[GTER] Comportamento estranho com vlans (linux)

Gustavo Alves gjalves at gjalves.com.br
Wed Oct 28 00:13:55 -02 2009 

Olá Matias,

Trabalhamos em ambientes com VLANs em Linux e lhe asseguro que cenários
semelhantes ao seu funcionam corretamente. Para que o iptables não receba um
pacote de uma interface a kernel deverá ter seu suporte a rede desligado em
algum ponto (modulo ou sysctl). Assumindo que você esteja usando uma
distribuição padrão de mercado, é improvável que você esteja se deparando
com um bug do SO e sim com alguma falha de configuração.

Sugiro que você investigue e descarte inicialmente esta questão do iptables,
eventualmente através do comando:

iptables -I INPUT 1 -s <ip de origem> -j LOG

complementarmente

iptables -I FORWARD 1 -s <ip de origem> -j LOG

caso estejamos tratando de um destino que não o servidor.

Na possibilidade de insucesso, a publicação das configurações e
detalhamentos do firewall e roteamento seriam de muita valia.

Avise na hipótese de correção ou caso obtenha mais detalhamentos do
episódio.

----
Gustavo Junior Alves
Specchio Soluções em TI
http://specchio.inf.br
Tel: +55 19 9223-0500


2009/10/27 Matias Breunig <matias at dgnet.com.br>

> Boa Noite,
>
> Em um ambiente com um switch com duas vlans (83 e 700) conectado em uma
> placa de rede de um linux (kernel 2.6.28-1) com duas vlans "taggeadas" na
> interface eth0 (eth0.83 e eth0.700) estou enfrentando um problema muito
> estranho.
> Este linux é um roteador (roteador A) rodando OSPF com outro roteador
> (roteador B) na vlan 700 e BGP com uma operadora na vlan 83 além de haver
> uma outra interface não taggeada com parte da minha rede. (a outra parte
> está atrás do roteador B na outra ponta da vlan 700).
> O fato que está me deixando intrigado é que ao ativar a segunda vlan (700)
> não consigo comununicar com o roteador A estando atrás do roteador B.
> O traceroute de uma estação atrás do roteador B até o roteador A pára no
> último salto, não consigo pingar o roteador A.
> Se sniffo a interface (eth0.700) com tcpdump enquanto disparo um ping de
> uma
> máquina atrás do roteador B consigo enchergar o pacote mas quando insiro
> uma
> regra no iptables deste roteador (iptables -I INPUT -s IP_ORIGEM_PING) o
> mesmo pacote que aparece no tcpdump não aparece no log do iptables (este é
> o
> fato que me intriga). A interface, ip de origem e etc conferem exatamente,
> não há nat ou firewall no meio do caminho e para me deixar mais intrigado,
> pingando do roteador A para o roteador B e vice versa consigo pingar
> normalmente.
> Comparei também a saída do tcpdump (utilizando Wireshark) de um ping
> realizado pelo roteador B e um ping realizado por uma estação atrás deste
> roteador e ambos são tecnicamente idênticos. A tablea de roteamentos está
> correta fim a fim.
> Ficam as dúvidas, por que o pacote aparece no tcpdump e não aparece no log
> do iptables? Por que o pacote de roteador a roteador chega e da estção para
> o roteador não chega?
>
> Qualquer sugestão é bem vinda.
> Desculpem-me pelo tamanho do e-mail.
>
> Obrigado,
> Matias Breunig
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list