subject:"\[FRnOG\] \[TECH\] Linux et ARP"

Re: [FRnOG] [TECH] Linux et ARP

2016-06-08 Par sujet David Ponzone

Ouais, je mets ça dans ma TODO pour 2025 :)


> Le 8 juin 2016 à 11:11, Julien Escario  a écrit :
> 
> Le 07/06/2016 20:41, David Ponzone a écrit :
>> Quelqu'un saurait me dire pourquoi sur un Linux type Debian, arp_ignore=2 
>> n'est pas la valeur par défaut ?
>> La valeur par défaut à 0 me semble bien délicate dans certains cas, comme 
>> quand on fait du iSCSI multipath, et j'ai du mal à voir dans quel cas, à 
>> part des cas tordus, on en a besoin.
> 
> 
> Sinon en ipv6, y'a plus d'ARP
> 
> 
> Ceci dit, iSCSI MP en ipv6, ça ne doit pas être supporté par la moitié des
> implémentations.
> 
> Julien
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Linux et ARP

2016-06-08 Par sujet Julien Escario

Le 07/06/2016 20:41, David Ponzone a écrit :
> Quelqu'un saurait me dire pourquoi sur un Linux type Debian, arp_ignore=2 
> n'est pas la valeur par défaut ?
> La valeur par défaut à 0 me semble bien délicate dans certains cas, comme 
> quand on fait du iSCSI multipath, et j'ai du mal à voir dans quel cas, à part 
> des cas tordus, on en a besoin.


Sinon en ipv6, y'a plus d'ARP


Ceci dit, iSCSI MP en ipv6, ça ne doit pas être supporté par la moitié des
implémentations.

Julien




smime.p7s
Description: Signature cryptographique S/MIME

Re: [FRnOG] [TECH] Linux et ARP

2016-06-07 Par sujet David Ponzone

Ton point de vue se défend, et il est vrai que c’est peut-être mon cas de 
figure qui est particulier.

Histoire de clôturer le sujet, pour ceux que ça intéresse, arp_ignore=1 ou 2 
est recommandé si vous avez des interfaces multiples dans des subnets 
différents vers un SAN type FreeNAS.


> Le 7 juin 2016 à 21:19, Vincent Bernat  a écrit :
> 
> ❦  7 juin 2016 20:41 CEST, David Ponzone  :
> 
>> Quelqu'un saurait me dire pourquoi sur un Linux type Debian,
>> arp_ignore=2 n'est pas la valeur par défaut ?  La valeur par défaut à
>> 0 me semble bien délicate dans certains cas, comme quand on fait du
>> iSCSI multipath, et j'ai du mal à voir dans quel cas, à part des cas
>> tordus, on en a besoin.
> 
> C'est cohérent avec la pratique de Linux d'accepter les connexions
> indépendamment de l'interface d'arrivée sans avoir besoin d'activer le
> routage. Perso, je trouve qu'il y a pas mal d'aspects pratiques à cette
> façon de faire. On a toujours pu faire du unnumbered par exemple.
> 
> Il faut juste faire gaffe si on a des adresses en loopback que l'on ne
> veut pas faire apparaître, par exemple une VIP inactive (dans le cas du
> direct routing). Dans ce cas, on modifie aussi souvent arp_announce car
> le routeur en face n'aime pas non plus avoir des requêtes ARP d'une IP
> qui n'est pas dans le subnet.
> 
> La politique de Debian est de ne pas changer les réglages choisis par le
> noyau. Ubuntu choisit par contre des valeurs plus "sécurisées"
> (activation du rp_filter par exemple).
> -- 
> Make your program read from top to bottom.
>- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Linux et ARP

2016-06-07 Par sujet Vincent Bernat

 ❦  7 juin 2016 20:41 CEST, David Ponzone  :

> Quelqu'un saurait me dire pourquoi sur un Linux type Debian,
> arp_ignore=2 n'est pas la valeur par défaut ?  La valeur par défaut à
> 0 me semble bien délicate dans certains cas, comme quand on fait du
> iSCSI multipath, et j'ai du mal à voir dans quel cas, à part des cas
> tordus, on en a besoin.

C'est cohérent avec la pratique de Linux d'accepter les connexions
indépendamment de l'interface d'arrivée sans avoir besoin d'activer le
routage. Perso, je trouve qu'il y a pas mal d'aspects pratiques à cette
façon de faire. On a toujours pu faire du unnumbered par exemple.

Il faut juste faire gaffe si on a des adresses en loopback que l'on ne
veut pas faire apparaître, par exemple une VIP inactive (dans le cas du
direct routing). Dans ce cas, on modifie aussi souvent arp_announce car
le routeur en face n'aime pas non plus avoir des requêtes ARP d'une IP
qui n'est pas dans le subnet.

La politique de Debian est de ne pas changer les réglages choisis par le
noyau. Ubuntu choisit par contre des valeurs plus "sécurisées"
(activation du rp_filter par exemple).
-- 
Make your program read from top to bottom.
- The Elements of Programming Style (Kernighan & Plauger)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Linux et ARP

2016-06-07 Par sujet David Ponzone

Quelqu'un saurait me dire pourquoi sur un Linux type Debian, arp_ignore=2 n'est 
pas la valeur par défaut ?
La valeur par défaut à 0 me semble bien délicate dans certains cas, comme quand 
on fait du iSCSI multipath, et j'ai du mal à voir dans quel cas, à part des cas 
tordus, on en a besoin.

David Ponzone



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Linux et ARP

Re: [FRnOG] [TECH] Linux et ARP

Re: [FRnOG] [TECH] Linux et ARP

Re: [FRnOG] [TECH] Linux et ARP

[FRnOG] [TECH] Linux et ARP

5 matches

Site Navigation

Mail list logo

Footer information