Bonjour David,
Ce sont bien des machines linux (le routeur aussi)
Je connaissais bien la méthode pour désactiver les icmp_redirect, et
usuellement ça fait même partie de mon script d'install.
(parce que ça m'était déjà arrivé il y a plusieurs années)
Simplement ça n'avait pas été fait sur ces serveurs là.
Je confirme que changer d'IP m'aurait évité des déboires mais le routeur
cumulait d'autres fonctions que je n'avais pas envie de reproduire sur
la passerelle temporaire.
Ma question est plus de l'ordre du théorique :
1) Pourquoi ça existe ?
2) En pratique, dans quelle situation est-réellement utile ?
La seule situation à laquelle je peux penser est d'éviter un
aller-retour inutile sur un même segment.
Mais ça signifie qu'il y a soit une erreur dans les règles de routage et
que c'est un cache-misère soit que c'est fait exprès et qu'alors il
faudrait justement éviter d'apporter des corrections automatiques à une
situation qui est voulue par l'admin.
3°) Pourquoi est-ce activé par défaut ? Cette fonctionnalité n'est-elle
pas intrinsèquement une faille de sécurité ?
4°) Dans la mesure où il s'agit d'un contournement des règles de routage
"normales", pourquoi la durée du cache est-elle si longue ? (plus de
quelques secondes)
On 18/11/2015 22:23, David Ponzone wrote:
Pour ne pas prendre en compte les redirect sur Linux:
http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html
<http://linuxpoison.blogspot.fr/2010/01/how-to-disable-icmp-redirects-in-linux.html>
Pour comprendre l’algo d’expiration du cache des routes de Linux (bon courage):
http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html
<http://vincent.bernat.im/fr/blog/2011-ipv4-route-cache-linux.html>
:)
Ca aurait été plus simple pour toi de déplacer l’IP d’un routeur vers l’autre.
Le cache ARP est lui rafraichi de manière prévisible par Linux.
Ptet même par Windows.
Le 18 nov. 2015 à 20:19, Pierre Colombier <pcdw...@pcdwarf.net> a écrit :
Bonjour la liste,
suite à un lien mort, j'ai demandé à mon routeur de tout rediriger vers une
passerelle temporaire située dans le même segment.
ça m'évitait de changer la route par défaut sur tout mes serveurs.
Retour à la normal, pas de bol, tous mes serveurs continuent de passer par la
passerelle temporaire.
Je viens de passer une heure en debug et à virer les route icmp_redirect....
Alors je ne suis peut-être pas totalement objectif rapport au temps que je
viens de perdre mais en fait, icmp_redirect, ça sert à quoi ? (à part foutre la
merde) ?
j'ai l'impression qu'au mieux c'est un pansement sur une jambe de bois. Et
qu'au pire c'est... enfin pire quoi....
Quelqu'un a des info/doc sur pourquoi ce truc existe et surtout pourquoi il
n'est pas désactivé par défaut ?
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
