[GTER] RES: ICMP Redirect Host
eshine at gmail.com
eshine at gmail.com
Sat Jul 30 10:42:13 -03 2011
Thiago, o que acontece é que embora seja uma bridge, o servidor usa ele como se fosse um roteador. Como ele entende que a interface bridge é a mesma interface ele manda um redirect.
Vc pode solucionar isso fazendo uma regra que faz Nat e manda pra intelig com o ip da interface wan como um workaround. Após, avalie os motivos que levaram a configurar bridge e considere uma migração para um ambiente roteado. Bridge tem vantagens e é até necessário em alguns casos, mas é um pouco mais melindroso para depurar problemas.
Sd,
Edgar
Enviado do meu celular Nokia
-----Msg original-----
De: Thiago Vinhas
Enviado: 29/07/2011 16:26:46
Assunto: [GTER] ICMP Redirect Host
Caros,
Estou com dificuldades de diagnosticar um problema na rede de um
cliente, e gostaria de saber se alguem tem alguma idéia.
O cliente tem um servidor linux com duas interfaces de rede em bridge
atuando como firewall e bgp na mesma máquina. Uma das interfaces vai
para o switch onde estão ligados os demais servidores, e a outra é
ligada diretamente no link fornecido pela Intelig.
Tudo funciona bem, mas qualquer dos servidores que usa os IP's do AS do
cliente, quando pinga algo externo, recebe um Redirect Host. Exemplo:
PING 74.125.234.52 (74.125.234.52) 56(84) bytes of data.
64 bytes from 74.125.234.52: icmp_seq=1 ttl=54 time=13.5 ms
From 200.131.46.1: icmp_seq=2 Redirect Host(New nexthop: 186.211.134.17)
64 bytes from 74.125.234.52: icmp_seq=2 ttl=54 time=11.5 ms
From 200.131.46.1: icmp_seq=3 Redirect Host(New nexthop: 186.211.134.17)
O firewall está configurado da seguinte forma:
interface br0 - 186.211.134.18
alias br0:1 - 200.131.46.1
O primeiro IP é o IP fornecido pela intelig e é o meu bgp router-id. O
segundo IP já é do bloco do cliente que está publicado e funcionando
normalmente.
A máquina que estou tentando pingar para fora (acontece com todas), tem
o IP 200.131.46.91 e como rota default o 200.131.46.1
Já pesquisei no google, mas o máximo que encontrei foram parâmetros para
rodar pelo sysctl que teóricamente desabilitariam o icmp redirect.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Pelo tcpdump no firewall pego o seguinte quando uma das máquinas está
pingando pra fora:
00:16:5e:8c:41:86 > 00:1b:11:98:47:9e, IPv4, length 98: 200.131.46.1 >
74.125.234.52: ICMP echo request, id 61958, seq 11, length 64
00:1b:11:98:47:9e > 00:16:5e:8c:41:86, IPv4, length 126: 200.131.46.1 >
200.131.46.91: ICMP redirect 74.125.234.52 to host 186.230.178.17, length 92
00:1b:11:98:47:9e > 00:16:5e:8c:41:86, IPv4, length 98: 74.125.234.52 >
200.131.46.91: ICMP echo reply, id 61958, seq 11, length 64
Alguem consegue me dar uma luz?
Obrigado,
Thiago Vinhas
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list