问题[network-interface](unix)

我有一台装有 Debian 12 的笔记本电脑，根据 powertop 显示，Realtek 以太网控制器的功耗约为 10W：

Power est.              Usage       Events/s    Category       Description
  11.9 W      0.0 pkts/s                Device         Network interface: enp4s0 (r8168)
 92.7 mW     97.5 ms/s     191.0        Process        [PID 35665] /usr/lib/xorg/Xorg vt3 -displayfd 3 -auth /run/user/1000/gdm/Xauthority -nolisten tcp -background none -noreset -ke
 84.2 mW     88.6 ms/s      15.4        Process        [PID 36881] /usr/libexec/gnome-terminal-server

即使设备已关闭，仍会消耗电力：

$ ip a
2: enp4s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether a8:3e:43:5d:a5:1a brd ff:ff:ff:ff:ff:ff

有什么方法可以完全禁用该设备或至少降低功耗？

一些额外的诊断：

$ lspci | grep -i "Ethernet"
04:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller (rev 15)

$ nmcli device show enp4s0
GENERAL.DEVICE:                         enp4s0
GENERAL.TYPE:                           ethernet
GENERAL.HWADDR:                         A8:3E:43:5D:A5:1A
GENERAL.MTU:                            1500
GENERAL.STATE:                          20 (unavailable)
GENERAL.CONNECTION:                     --
GENERAL.CON-PATH:                       --
WIRED-PROPERTIES.CARRIER:               off
IP4.GATEWAY:                            --
IP6.GATEWAY:                            --

我想在网络接口上配置单个 SR-IOV VF。我使用下面列出的配置让它工作，但是如果我尝试在 PF 之后过早启动 VF，我会收到错误，因为 VF 尚未准备好。我可以创建一个 shell 脚本来循环并等待 VF 准备就绪，但这感觉有点像 hack。有没有办法以更规范的方式处理这种设备相互依赖性？

以下是我正在使用的 NetworkManager 配置：

SR-IOV PV：/etc/NetworkManager/system-connections/sriovPF.nmconnection

[connection]
id=sriovPF
uuid=da82bf14-4af6-4cf6-a091-00d5ea1e73bc
type=ethernet
interface-name=enp216s0f1

[ethernet]

[sriov]
total-vfs=64
vf.0=spoof-check=true vlans=100

[ipv4]
method=disabled

[ipv6]
addr-gen-mode=default
method=disabled

[proxy]

SR-IOV VF：/etc/NetworkManager/system-connections/sriovPFv0.nmconnection

[connection]
id=sriovPFv0
uuid=0f0876aa-0aae-44e3-8360-acfc3ba194ce
type=ethernet
autoconnect=false
interface-name=enp216s0f1v0

[ethernet]

[ipv4]
address1=192.168.2.10/30
method=manual

[ipv6]
addr-gen-mode=default
method=disabled

[proxy]

如果我尝试在 PF 之后过早启动 VF，则会出现以下错误：

$ nmcli con up sriovPF
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/14)
$ sudo nmcli con up sriovPFv0
Error: Connection activation failed: No suitable device found for this connection (device br0 not available because profile is not compatible with device (mismatching interface name)).

(wait 1 min)

$ nmcli con up sriovPFv0
Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/16)

这是一个奇怪的错误，br0与 SR-IOV 接口无关！如果我等一分钟再试，VF 接口就会出现，不会出现错误。

给出的任何解决方案都不需要使用 NetworkManager。我很乐意考虑使用其他东西来配置网络（例如 systemd-networkd）。

我ap0配置了一个接口，该接口systemd-networkd旨在由应用程序动态启用/禁用。我希望这个应用程序ap0也能绑定到与之关联的 IP 地址。但是，如果应用程序禁用该ap0接口，则其绑定自然会失败。

ap0有没有一种方法可以让我的应用程序保持与其地址的绑定，并且该地址在启动和关闭时保持可绑定，但在ap0启动时可用？我一直在尝试网络绑定和桥接，但效果并不理想。

我最近从运行 Runit 的 Artix Linux 系统中删除了 NetworkManager，现在我无法连接到互联网。我尝试了几种解决方案，但都没有成功。到目前为止，这是我尝试过的：

• 我没有安装 DHCP 也没有安装 IWD。
• 我尝试从源代码安装 NetworkManager 包，并尝试通过 USB 传输它。但是，当我运行 makepkg -i 时，我总是遇到缺少依赖项的情况。我尝试一一安装这些依赖项，但最终，我在 makepkg 期间遇到错误，因为它试图从在线 git 存储库克隆某些内容。

我被困在这一点上，不知道如何继续。有关解决此问题的任何指导。谢谢

在 WSL2 之上运行 Ubuntu 22.04.3 LTS

输出ifconfig：

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1492
    inet 172.28.193.11  netmask 255.255.240.0  broadcast 172.28.207.255
    inet6 fe80::215:5dff:fe3e:7ffa  prefixlen 64  scopeid 0x20<link>
    ether 00:15:5d:3e:7f:fa  txqueuelen 1000  (Ethernet)
    RX packets 1402  bytes 590609 (590.6 KB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 163  bytes 52446 (52.4 KB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

ipconfig /allPowerShell的输出（请原谅我的机器是法语）：

    Configuration IP de Windows

   Nom de l’hôte . . . . . . . . . . : Zenbook-OZ
   Suffixe DNS principal . . . . . . :
   Type de noeud. . . . . . . . . .  : Hybride
   Routage IP activé . . . . . . . . : Non
   Proxy WINS activé . . . . . . . . : Non
   Liste de recherche du suffixe DNS.: Speedport_W_724V_01011603_07_008

Carte réseau sans fil Connexion au réseau local* 1 :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter
   Adresse physique . . . . . . . . . . . : 3E-55-76-BE-66-95
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui

Carte réseau sans fil Connexion au réseau local* 2 :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #2
   Adresse physique . . . . . . . . . . . : 3E-55-76-BE-76-85
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui

Carte réseau sans fil Wi-Fi :

   Suffixe DNS propre à la connexion. . . : Speedport_W_724V_01011603_07_008
   Description. . . . . . . . . . . . . . : MediaTek Wi-Fi 6E MT7922 (RZ616) 160MHz Wireless LAN Card
   Adresse physique . . . . . . . . . . . : 3C-55-76-BE-46-B5
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui
   Adresse IPv6. . . . . . . . . . . . . .: 2003:c5:c715:bad9:aa0e:5e09:f399:6903(préféré)
   Adresse IPv6 temporaire . . . . . . . .: 2003:c5:c715:bad9:fc98:b63c:31e6:1374(préféré)
   Adresse IPv6. . . . . . . . . . . . . .: 2003:c5:c715:badb:904b:d90b:7543:f858(déprécié)
   Adresse IPv6 de liaison locale. . . . .: fe80::f215:b016:e094:6711%13(préféré)
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.2.106(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Bail obtenu. . . . . . . . . . . . . . : mercredi 13 mars 2024 01:52:12
   Bail expirant. . . . . . . . . . . . . : jeudi 4 avril 2024 00:38:51
   Passerelle par défaut. . . . . . . . . : fe80::1%13
                                       192.168.2.1
   Serveur DHCP . . . . . . . . . . . . . : 192.168.2.1
   IAID DHCPv6 . . . . . . . . . . . : 121394550
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-2C-2A-D6-E9-00-4C-E0-86-43-54
   Serveurs DNS. . .  . . . . . . . . . . : fe80::1%13
                                       192.168.2.1
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

Carte Ethernet Connexion réseau Bluetooth :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Bluetooth Device (Personal Area Network)
   Adresse physique . . . . . . . . . . . : 3C-55-76-BE-46-B6
   DHCP activé. . . . . . . . . . . . . . : Oui
   Configuration automatique activée. . . : Oui

Carte Ethernet vEthernet (WSL (Hyper-V firewall)) :

   Suffixe DNS propre à la connexion. . . :
   Description. . . . . . . . . . . . . . : Hyper-V Virtual Ethernet Adapter
   Adresse physique . . . . . . . . . . . : 00-15-5D-AE-85-70
   DHCP activé. . . . . . . . . . . . . . : Non
   Configuration automatique activée. . . : Oui
   Adresse IPv6 de liaison locale. . . . .: fe80::5516:60d0:65b2:eb67%35(préféré)
   Adresse IPv4. . . . . . . . . . . . . .: 172.28.192.1(préféré)
   Masque de sous-réseau. . . . . . . . . : 255.255.240.0
   Passerelle par défaut. . . . . . . . . :
   IAID DHCPv6 . . . . . . . . . . . : 587208029
   DUID de client DHCPv6. . . . . . . . : 00-01-00-01-2C-2A-D6-E9-00-4C-E0-86-43-54
   NetBIOS sur Tcpip. . . . . . . . . . . : Activé

我的问题：

我不明白 IP 地址172.28.193.11（在输出 ifconfig 中分配给 eth0）来自哪里。00:15:5d:3e:7f:fa与eth0in关联的MAC 地址ifconfig不会出现在ipconfig /allPowerShell 输出中的任何位置。

MAC 地址对应哪个网络接口00:15:5d:3e:7f:fa？

在 Red Hat Enterprise Linux (RHEL) 8 中，如果有人这样做ifconfig eth0 hw ether abcd12341234，

我所知道ifconfig的是ip -a，

那么有没有一种方法可以可靠地获取 eth0 接口的真实 MAC 地址，如果可以的话如何获取？...除了重新启动到来自可靠来源的 Linux Live CD 以外，以确保接口的 MAC 地址没有更改。

我有两个正在运行的 Docker 容器（Ubuntu 22.04）。他们位于同一网络上，因此可以互相交谈（我已经用 验证了这一点nc）。在第一个容器中，我运行了一个程序，该程序创建了一个 tun 设备，为其指定了 IPv4 地址，然后将其启动。 ip addr节目

4: tun0: <POINTOPOINT,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet 5.6.7.8/32 scope global tun0
       valid_lft forever preferred_lft forever
89: eth0@if90: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:c0:a8:30:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.48.2/20 brd 192.168.63.255 scope global eth0
       valid_lft forever preferred_lft forever

然后，我的程序将 TCP SYN 数据包写入 tun 设备，源 IP 为 5.6.7.8，目标 IP 为 192.168.48.3（另一个容器）。然而，数据包永远不会到达另一个容器。我已经运行tcpdump，数据包出现在tun0界面上，但没有出现在eth0. tcpdump另一个容器上显示没有数据包到达。

为什么数据包不会被路由通过eth0？

当我通过启动容器时docker-compose，我设置了

sysctls:
  - net.ipv4.ip_forward=1

对于第一个容器。

我还设置了 NAT：

iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

以下是重新创建我正在做的事情的方法：

Dockerfile：

FROM ubuntu:22.04

RUN apt -y update && \
    apt -y install build-essential iptables tcpdump

WORKDIR /app 

发射.c：

#include <arpa/inet.h>
#include <fcntl.h>
#include <linux/if_tun.h>
#include <net/if.h>
#include <netinet/in.h>
#include <signal.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/ioctl.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <unistd.h>

#define TUN_DEVICE "tun0"

#define SOURCE_IP "5.6.7.8"
#define DESTINATION_IP "192.168.48.3" // change to the actual address

unsigned char packet[] = {
    0x45, 0x00, 0x00, 0x54, 0x3a, 0x58, 0x40, 0x00, 0x40, 0x01, 0x03, 0x9d,
    0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x08, 0x00, 0x48, 0xc1,
    0x00, 0x03, 0x00, 0x01, 0xa1, 0x81, 0x3a, 0x65, 0x00, 0x00, 0x00, 0x00,
    0x0d, 0x81, 0x07, 0x00, 0x00, 0x00, 0x00, 0x00, 0x10, 0x11, 0x12, 0x13,
    0x14, 0x15, 0x16, 0x17, 0x18, 0x19, 0x1a, 0x1b, 0x1c, 0x1d, 0x1e, 0x1f,
    0x20, 0x21, 0x22, 0x23, 0x24, 0x25, 0x26, 0x27, 0x28, 0x29, 0x2a, 0x2b,
    0x2c, 0x2d, 0x2e, 0x2f, 0x30, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37
};

/*
Note: The IPv4 checksum will be wrong.  Run this program once and cause it to emit
the packet by sending the process SIGUSR1.  Capture the packet with tcpdump which
will tell you that the checksum is wrong and what it should be.  The result goes
at offset 10 in the packet.
*/

int tun_fd = -1;

void signal_handler(int signum)
{
    (void)signum;

    dprintf(STDOUT_FILENO, "Emitting packet\n");

    if ( write(tun_fd, packet, sizeof(packet)) < 0 ) {
        _exit(1);
    }
}


int set_address_and_bring_up(void)
{
    int ret = -1, sock;
    struct ifreq ifr = {.ifr_name = TUN_DEVICE};
    struct sockaddr_in addr = {.sin_family = AF_INET};

    inet_pton(AF_INET, SOURCE_IP, &addr.sin_addr);
    memcpy(&ifr.ifr_addr, &addr, sizeof(addr));

    sock = socket(AF_INET, SOCK_DGRAM, 0);
    if ( sock < 0 ) {
        perror("socket");
        return -1;
    }

    if ( ioctl(sock, SIOCSIFADDR, &ifr) == -1 ) {
        perror("ioctl (SIOCSIFADDR)");
        goto done;
    }

    ifr.ifr_flags = IFF_UP;
    if ( ioctl(sock, SIOCSIFFLAGS, &ifr) == -1 ) {
        perror("ioctl (SIOCSIFFLAGS)");
        goto done;
    }

    ret = 0;

done:
    close(sock);
    return ret;
}

int tun_device_create(void) {
    int fd;
    struct ifreq ifr = {.ifr_name = TUN_DEVICE, .ifr_flags = IFF_TUN | IFF_NO_PI};

    fd = open("/dev/net/tun", O_RDWR);
    if ( fd < 0 ) {
        perror("open");
        return -1;
    }

    if ( ioctl(fd, TUNSETIFF, &ifr) == -1 ) {
        perror("ioctl (TUNSETIFF)");
        goto error;
    }

    if ( set_address_and_bring_up() != 0 ) {
        goto error;
    }

    return fd;

error:
    close(fd);
    return -1;
}

int main() {
    struct sigaction action = {.sa_handler = signal_handler};

    inet_pton(AF_INET, SOURCE_IP, packet + 12);
    inet_pton(AF_INET, DESTINATION_IP, packet + 16);

    tun_fd = tun_device_create();
    if ( tun_fd < 0 ) {
        return 1;
    }

    sigaction(SIGUSR1, &action, NULL);

    while (1) {
        pause();
    }

    return 0;
}

iptables_script.sh：

#!/bin/sh -ex

iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

启动容器：

# First container
docker run --rm -it --cap-add NET_ADMIN -v $PWD:/app --device=/dev/net/tun my_image bash

# Second container
docker run --rm -it ubuntu:22.04 bash

在第一个容器中运行：

test "`cat /proc/sys/net/ipv4/ip_forward`" -eq 1
gcc emit.c
./a.out &
./iptables_script.sh
kill -s USR1 `pgrep a.out`

我有一个依赖于主机的主 IP 地址的服务，如果主机上未配置该地址，该服务将无法启动。有没有一种方法可以systemd-networkd使静态配置的接口启动，即使该接口的链路在启动时已关闭，并且在链路在任何给定时间丢失时仍保持该状态？

我发现 fornetplan存在ignore-carrier: true。我需要同样的systemd-networkd

我在运行 NixOS 22.11 的路由器上使用 nftables（启用了最新的 XanMod 内核补丁和 acpid 以及 irqbalance）。该机器有 3 个接口：连接到互联网的 enp4s0 和两个服务于不同 IP LAN 的本地 WiFi 接入点，wlp1s0 和 wlp5s0。

我的 nftables 配置如下：我只允许本地网络上的入站 DNS、DHCP 和 SSH 流量，并允许出站和转发流量以及 SNAT 到互联网。

table ip filter {
    chain conntrack {
        ct state vmap { invalid : drop, established : accept, related : accept }
    }
    chain dhcp {
        udp sport 68 udp dport 67 accept comment "dhcp"
    }
    chain dns {
        ip protocol { tcp, udp } th sport 53 th sport 53 accept comment "dns"
    }
    chain ssh {
        ip protocol tcp tcp dport 22 accept comment "ssh"
    }

    chain in_wan {
        jump dns
        jump dhcp
        jump ssh
    }
    chain in_iot {
        jump dns
        jump dhcp
    }
    chain inbound {
        type filter hook input priority filter; policy drop;
        icmp type echo-request limit rate 5/second accept
        jump conntrack
        iifname vmap { "lo" : accept, "wlp1s0" : goto in_wan, "enp4s0" : drop, "wlp5s0" : goto in_iot }
    }

    chain forward {
        type filter hook forward priority filter; policy drop;
        jump conntrack
        oifname "enp4s0" accept
    }
}

table ip nat {
    chain postrouting {
        type nat hook postrouting priority srcnat; policy accept;
        oifname "enp4s0" snat to 192.168.1.2
    }
}

table ip6 global6 {
    chain input {
        type filter hook input priority filter; policy drop;
    }

    chain forward {
        type filter hook forward priority filter; policy drop;
    }
}

通过这个简单的配置，我预计 KDE Con​​nect 无法工作，因为它需要打开端口 1714-1764。事实上，如果我将我的计算机连接到 wlp1s0，将我的手机连接到 wlp5s0（如此不同的接口），这些设备无法相互看到，并且我可以通过 tcpdump 以及通过 nftables 查看数据包，使用日志记录规则或 nftrace。

但是不知何故，如果我现在将两台机器放在同一个界面上，例如 wlp1s0，KDE Con​​nect 可以完美运行并且设备可以相互看到。我最好的猜测是这是由于连接跟踪而发生的，但即使我添加

    chain trace_wan {
        type filter hook prerouting priority filter - 1; policy accept;
        iifname "wlp1s0" oifname "wlp1s0" meta nftrace set 1
    }

到filter表上，运行时看不到任何数据包nft monitor trace。同样，在链中的索引 0 处插入日志记录规则时，我在系统日志中看不到任何数据包forward。然而在运行时tcpdump -i wlp1s0 port 1716我可以看到我希望 nftables 也能看到的数据包：

14:33:59.943462 IP 192.168.2.11.55670 > 192.168.2.42.xmsg: Flags [.], ack 20422, win 501, options [nop,nop,TS val 3319725685 ecr 2864656484], length 0
14:33:59.957101 IP 192.168.2.42.xmsg > 192.168.2.11.55670: Flags [P.], seq 20422:20533, ack 1, win 285, options [nop,nop,TS val 2864656500 ecr 3319725685], length 111

当两个设备连接在同一个接口上时，为什么 nftables 看不到那些数据包？我怎样才能使 nftables 默认丢弃所有这些转发的数据包？

评论中要求的其他信息：

❯ ip -br link
lo               UNKNOWN         <LOOPBACK,UP,LOWER_UP>
enp2s0           DOWN            <BROADCAST,MULTICAST>
enp3s0           DOWN            <BROADCAST,MULTICAST>
enp4s0           UP              <BROADCAST,MULTICAST,UP,LOWER_UP>
wlp5s0           UP              <BROADCAST,MULTICAST,UP,LOWER_UP>
wlp1s0           UP              <BROADCAST,MULTICAST,UP,LOWER_UP>

❯ ip -4 -br address
lo               UNKNOWN        127.0.0.1/8
enp4s0           UP             192.168.1.2/24
wlp5s0           UP             192.168.3.1/24
wlp1s0           UP             192.168.2.1/24

❯ bridge link

❯ ip route
default via 192.168.1.1 dev enp4s0 proto static
192.168.1.0/24 dev enp4s0 proto kernel scope link src 192.168.1.2
192.168.1.1 dev enp4s0 proto static scope link
192.168.2.0/24 dev wlp1s0 proto kernel scope link src 192.168.2.1
192.168.3.0/24 dev wlp5s0 proto kernel scope link src 192.168.3.1

❯ sysctl net.bridge.bridge-nf-call-iptables
sysctl: error: 'net.bridge/bridge-nf-call-iptables' is an unknown key

我的集成RJ45网卡有一个接口叫做enp5s0，如果我插显卡，它会把enp6s0我所做的所有配置都弄乱。我经常插拔 PCIe 设备，手动更改网络配置中的所有设备变得非常烦人。

=> 如何停止这种胡说八道？显然我不会在任何地方移动 RJ45 接口。为什么 RHEL8 会根据其他设备更改名称？

• https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/consistent-network-interface-device-naming_configuring-and-managing-networking

默认情况下，在 Red Hat Enterprise Linux 中启用一致的设备命名。

这不是真的，因为名称会根据其他设备而变化......