eth0 es proxy-arping, pero / proc / sys / net / ipv4 / conf / eth0 / proxy_arp es 0

Me estoy rascando la cabeza sobre esta pregunta … Tengo una máquina de compression Debian que está conectada a una networking interna de laboratorio. Tenemos muchas máquinas que tienen configuraciones pnetworkingeterminadas de proxy-arp en ellas, y ocasionalmente una de esas máquinas comienza a secuestrar muchas direcciones de laboratorio.

Después de resolver el último incidente de Proxy-ARP que provocó la mayor parte de nuestro laboratorio, encontré algunas inputs residuales como esta en /var/log/syslog (abajo). Para aquellos que no están acostumbrados a leer los loggings de arpwatch , la máquina que posee 00:11:43:d2:68:65 está peleando con 192.168.12.102 y 192.168.12.103 sobre quién posee esas direcciones.

 Sep 13 14:25:27 netwiki arpwatch: flip flop 192.168.12.103 00:11:43:d2:68:65 (84:2b:2b:4b:71:b4) eth0 Sep 13 14:26:24 netwiki arpwatch: flip flop 192.168.12.103 84:2b:2b:4b:71:b4 (00:11:43:d2:68:65) eth0 Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:26:b9:4e:d3:71 (00:11:43:d2:68:65) eth0 Sep 13 14:29:03 netwiki arpwatch: flip flop 192.168.12.102 00:11:43:d2:68:65 (00:26:b9:4e:d3:71) eth0 

Lo más alarmante es que 00:11:43:d2:68:65 pertenece a la misma máquina que estaba ejecutando arpwatch en … Primero, he validado que /proc/sys/net/ipv4/conf/eth0/proxy_arp es 0 . A continuación, utilicé tshark para validar que mi máquina realmente está falsificando ARP a otros …

 [mpenning@netwiki ~]$ ip addr show eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:11:43:d2:68:65 brd ff:ff:ff:ff:ff:ff inet 192.168.12.239/24 brd 192.168.12.255 scope global eth0 inet6 fe80::211:43ff:fed2:6865/64 scope link valid_lft forever prefernetworking_lft forever [mpenning@netwiki ~]$ [mpenning@netwiki ~]$ arp -an ? (192.168.12.46) at 00:15:c5:f5:81:9d [ether] on eth0 ? (192.168.12.236) at 00:1e:c9:cd:46:c8 [ether] on eth0 ? (10.211.180.1) at 00:1e:49:11:fe:47 [ether] on eth1 ? (192.168.12.20) at f0:4d:a2:02:81:66 [ether] on eth0 [mpenning@netwiki ~]$ cat /proc/sys/net/ipv4/conf/eth0/proxy_arp 0 [mpenning@netwiki ~]$ sudo tshark -i eth0 arp and ether src 00:11:43:d2:68:65 Running as user "root" and group "root". This could be dangerous. Capturing on eth0 0.000000 Dell_d2:68:65 -> Dell_02:81:66 ARP 192.168.12.102 is at 00:11:43:d2:68:65 84.954989 Dell_d2:68:65 -> Dell_f5:81:9d ARP 192.168.12.103 is at 00:11:43:d2:68:65 [mpenning@netwiki ~]$ uname -a Linux netwiki 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011 x86_64 GNU/Linux [mpenning@netwiki ~]$ 

Los hechos son innegables. Tengo un cuadro de Debian que está falsificando los ARP y no tengo idea de por qué. Soy el único usuario de esta máquina, ejecuto fail2ban para evitar ataques de fuerza bruta, y está en una networking interna de laboratorio detrás de una puerta que requiere una insignia para entrar; Dudo mucho que haya sido pirateado.

Tres preguntas …

  1. Primero, ¿hay alguna causa que pueda haber pasado por alto? ¿Qué pasos debo usar para aislar si esto es una aplicación o un problema del kernel?
  2. Si esto es un error del núcleo, ¿en qué list de correo debo informar? FYI, la herramienta normal de informes de errores de kernel.org parece estar cayendo ahora mismo.
  3. ¿Hay algo que pueda hacer para resolver el problema que no sea esperar un parche?

Encontré el problema … Estaba demostrando cómo funciona proxy-arp en una interfaz de ethernet de repuesto hace unas semanas y dejé las configuraciones en la máquina (aunque tenía la interfaz ABAJO).

Cuando eth2 estas inputs para 192.168.12.0/24 de eth2 , ya no tuve el problema.

 [mpenning@netwiki ~]$ ip add show eth2 4: eth2: <BROADCAST,MULTICAST,PROMISC> mtu 1500 qdisc mq state DOWN qlen 1000 link/ether 00:10:18:02:32:86 brd ff:ff:ff:ff:ff:ff inet 192.168.12.100/24 scope global eth2 inet 192.168.1.100/24 scope global eth2 inet 192.168.12.101/24 scope global secondary eth2 inet 192.168.12.102/24 scope global secondary eth2 inet 192.168.12.103/24 scope global secondary eth2 inet 192.168.12.104/24 scope global secondary eth2 inet 192.168.12.105/24 scope global secondary eth2 [mpenning@netwiki ~]$ 

Todavía creo que esto es un error y debe ser archivado. Voy a actualizar con la información del error cuando se complete.