[bos9]

NAS раздает по pptp белые адреса. Соответственно, если у абонента отключено соединение, то паразитный трафик на его белый ip улетает обратно на бордер (через дефаулт роут), опять на NAS, обратно на бордер и так пока TTL не кончится... все на pc linux, маршрутизация статическая. Подскажите решение. ospf вроде тоже не поможет, так как тогда петля будет между бордером и аплинком. Ведь аплинк не знает, что у нас пропал маршрут к данному хосту.

[EvilShadow]

ospf вроде тоже не поможет, так как тогда петля будет между бордером и аплинком. Ведь аплинк не знает, что у нас пропал маршрут к данному хосту.

Аплинку этого и не нужно знать. Абонент отключился, туннель пропал, бордер по ospf больше не получает сведений о том, куда надо роутить этот трафик. Соответственно, роутить никуда не будет => петель не будет.

[YuryD]

на насе прописать маршрут сетки реальных ip на loopback с большой метрикой

[bos9]

на насе прописать маршрут сетки реальных ip на loopback с большой метрикой

 

попробовал, пакет опять же гуляет по лупбэку до скончания ттл. вот если бы его дропнуть через /dev/null аля циско...

[bos9]

нашел решение:

 

ip route add unreachable X.X.X.X/Y metric 100

[Giga-Byte]

это делается запрещением на бордере фаерволлом выход пакетов в мир на ваши адреса

тоесть типа

deny to MY_NETWORKS out via UP_LINK

[Nickuz]

может тогда логичнее их дропнуть уже на аплинке НАСа?

[blackjack]

это делается прописанием маршрута в блэкхол

так

ip route a.b.c.d/ef null 0

или так

route add -net a.b.c.d/ef -iface lo0 -blackhole

 

на ориджин сервере

Изменено 19 июня, 2011 пользователем blackjack

[bos9]

Столкнулся со следующей проблемой:

при добавлении следующего маршрута ip route add unreachable X.X.X.X/Y metric 100, либо если остутствует дефаулт роут на бордере (т.е. бордер по факту не знает маршрута к нашим не используемым адресам) медленно, но верно переполняется ip_dst_cache.