Neste fim de semana, eu estava testando uma nova conexão de link de dados de um provedor de serviços e passei por alguns problemas de resolução de endereços.
Eu testei a acessibilidade para hosts na extremidade usando um laptop do meu lado com alguns parâmetros de rede fornecidos pelo ISP.
Então, quando eu o configurei em um NIC disponível no meu UTM, os mesmos hosts não estavam acessíveis. Depois de confirmar que minha configuração de roteamento foi configurada corretamente, comecei a cheirar com tcpdump
e descobrir que as solicitações ARP do meu UTM do linux ( arp who-has
) para o primeiro salto do outro lado não estavam obtendo uma resposta. Então, uma entrada <incomplete>
para seu endereço IP foi criada na tabela ARP do meu UTM.
Como uma solução temporária, adicionei uma entrada permanente à tabela ARP do meu UTM através de arp -a
.
Eu descobri que o host que não está respondendo às minhas solicitações arp é um roteador Cisco ( Cisco 7600 router (IOS 12.2)
de acordo com o recurso de detecção do nmap OS).
Qual pode ser a causa raiz deste problema?
- Algum tipo de configuração de ACL no ARP do roteador? (Meu laptop obteve a resolução ARP)
- Algum
arp_filter
não permitindo responder a endereços de outras sub-redes / NAT Obrigatório?
- Uma entrada temporal para o meu laptop na tabela ARP do roteador e proteção contra falsificação ativada quando configurei o mesmo endereço no meu UTM?.
- Uma solicitação ARP malformada? (Eu não estou tendo esse problema com meus outros links de dados no mesmo UTM)
- Uma resposta ARP "não compreensível" enviada ao meu UTM?
- Alguma outra pessoa?
A máscara de rede para o link de dados é /30
, portanto, há apenas dois hosts capazes de responder à solicitação arp (meu UTM e o roteador)
ATUALIZAÇÃO:
Responder ao meu ISP:
We do have security policies applied, but at MAC address level, for
the case of the access port (Gi7/3) we have a maximum of 10 Mac
allowing traffic for that port, and the log has registered 4 entries
to this date, thus ensuring that security action (Restrict) has not
yet been activated.
Eu atualizei o hardware do meu UTM para obter mais NICs disponíveis. Nessa atualização, uma alteração de endereço MAC para minha NIC recebendo o link de dados estava envolvida, mas o comportamento era o mesmo, sem uma entrada de arp estática, eu não sou capaz de enviar pacotes para o roteador cisco.