Por que algum container pode pingar uma interface do host que não está dentro da mesma lan?

Question

Por que algum container pode pingar uma interface do host que não está dentro da mesma lan?

#1 resposta do (2 votos)

0

Eu tenho um contêiner lxc com eth0 e ip 172.17.0.2/16. O host tem uma ponte br0 com 172.17.0.1/16. Ambos podem pingar uns aos outros. Além disso, o host tem uma vpn wg0 e ip 172.16.0.1/16. Se eu pingar de dentro do container para o vpn eu recebo:

# ping 172.16.0.1 PING 172.16.0.1 (172.16.0.1) 56(84) bytes of data. 64 bytes from 172.16.0.1: icmp_seq=1 ttl=64 time=0.051 ms

Por que isso? Eu não esperava nenhuma conexão entre as duas interfaces como encaminhamento e o NAT não está habilitado.

networking lxc linux

por user1587451 12.04.2018 / 20:12

1 resposta

Tags networking lxc linux

Caminho universal para o Chrome nos sistemas * nix? Como determinar o nome da entrada sources.list para um pacote específico de packages.debian.org?

score 2 · Accepted Answer

A menos que eu esteja enganado, todos os endereços locais (os que pertencem ao host) reagirão a um ping de qualquer interface. Não é uma questão de encaminhamento, é uma questão de reconhecer o endereço de destino como um dos locais.

Você pode testar isso com tcpdump e não esperaria que nenhum pacote fosse exibido em wg0 . Você também pode testar fazendo ping de algum outro host em 172.16.0.0/16 e não deverá obter resposta. Outro teste é usar ip addr add ... para adicionar alguns outros endereços a wg0 (ou qualquer outra interface) e ver se você pode executar o ping deles depois que eles forem adicionados.