Início / unix / Perguntas / 492205
Accepted
WoJ
Asked: 2019-01-04 02:19:54 +0800 CST

Como verificar se um pacote atingiu uma interface em um contexto multi-interface?

  • 772

Considere a seguinte topologia:

insira a descrição da imagem aqui

Estou enviando pacotes ICMP (ping) de host Bpara 10.0.1.1. Eles atingem o alvo e o alvo responde com um reply. A conectividade funciona bem.

Ao correr, emhost A

  • tcpdump -i eth1 icmp: não vejo nenhum pacote
  • tcpdump -i eth2 icmp: eu vejo os pacotes

Existe uma maneira de verificar se um pacote destinado a interface eth1chegou a essa interface?

Lembro-me vagamente de ler um dia que o kernel estava entregando a resposta no eth2nível (que é a primeira interface que o pacote atinge) para explicar por que o monitoramento eth1não produz nenhum resultado.

Por que eu precisaria verificar esse caso específico: tenho casos em que um pacote chega em uma interface de um host (o primeiro a caminho), mas parece não atingir a interface pretendida (o aplicativo real não é ativado ). Esse teste garantiria que o firewall/encaminhamento está OK e que o problema está em outro lugar (na configuração do aplicativo, um bug no aplicativo etc.)

networking network-interface

2 respostas

  1. No Linux, um pacote de entrada é roteado verificando se um pacote deve ser tratado pela máquina local ou não. Se for o caso, ele é processado diretamente sem antes roteá-lo pela "interface correta". O endereço IP é apenas um alias para a máquina e não importa em qual interface o pacote chegou.

    O mesmo acontece se você fizer isso localmente telnet 10.0.1.1- ele não aparece, eth1mas sim em loque lida com todos os pacotes que vão da máquina local para ela mesma.

    No entanto, para pacotes de saída, faz diferença a qual interface um endereço pertence. O kernel primeiro decide como rotear um pacote e, em seguida, escolhe o melhor IP de origem para os pacotes com base nisso.

    Se você precisar ver "todos os pacotes" com tcpdump, você pode fazer tcpdump -i any icmp. Ele não mostrará a(s) interface(s), mas você verá todos os pacotes indo para, por exemplo, 10.0.1.1.

    • 3
  2. Best Answer

    O assunto que você está falando é o modelo de host fraco/forte e o Linux usa um modelo fraco por padrão.

    Existe uma maneira de verificar se um pacote destinado à interface eth1 atingiu essa interface?

    Eu diria que o firewall permitiria colocar essa restrição.

    Tenho casos em que um pacote chega em uma interface de um host (o primeiro a caminho), mas parece não atingir a interface pretendida (o aplicativo real não é ativado). Esse teste garantiria que o firewall/encaminhamento está OK e que o problema está em outro lugar (na configuração do aplicativo, um bug no aplicativo etc.)

    Você mencionou ICMP em seu exemplo anterior. O que há de errado em usá-lo exatamente para verificar se há conectividade real?

    Além disso, neste ponto, você está bem perto da prática de usar interfaces de loopback para serviços — é usado principalmente junto com roteamento dinâmico, mas a ideia principal é bem simples: não importa de qual interface veio a solicitação, apenas assuntos que encontrou seu caminho e a resposta também pode ser enviada. As interfaces de loopback nunca estão inativas, a menos que sejam informadas manualmente - interfaces "reais" OTOH podem alterar seu estado devido à perda de link e assim por diante.

    • 1

relate perguntas