我正在设置一个非常基本的 IPS 测试,想知道如果主机上的接口 ping 同一主机上具有不同 IP 地址(同一网络)的接口,它会回复吗?它会响应 ARP 请求吗?
我有一个设置,其中 Linux 机器有两个接口
- eth1-192.168.1.28
- eth2-192.168.1.29
它们每个都连接到配置为一对的 IPS(入侵防御传感器)接口。实际上,eth1 直接连接到 eth2。未激活任何感知模式。
TCPDUMP 在 IPS 和 eth2 上运行。
如果我通过以下命令从 eth1 向 eth2 发送 ping 命令
ping -I eth2 192.168.1.29.
显示目的地无法到达。
IPS 上的 TCPDUMP 显示数据包正在流过。eth2 上的 TCPDUMP 显示已收到 arp 数据包,但 eth2 未发送任何回复。
这是因为 arp 数据包的源 ip 来自同一主机吗? 有什么方法可以强制 eth2 回复 arp 吗?
答案1
eth2 不发送回复很可能是因为回复是由 eth1 发送的。ARP 回复不一定必须从接收它的同一接口发送。我认为这被称为“ARP 通量”,您可能可以在这里找到解决方案:http://wiki.openvz.org/Multiple_network_interfaces_and_ARP_flux