Опубліковано: 8 травня, 2010 Что, ни у кого никаких мыслей?
parazit Опубліковано: 8 травня, 2010 Опубліковано: 8 травня, 2010 Что, ни у кого никаких мыслей? Праздники однако... скорее всего людям лень напрягаться
varzoni Опубліковано: 10 травня, 2010 Опубліковано: 10 травня, 2010 Просто в кроне укажите; @reboot arp -f /usr/local/etc/ethers Что бы при загрузки подгружал и всё. А это уберите */10 * * * * root arp -a -n -d ; arp -n -f /usr/local/etc/ethers
Sanito Опубліковано: 10 травня, 2010 Автор Опубліковано: 10 травня, 2010 Просто в кроне укажите; @reboot arp -f /usr/local/etc/ethers Не понял немного. Вы предлагаете перегружать сервер каждые 10 минут?
Neelix Опубліковано: 10 травня, 2010 Опубліковано: 10 травня, 2010 sysctl -w net.link.ether.inet.max_age=<timeout_in_seconds> По-дефолту у вас стоит 20 минут
Sanito Опубліковано: 11 травня, 2010 Автор Опубліковано: 11 травня, 2010 sysctl -w net.link.ether.inet.max_age=<timeout_in_seconds> По-дефолту у вас стоит 20 минут Увы, это значение только для новых записей, а не для постоянных (permanent), которые загружаются из файла (как в описанном случае). Постоянные не удаляются вообще. К тому же, это значение наоборот советуют уменьшать для защиты от атак, когда создается много неверных arp-записей.
Neelix Опубліковано: 11 травня, 2010 Опубліковано: 11 травня, 2010 sysctl -w net.link.ether.inet.max_age=<timeout_in_seconds> По-дефолту у вас стоит 20 минут Увы, это значение только для новых записей, а не для постоянных (permanent), которые загружаются из файла (как в описанном случае). Постоянные не удаляются вообще. К тому же, это значение наоборот советуют уменьшать для защиты от атак, когда создается много неверных arp-записей. Странно. Пишется так: Decrease the ARP cache cleanup interval. Consider static ARP (but also consider the maintenance problems!). This does not scale well to routine use on LANs, but it might be worth its trouble on a small sensitive LAN — a DMZ LAN in your network perimeter, or a small LAN populated by a few sensitive servers and a router port. Remember that if you change the Ethernet card in one machine, you must then modify and re-run the static ARP script boot script on every host on that LAN! If you want to do this, you will need a script like the following, with IP and MAC addresses changed as needed. For thorough paranoia, define a MAC address for all possible IP addresses on the LAN, even ones not in use. For the unused IP addresses, use a MAC address that you know will not exist on that LAN (maybe that of an Ethernet card on another LAN). arp -s 10.1.1.1 00:02:E3:05:9F:A3 arp -s 10.1.1.2 00:08:C7:29:E7:31 arp -s 10.1.1.3 00:60:97:B9:3B:B5 ... and so on ...
Sanito Опубліковано: 11 травня, 2010 Автор Опубліковано: 11 травня, 2010 Не могу найти в man-е про то, что перманент записи не удаляются, но когда-то вроде читал. Но если всё-таки удаляются, все равно там для net.link.ether.inet.max_age стоит дефолт (20 минут), а по крону каждые 10 (!) минут все удаляется и выставляется заново: */10 * * * * root arp -a -n -d ; arp -n -f /usr/local/etc/ethers
Prime Опубліковано: 11 травня, 2010 Опубліковано: 11 травня, 2010 Не могу найти в man-е про то, что перманент записи не удаляются, но когда-то вроде читал. Но если всё-таки удаляются, все равно там для net.link.ether.inet.max_age стоит дефолт (20 минут), а по крону каждые 10 (!) минут все удаляется и выставляется заново: */10 * * * * root arp -a -n -d ; arp -n -f /usr/local/etc/ethers ради интереса загнал в permanent [ethernet] настройки net.link.ether.inet.max_age: 1200 настройки net.link.ether.inet.log_arp_permanent_modify: 1 уже вот минут 40 в статике висит без проблем 8я фря
blank Опубліковано: 11 травня, 2010 Опубліковано: 11 травня, 2010 Перманентные записи не должны удаляться! проблема описанная Санито действительно существует во фряхе-восьмерке! кто подскажет решение?
blank Опубліковано: 11 травня, 2010 Опубліковано: 11 травня, 2010 Не могу найти в man-е про то, что перманент записи не удаляются, но когда-то вроде читал. Но если всё-таки удаляются, все равно там для net.link.ether.inet.max_age стоит дефолт (20 минут), а по крону каждые 10 (!) минут все удаляется и выставляется заново: */10 * * * * root arp -a -n -d ; arp -n -f /usr/local/etc/ethers ради интереса загнал в permanent [ethernet] настройки net.link.ether.inet.max_age: 1200 настройки net.link.ether.inet.log_arp_permanent_modify: 1 уже вот минут 40 в статике висит без проблем 8я фря а ты попробуй загнать 3000 записей!
Prime Опубліковано: 11 травня, 2010 Опубліковано: 11 травня, 2010 Не могу найти в man-е про то, что перманент записи не удаляются, но когда-то вроде читал. Но если всё-таки удаляются, все равно там для net.link.ether.inet.max_age стоит дефолт (20 минут), а по крону каждые 10 (!) минут все удаляется и выставляется заново: */10 * * * * root arp -a -n -d ; arp -n -f /usr/local/etc/ethers ради интереса загнал в permanent [ethernet] настройки net.link.ether.inet.max_age: 1200 настройки net.link.ether.inet.log_arp_permanent_modify: 1 уже вот минут 40 в статике висит без проблем 8я фря а ты попробуй загнать 3000 записей! есть готовый файлик? или сгенерить самому.
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас