Acessando um servidor com IP incorreto fora do intervalo do segmento

Navegue suas respostas
2

Eu me deparei com um problema semelhante em esta pergunta sobre um IP incorreto na LAN . No entanto, o truque de alias de addr padrão na NIC não ajudou. Não tenho acesso direto ao console do servidor, posso ter acesso físico em uma semana ou mais se tiver sorte, mas espero encontrar um jeito mais rápido.

Eu posso arping o servidor (Linux) no endereço 10.0.0.1 de um servidor (Linux, com IP $MY_IP ) no (supostamente) o mesmo segmento L2 e ele responde com o $TARGET_MAC que é o correto e MAC esperado para esse servidor 

root@host:~# arping -c 3 -I $IFACE 10.0.0.1
ARPING 10.0.0.1 from $MY_IP $IFACE
Unicast reply from 10.0.0.1 [$TARGET_MAC]  0.746ms
Unicast reply from 10.0.0.1 [$TARGET_MAC]  0.796ms
Unicast reply from 10.0.0.1 [$TARGET_MAC]  0.807ms
Sent 3 probes (1 broadcast(s))
Received 3 response(s)

Escondi meus IPs e MACs, pois essas máquinas são acessíveis publicamente.

Se eu adicionar um alias de endereço para essa interface, ainda posso arping o destino, mas não consigo fazer o ping. Nenhuma outra interface tem o intervalo 10.0.0.0/24, falha mesmo com ping -I $IFACE . 

root@host:~# ip addr add 10.0.0.2/24 dev $IFACE
root@host:~# arping -c 3 -I $IFACE 10.0.0.1
ARPING 10.0.0.1 from 10.0.0.2 $IFACE
Unicast reply from 10.0.0.1 [$TARGET_MAC]  0.788ms
Unicast reply from 10.0.0.1 [$TARGET_MAC]  0.766ms
Unicast reply from 10.0.0.1 [$TARGET_MAC]  0.794ms
Sent 3 probes (1 broadcast(s))
Received 3 response(s)
root@host:~# ping -c 3 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.

--- 10.0.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2015ms

O servidor de destino escuta as conexões SSH, mas o ssh não passará por 

root@host:~# ssh -vvv 10.0.0.1
OpenSSH_6.7p1 Debian-5, OpenSSL 1.0.1k 8 Jan 2015
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 10.0.0.1 [10.0.0.1] port 22.
debug1: connect to address 10.0.0.1 port 22: Connection timed out
ssh: connect to host 10.0.0.1 port 22: Connection timed out

Eu tentei forçar o alvo a atualizar sua tabela ARP enviando pacotes ARP REPLY, mas isso não pareceu ajudar. 

root@host:~# arping -A -c 3 -s 10.0.0.2 -I $IFACE 10.0.0.1
ARPING 10.0.0.1 from 10.0.0.2 $IFACE
Sent 3 probes (3 broadcast(s))
Received 0 response(s)
root@host:~# ping -c 3 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.

--- 10.0.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Há uma pequena chance de haver algum componente L3, porque o servidor enviou-me atualizações por email ( apt-listchanges output), mas os cabeçalhos de email contêm um IP atribuído a algum switch, mas o nome do host nos cabeçalhos era correto (o nome do host do alvo). Outros administradores me disseram que deveria estar no mesmo segmento L2 e arping parece sugerir isso. Existem outras maneiras de descartar componentes L3?

O objetivo é estabelecer uma conexão SSH com o servidor de destino para que eu possa corrigir o problema.

    
por Ondřej Grover 08.10.2015 / 09:36

1 resposta

2

Aparentemente, você está no mesmo segmento de ethernet L2, usando os IPs 1 e 2 no mesmo intervalo. Posso pensar em duas razões pelas quais isso não funcionaria:

  • O servidor com IP 10.0.0.1 tem algum tipo de filtragem de camada 3 ativa (provavelmente IPTable) e descarta os pacotes ICMP que você está enviando, apesar de tudo estar configurado corretamente para que funcione do ponto de vista da rede. Tente outros probes ( ssh , telnet , http ou qualquer serviço de rede que esteja escutando no servidor).
  • Por alguma razão, seus ping probes não estão saindo pelo $ IFACE (por exemplo, se o mesmo intervalo de IP também estiver configurado em outra interface). Tente usar ping -i $IFACE
por 08.10.2015 / 14:36

Tags

Postfix header_checks não está funcionando O que é o grupo global “pai”?