Estou configurando um teste IPS bem básico e imaginando se uma interface em um host pinga uma interface com um endereço IP diferente (da mesma rede) no mesmo host, responderá? Ele responderá às solicitações ARP?
Eu tenho uma configuração onde uma caixa de linux tem duas interfaces
Cada um deles está conectado a uma interface IPS (Intrustion Prevention Sensor) configurada como um par. Na verdade, eth1 está conectado diretamente a eth2. Nenhum modo de detecção está ativado.
O TCPDUMP é executado no IPS e na eth2.
se eu enviar um ping de eth1 para eth2 pelo comando
ping -I eth2 192.168.1.29.
Mostra o destino não acessível.
TCPDUMP no IPS mostra que o pacote está fluindo. O TCPDUMP na eth2 mostra que os pacotes arp são recebidos, mas a eth2 não envia resposta.
É porque o ip de origem do pacote arp é do mesmo host? Existe alguma maneira de forçar a eth2 a responder ao arp?
A eth2 não envia uma resposta mais provável porque está sendo enviada pela eth1. Não é necessariamente o caso que uma resposta ARP deve ser enviada da mesma interface da qual foi recebida. Acredito que isso seja conhecido como "ARP flux" e você pode encontrar uma solução para isso aqui: link
Tags networking interface arp