关于neighbour table overflow的详细描述，请各位帮忙！

eddie

我现在的现象是，有个东软的防火墙，Neteye 4032，工作在路由模式，使用NAT上Internet，最近发现console总是报错：neighbour table overflow，XXX　messages suppressed，而且出现这个的时候，ping 外网网关都会丢包，查了下google，大致是arp表满了，于是我是把下面的参数改大了：
echo 1280 >; /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo 5120 >; /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 10240 >; /proc/sys/net/ipv4/neigh/default/gc_thresh3
结果还是一样。
用ARP　－A　查看，IP全是非本网段的地址，MAC都是一个－－就是外网的网关的MAC，有几千条。。。

不能否认的是，内网的攻击佷严重，经常有病毒和BT。。。我想这是造成ARP满的原因吧，我现在无法解决内网的攻击，因为量太大，只能从防火墙上着手。

我查到下面的文档，虽然有点老了：http://cmpp.linuxforum.net/cman-html/man7/arp.7.html
....
如果 Linux 接到一个地址请求，而且该地址指向 Linux 转发的地址，并且接收接口打开了代理 arp 时，Linux 将自动添加一条非永久的代理 arp 记录；如果存在拒绝到目标的路由，则不添加代理 arp 记录。
....
佷明显，防火墙打开了代理ARP，（是不是arp proxy？I'm not sure ....）

我的疑惑是：1、防火墙需要ARP表做什么？尤其是非本网段的地址，有用吗？
经过我的实际测试，如果用ifconfig eth2 -arp关闭外网网卡的arp功能，然后添加一条到外网网关的静态ARP记录，外网是不会通的。。。到底是怎么工作的？
2、怎么解决这个问题呢？一味加大ARP　TABLE也不是办法，减少刷新时间也不是什么好法子，如果能从源头上控制，我也不用这么犯愁了

还请各位帮我想想办法！谢谢了先。。。。

eddie

自己顶起来－－高手冒出来~~

guanwg

观注中，我也有同样的问题，RH AS3  ，
我是改成
1024
2048
4096
暂时无问题，不知道根本的解决方法是什么

eddie

我现在基本上不出那个neighbour table overflow了，但是还是有问题。。。打开一个网页，经常会有出不来的情况，如果再刷一遍，就出来了，说明ARP表调大了后还是存在问题的，如果不是ARP响应慢，就是问题还是没解决！

另外，在防火墙上ping 外网的网关，还是会掉包。。。基本上达到了15%，情况还是没有改善!!!难道不仅仅是ARP表的问题？！

神啊，救救我啊~~~到底是什么问题啊？

q1208c

一般的理解, arp 广播是在 二层的, 也就是说不会出到一个子网之外. 楼主说你的 arp 表有几千条, 不知道是哪类的子网. 按我个人的理解, 极少有人直接用A类子网, 那最多是B类子网, 也就差不多是 2**16 的地址. 但更一般的是 C类子网, 也就是 2**8 = 256 个地址. 这样的ARP是不会有什么问题的.

另, proxy arp 是在做 NAT时用到的, 如果楼主没有那么多的IP可用, 可以关掉proxy arp, 然后手工加上 arp 试试.

eddie

谢谢，终于有人理我了啊！！！

我的墙就是做的NAT。。。上面说了
另外：经过我的实际测试，如果用ifconfig eth2 -arp关闭外网网卡的arp功能，然后添加一条到外网网关的静态ARP记录，能ping 到外网网关，但是上不了其他任何地址了。

双眼皮的猪

很遗憾,我看到过很多人遇见过这类问题.但好象都没有根本解决过...

jackylau

两年前我的也是出现过这种情况。好像可以加大内存吧？试试。

bend

这个问题，我也遇到过，关注中。。。。