Ubuntu Linux - 多个 NIC，同一个 LAN...ARP 响应总是从单个 NIC 发出

您选择的解决方案有效，但还有其他不涉及 arptables 的替代方案。（Christopher Cashell 最初走在正确的轨道上，但他偏离了一点。）

简而言之，您需要设置这些参数：

net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2

在运行现代 2.6 系列 Linux 内核时，这些应该可用。检查并确保“/proc/sys/net/ipv4/conf//arp_announce' 和 /proc/sys/net/ipv4/conf/您的系统上存在“/arp_ignore”。

'arp_filter' 参数仅在您的各个 IP 地址共享一个 LAN 段但使用不同的 IP 子网时才有效。如果它们也共享 IP 子网，则需要使用 'arp_ignore' 和 'arp_announce'，如上所述。

（我相信您可能还需要将“arp_filter”设置回“0”。）

好的，下面是解决方案。首先，回顾一下：

这是我的基本网络计划：

 eth0 10.10.10.2 netmask 255.255.255.248
 eth1 10.10.10.3 netmask 255.255.255.248
 eth2 10.10.10.4 netmask 255.255.255.248
 eth3 10.10.10.5 netmask 255.255.255.248

所有接口都重叠了。这在技术上是错误的，也是我所有烦恼的根源……但我不得不这么做，因为这个愚蠢的住宅网关。

首先，广播 ARP 请求会发送到所有这些接口。由于所有 4 个 IP 都是有效的本地地址，因此所有 4 个接口都会尝试响应。

1）安装ARP 表. 在启动时添加此内容（/etc/rc.local这里）：

arptables -F INPUT
arptables -A INPUT -i eth0 --destination-ip ! 10.10.10.2 -j DROP
arptables -A INPUT -i eth1 --destination-ip ! 10.10.10.3 -j DROP
arptables -A INPUT -i eth2 --destination-ip ! 10.10.10.4 -j DROP
arptables -A INPUT -i eth3 --destination-ip ! 10.10.10.5 -j DROP

这将防止广播进入错误的接口。因此，正确的接口现在将成为唯一的响应者。

仅凭这一点还不够。接下来是 ARP 表问题。发出请求的 PC 可能已经有一个 ARP 表条目，因此 Linux 将使用与该条目关联的接口。在该 ARP 表条目过期之前，它将尝试使用该条目的接口（而不是与 ARP 请求关联的接口）发送 ARP 响应。

sysctl 选项rp_过滤器如果 ARP 响应数据包位于错误的接口上，则似乎会拒绝传出的 ARP 响应数据包。因此...

2）禁用rp_过滤器。

在 Debian/Ubuntu 上，这意味着注释掉两个rp_过滤器行数/etc/sysctl.d/10-network-security.conf。

启用此选项是有原因的……即帮助防止跨接口欺骗攻击。我读到它验证数据包对于其进入或发出的接口是否合法（通过交换 MAC 和 IP 并查看它是否仍通过同一接口路由）。因此，通常关闭它不是一个好主意。就我而言，所有接口都在同一个网络上……因此该检查实际上根本不重要。

如果我确实添加了另一个接口并且需要欺骗保护，也许可以制作一些ARP 表/iptables条目来做同样的事情。

这与 Linux 处理 IP 和 NIC 的方式有关。基本上，它将 IP 地址视为属于该框，而不仅仅是特定的 NIC。结果是您可以从意想不到的接口上的 IP 地址获得 ARP 响应。

解决方案是 sysctl 选项。我记得，你要找的是：

net.ipv4.conf.default.arp_filter=1
net.ipv4.conf.all.arp_filter=1

这将为您解决问题。只需将这些添加到 /etc/sysctl.conf 并运行“ sysctl -p”（或将每一行作为“ ”的参数运行）sysctl -w。

这将导致 Linux 仅响应实际分配 IP 地址的接口上的 ARP 请求。

您可以桥接网关并让防火墙处理 IP 吗？