Почему сетевой стек игнорирует ответы icmp от интерфейса не по умолчанию?
На стойках я настроил, я не беспокоился руками. Не было достаточных ситуаций, где мы должны были вытащить рабочий сервер для гарантирования установки их. Мы просто удостоверились, что кабели были аккуратны, и было легко отключить все кабели с сервера, если мы должны были вытащить его.
Однако мы приняли управление другим сайтом, которому действительно настраивали руки, и я должен признать, что было хорошо иметь их при работе над теми серверами. Остальная часть кабельных соединений была путаницей, так отключение сервера было стычкой и способностью выдвинуть сервер, открыть его для проверки то, что было внутри, и затем скользите, это назад было легче, чем отключение.
Благодаря Rafał Ramocki - решение просто - необходимо выключить rp_filter-луг в интерфейсе eth2:
echo 0 > /proc/sys/net/ipv4/conf/eth2/rp_filter
Из документов ядра:
rp_filter
---------
Integer value determines if a source validation should be made. 1 means yes, 0
means no. Disabled by default, but local/broadcast address spoofing is always
on.
If you set this to 1 on a router that is the only connection for a network to
the net, it will prevent spoofing attacks against your internal networks
(external addresses can still be spoofed), without the need for additional
firewall rules.
В то время как хороший для предотвращения спуфинга нападает (по крайней мере некоторые), это определенно уничтожает некоторую функциональность, если у Вас есть больше интернет-соединений.