[GTER] RES: ICMP Redirect Host

eshine at gmail.com eshine at gmail.com
Sat Jul 30 10:42:13 -03 2011


Thiago, o que acontece é que embora seja uma bridge, o servidor usa ele como se fosse um roteador. Como ele entende que a interface bridge é a mesma interface ele manda um redirect.
Vc pode solucionar isso fazendo uma regra que faz Nat e manda pra intelig com o ip da interface wan como um workaround. Após, avalie os motivos que levaram a configurar bridge e considere uma migração para um ambiente roteado. Bridge tem vantagens e é até necessário em alguns casos, mas é um pouco mais melindroso para depurar problemas.
 Sd,
Edgar

Enviado do meu celular Nokia
-----Msg original-----
De: Thiago Vinhas
Enviado:  29/07/2011 16:26:46
Assunto:  [GTER] ICMP Redirect Host

Caros,

Estou com dificuldades de diagnosticar um problema na rede de um 
cliente, e gostaria de saber se alguem tem alguma idéia.

O cliente tem um servidor linux com duas interfaces de rede em bridge 
atuando como firewall e bgp na mesma máquina. Uma das interfaces vai 
para o switch onde estão ligados os demais servidores, e a outra é 
ligada diretamente no link fornecido pela Intelig.

Tudo funciona bem, mas qualquer dos servidores que usa os IP's do AS do 
cliente, quando pinga algo externo, recebe um Redirect Host. Exemplo:

PING 74.125.234.52 (74.125.234.52) 56(84) bytes of data.
64 bytes from 74.125.234.52: icmp_seq=1 ttl=54 time=13.5 ms
 From 200.131.46.1: icmp_seq=2 Redirect Host(New nexthop: 186.211.134.17)
64 bytes from 74.125.234.52: icmp_seq=2 ttl=54 time=11.5 ms
 From 200.131.46.1: icmp_seq=3 Redirect Host(New nexthop: 186.211.134.17)

O firewall está configurado da seguinte forma:

interface br0 -  186.211.134.18
alias br0:1     -   200.131.46.1

O primeiro IP é o IP fornecido pela intelig e é o meu bgp router-id. O 
segundo IP já é do bloco do cliente que está publicado e funcionando 
normalmente.

A máquina que estou tentando pingar para fora (acontece com todas), tem 
o IP 200.131.46.91 e como rota default o 200.131.46.1

Já pesquisei no google, mas o máximo que encontrei foram parâmetros para 
rodar pelo sysctl que teóricamente desabilitariam o icmp redirect.

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects

Pelo tcpdump no firewall pego o seguinte quando uma das máquinas está 
pingando pra fora:

00:16:5e:8c:41:86 > 00:1b:11:98:47:9e, IPv4, length 98: 200.131.46.1 > 
74.125.234.52: ICMP echo request, id 61958, seq 11, length 64
00:1b:11:98:47:9e > 00:16:5e:8c:41:86, IPv4, length 126: 200.131.46.1 > 
200.131.46.91: ICMP redirect 74.125.234.52 to host 186.230.178.17, length 92
00:1b:11:98:47:9e > 00:16:5e:8c:41:86, IPv4, length 98: 74.125.234.52 > 
200.131.46.91: ICMP echo reply, id 61958, seq 11, length 64


Alguem consegue me dar uma luz?

Obrigado,
Thiago Vinhas
--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list