proxy_arp实验的问题

depthblue

今天在做了个关于proxy_arp实验，图如下：

                      eth0               eth1
client-----------------------|turbo linux|------------------------server
                                     ---------------
172.16.1.11         172.16.1.4         10.1.1.1                  10.1.1.2

将client和server网关分别指向172.16.1.4和10.1.1.1
然后在linux上打开路由，OK，client可以ping 通server
然后开始实验　proxy_arp

把client的网关随便指向一个地址，比如1.1.1.1，在LINUX上的eth0网卡上打开proxy_arp，结果却ping 不通server，把all,default,lo,eth1上的proxy_arp都打开，结果还是不通．
按照proxy_arp的原理应该是通的，而且在路由器上是没有问题的．

问题会出在哪里呢？linux用的是turbo es9

bingosek

原帖由 "depthblue" 发表：
今天在做了个关于proxy_arp实验，图如下：

                      eth0               eth1
client-----------------------|turbo linux|------------------------server
                                    ..........

这不是proxy arp，你client上的网关不是乱指的，另外，client和server网段至少要部分重叠，具体可以看这个：
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml

depthblue

网端可以不重叠，公司的网络现在就是这么用的，网关指向任何一个IP都可以

bingosek

[quote]原帖由 "depthblue"]网端可以不重叠，公司的网络现在就是这么用的，网关指向任何一个IP都可以[/quote 发表：


如果网段不重叠，那是路由，你看看cisco的技术文档先

bingosek

在给你一个中文链接参考：
http://www.linuxforum.net/docnew/printthread.php?Cat=&Board=sys&main=4&type=post

depthblue

实验成功了，在LINUX加默认路由就可以了

myprotein

在windows系统中有如下结论：

总结：
主机不设默认网关－－－－从不向本网段外的地址arp请求，不会发生代理arp

主机设本网段其他地址为网关－－－－－－如果目的是非本网段地址，则向所设 的网关arp请求不会发生代理arp

主机将网关设为非本网段地址－－－－－－－－向外网发包时，会arp请求所设网关的mac，如果此时真网关开启代理arp，代理就会发生

主机将网关设为自己－－－－－－－－可以对任何地址（你的目的地址，不管是多少）发arp请求，如果真网关开启代理arp，代理就会发生。




至于linux，可能与上述不符。

aha120

原帖由 bingosek 于 2005-7-20 16:49 发表
在给你一个中文链接参考：
http://www.linuxforum.net/docnew ... ain=4&type=post

引自http://blog.chinaunix.net/u/11995/showart_68731.html

Linux 2.4内核下的代理ARP和透明防火墙

一: 操作环境

Redhat 7.X, iptables, iproute2


二: 为什么需要Proxy ARP?

目前而言，为了添加防火墙，重新布署网络结构主要有如下方法：

a. 防火墙两端分别使用真实地址和私有地址，用NAT或者端口转发实现对外服务，缺点是不能支持所有协议。
b. 把现有从ISP得到的IP地址分段成两个子网在防火墙两端使用，缺点是需要更改服务器默认网关及子网掩码等设置
c. 用代理ARP技术构建透明防火墙，可以Linux 2.4内核中轻易实现，它能保持现有的IP地址、 网关和子网掩码设置，加上使用真实IP地址，所以支持所有协议。

三: 典型应用图例

下面我们来考虑一个典型的小型企业网络环境：

1> 公司有专线连结互联网，为了保护DMZ区内的服务器，我们想架设一台防火墙直接连接路由器，下面再连结所有向外提供服务的各种WEB,Mail,DNS服务器,如下图：


                            Internet

                                |

                                | DDN

                            ____|____

                           |  Router |

                           |_________|e0: a.b.c.1

                                |            

                              __|__ eth0: a.b.c.2                              

                             |     |

                             |  F  | 用Proxy ARP技术的透明防火墙 (gw: a.b.c.1)

                             |_____|

                                |   eth1: a.b.c.2 (两边可以用同一个IP，节省IP地址)

                                |

                   _____________|____________

                  |                 |        |        

                __|__              _|_      _|_

     mail relay|  A  |ip:a.b.c.3  | B |    | C |

     web proxy |     |gw:a.b.c.1  |___|    |___|

               |_____|             WEB      DNS

                  |             ip:a.b.c.4  IP:a.b.c.5

__ Intranet_____ _|             gw:a.b.c.1  gw:a.b.c.1

  192.168.1.0/24  |

                __|__

               |  D  |

               |Mail |

               |_____|


注：
1. 一台防火墙F保护整个DMZ区和内部网络，两边可以用同一个IP地址a.b.c.2 。
2. 透明防火墙F两边在同一网段，且被保护的机器的IP和网关设置与同没有透明防火墙时一样，对被保护的服务器和外部用户而言都是透明的。当拿掉防火墙F时整个网络仍然能工作。
3. 服务器A连结内部网络作代理服务器共享上网，且配置Sendmail为内部网上的邮件服务器D作邮件relay。
4. 服务器A也可以直接连接到Router，和服务器F一样，这样要单独为服务器A设置防火墙规则。
5. 如果只有服务器F连接路由器，则只需用一个交叉电缆连结即可，不用HUB或者Switch 。
6. 你也可以合并A到F中，这样需要在F上有三块网卡同时连结DMZ和内部网络。

四: 如何设置Proxy ARP?

Redhat 7.2已经带有iproute2，用 #ip route命令而不是以前用的#route命令
假定从ISP得到的IP地址为a.b.c.0/28 即可有a.b.c.0-15 共16个IP可用，但a.b.c.0(网络地址)和a.b.c.15(广播地址)不可用，故实际可用IP为a.b.c.1-14共14个IP地址。

a. 安装时先设置eth0和eth1的IP地址都是a.b.c.2，且默认网关为a.b.c.1 。
b. 启动后运行下面的命令或者放入/etc/rc.d/rc.local
ip route del a.b.c.0/28 dev eth0

ip route add a.b.c.1 dev eth0

echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

echo 1 > /proc/sys/net/ipv4/ip_forward


最后当你运行ip route命令时你应该看到类似下面的输出。

a.b.c.1 dev eth0 scope link
a.b.c.0/28 dev eth1 proto kernel scope link src a.b.c.2
127.0.0.0/8 dev lo scope link
default via a.b.c.1 dev eth0

c. 我从防火墙F ping DMZ区的所有机器和路由器，再确保你能从web,DNS上能够ping路由器，
如果你是后来添加的透明防火墙，你可能要等一段长的时间让路由器知道现在你在用代理ARP，
最终路由器会清除自身的ARP cache的，如果可能，关掉路由器电源再打开以使更快地清除ARP cache.

d. 不同的Linux 内核响应新的ARP cache的时间不同，用Linux 2.4内核比较快。

e. 当然你也可以在透明防火墙F两端用不同的IP地址。


五: 其它应用


下面是另一种情况的代理ARP应用。

在公司局域网上，有两台数据库服务器你需要单独保护，你可以添加一个透明防火墙，同样不需要改动任何现有的IP地址设置，类似上面的道理，如下图。




        ip:192.168.1.201



        gw:192.168.1.1



        | database1 |         ____                  ___

              |__________eth1| F2 |eth0____________|F1 | 公司防火墙   

              |              |____|                |___| 192.168.1.1

        | database2 |   内部代理ARP防火墙



       ip:192.168.1.202

       gw:192.168.1.1




设置步骤如下：
1. 为F2两端设置相同的IP为192.168.1.200,默认网关为192.168.1.1

2. 启动后运行
ip route del 192.168.1.0/24 dev eth1

ip route add 192.168.1.201 dev eth1
ip route add 192.168.1.202 dev eth1

echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

echo 1 > /proc/sys/net/ipv4/ip_forward

3. 保证从database服务器能ping通代理ARP防火墙另一端的服务器，然后开始在F2上设置具体的防火墙规则。

原文地址 http://www.linuxforum.net/docnew ... n=4&type=thread