- PR -

同じIPアドレスでサービスするルータ

1
投稿者投稿内容
たけし
会議室デビュー日: 2008/09/04
投稿数: 2
投稿日時: 2008-09-04 22:32
アプライアンスサーバがありまして、これを静かな試験ネットワークに置いておくと何の問題もないのですが、騒がしい業務ネットワークに接続すると、しばらくするとハングアップするという問題があります。製造元には連絡していますが、対応が遅いので、潜在的な問題は残るものの、以下のようなことが出来ないかご教授いただけないでしょうか。

アプライアンスサーバは、ペイロードに自身のIPアドレスを埋め込むので、サービスのIPアドレスそのものを割り当てたいと思います。
これに対して、ネットワーク的に前にルータを入れて、1方を業務ネットワークに接続し、業務ネットワーク側からアプライアンスサーバ宛のTCP(全ポート)接続をアプライアンス側に転送したいと思っています。
逆に言うと、ルータが出しているマルチキャストや、IPでないパケットなど、関係ないものをアプライアンス側に伝えないようにしたいのです。

アプライアンスサーバ側には何も手を加えず、これをLinuxで構築したいのですが、可能でしょうか? 雰囲気的には、ルータでARPの代理応答をして、実際にIPパケットを受けたら、そのままアプライアンスサーバに投げるような感じです。
未記入
常連さん
会議室デビュー日: 2007/06/22
投稿数: 44
投稿日時: 2008-09-05 12:31
L2のフィルタリングを行いたいのね?

実装方法はよくわかって無いので答えれませんが
ブリッジの構築とebtablesの設定でできるっぽいです。

代理ARPを用いた擬似ブリッジでもいいかな?
http://www.linux.or.jp/JF/JFdocs/Adv-Routing-HOWTO/lartc.bridging.proxy-arp.html
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-09-05 16:55
「同じIPアドレスでサービスするルータ」って意味不明・・・。

引用:
たけしさんの書き込み (2008-09-04 22:32) より:

ルータが出しているマルチキャストや、IPでないパケットなど、関係ないものをアプライアンス側に伝えないようにしたいのです。

アプライアンスサーバ側には何も手を加えず、これをLinuxで構築したいのですが、可能でしょうか? 雰囲気的には、ルータでARPの代理応答をして、実際にIPパケットを受けたら、そのままアプライアンスサーバに投げるような感じです。


Linux機でproxy-arpを設定したいということでしたら、こちらの情報 が役立ちそうに思えます。

中段位の「Proxy ARPの設定」部分を参照。

# 但し、arp対応限定なので機能要件には不十分かも知れません。
たけし
会議室デビュー日: 2008/09/04
投稿数: 2
投稿日時: 2008-09-07 16:33
ご返答、ありがとうございました。
今のところ、Proxy ARPで設定して様子を見ています。
以下、設定している内容です。同じようなことをされようとしている方がいれば、ご参考になれば幸いです。
・スタブネットワークを作成して、サーバ側のインタフェースに設定しました。(スタブでなくても、ルーティングテーブルを設定すればよいと思います)
・サーバにスタティックアドレスを割り当てました。
・ご教示いただきましたhttp://www.atmarkit.co.jp/fnetwork/netcom/arp/arp.html より、「arp -i .....」で、サーバ側に流れるようにしました。
・DHCPで割り当てた不定アドレスのクライアントからつなぎたいので、戻りパケットのために「arp -i ....」ではなく、「echo 1 > /proc/sys/net/ipv4/conf/eth?/proxy_arp」を設定しました。

ところで、本来の問題を再現するために、同じパケットを生成して流してみたいのですが、よいツールはありますでしょうか? ベストなのは、キャプチャしたパケットから任意のものをネットワーク上にもう一度送り出せるといいのですが。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-09-08 08:16
結果報告感謝します。

引用:
たけしさんの書き込み (2008-09-07 16:33) より:

ところで、本来の問題を再現するために、同じパケットを生成して流してみたいのですが、よいツールはありますでしょうか? ベストなのは、キャプチャしたパケットから任意のものをネットワーク上にもう一度送り出せるといいのですが。


こちらは製造元任せで良いと思いますが、現地で無いと再現できないとかの理由で
逃げられているのでしょうかwww

この方面の製品は結構高かったりしますから、フリーウェアを希望でしょう。
少し前に見つけたサイトですが、結構重宝してます。
http://wiki.livedoor.jp/dj_u_c/d/%A5%CD%A5%C3%A5%C8%A5%EF%A1%BC%A5%AF%A5%C4%A1%BC%A5%EB

ここにあるツールなんか如何でしょうか?
http://www.grid.unina.it/software/ITG/
http://www.engagesecurity.com/
# いずれも使った経験はありませんが・・・。
1

スキルアップ/キャリアアップ(JOB@IT)