bos9 Опубликовано 9 июня, 2011 · Жалоба NAS раздает по pptp белые адреса. Соответственно, если у абонента отключено соединение, то паразитный трафик на его белый ip улетает обратно на бордер (через дефаулт роут), опять на NAS, обратно на бордер и так пока TTL не кончится... все на pc linux, маршрутизация статическая. Подскажите решение. ospf вроде тоже не поможет, так как тогда петля будет между бордером и аплинком. Ведь аплинк не знает, что у нас пропал маршрут к данному хосту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 9 июня, 2011 · Жалоба ospf вроде тоже не поможет, так как тогда петля будет между бордером и аплинком. Ведь аплинк не знает, что у нас пропал маршрут к данному хосту. Аплинку этого и не нужно знать. Абонент отключился, туннель пропал, бордер по ospf больше не получает сведений о том, куда надо роутить этот трафик. Соответственно, роутить никуда не будет => петель не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 июня, 2011 · Жалоба на насе прописать маршрут сетки реальных ip на loopback с большой метрикой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 9 июня, 2011 · Жалоба на насе прописать маршрут сетки реальных ip на loopback с большой метрикой попробовал, пакет опять же гуляет по лупбэку до скончания ттл. вот если бы его дропнуть через /dev/null аля циско... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 9 июня, 2011 · Жалоба нашел решение: ip route add unreachable X.X.X.X/Y metric 100 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 16 июня, 2011 · Жалоба это делается запрещением на бордере фаерволлом выход пакетов в мир на ваши адреса тоесть типа deny to MY_NETWORKS out via UP_LINK Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 17 июня, 2011 · Жалоба может тогда логичнее их дропнуть уже на аплинке НАСа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackjack Опубликовано 19 июня, 2011 (изменено) · Жалоба это делается прописанием маршрута в блэкхол так ip route a.b.c.d/ef null 0 или так route add -net a.b.c.d/ef -iface lo0 -blackhole на ориджин сервере Изменено 19 июня, 2011 пользователем blackjack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 1 июля, 2011 · Жалоба Столкнулся со следующей проблемой: при добавлении следующего маршрута ip route add unreachable X.X.X.X/Y metric 100, либо если остутствует дефаулт роут на бордере (т.е. бордер по факту не знает маршрута к нашим не используемым адресам) медленно, но верно переполняется ip_dst_cache. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...