[Comm] проблемы после поднятия bridge

[Sergey Vlasov]

On Thu, Oct 22, 2009 at 03:19:27PM +0400, Andrew Clark wrote:
> On 22.10.2009 14:22, Sergey Vlasov wrote:
> > Обычно в подобных случаях STP только мешает, как и задержка после
> > поднятия интерфейса:
> >
> > stp AUTO off
> > setfd AUTO 0
> >   
> Я создавал бридж для VirtualBox.
> Делал согласно рекомендациям в вики:
> http://www.altlinux.org/Etcnet#.D0.9A.D0.B0.D0.BA_.D0.BD.D0.B0.D1.81.D1.82.D1.80.D0.BE.D0.B8.D1.82.D1.8C_Ethernet-.D0.BC.D0.BE.D1.81.D1.82

Ситуации бывают разные; иногда нежелательно, чтобы пакеты STP выходили
во внешнюю сеть.

> > Назначать собственные IP-адреса интерфейсам, собираемым в мост, не
> > нужно - все IP переносятся на интерфейс моста, как и маршруты.
> >   
> Вообще адреса не назначать?

На интерфейс tap при использовании моста - не нужно, только на br0
(или как назвали мост).

> man tunctl не слишком подробен. Спасибо за информацию.

Так у tunctl вся функция - указать пользователя, которому разрешено
использовать устройство; тип tap в tunctl прибит гвоздями, другие
флаги интерфейса tap задаются окончательным его пользователем,
остальные настройки такие же, как у всех сетевых интерфейсов.

Пример конфигурации, который приводится в man tunctl - это некая
"недомаршрутизация" через proxy ARP, в этом случае мост вообще не
нужен (на внешнем интерфейсе хост отвечает на запросы ARP для
гостевого IP из-за явно добавленной в таблицу записи с внешним MAC
хоста и IP гостевой системы; на внутреннем интерфейсе tap выставлен
флаг proxy-arp - опять-таки хост отвечает со своим MAC, назначенным
для интерфейса tap; далее пакеты маршрутизируются обычным образом с
учётом явно прописанного маршрута для гостевого IP; требуется
net.ipv4.ip_forward=1).

Кстати, при использовании моста могут быть не совсем очевидные грабли
с iptables: параметр sysctl net.bridge.bridge-nf-call-iptables по
умолчанию установлен в 1 - это означает, что трафик, проходящий через
мост, также обрабатывается правилами iptables.  Необходимо либо писать
правила с учётом использования моста, либо отключить вызовы iptables
из bridge-nf (там же рядом ещё есть arptables и ip6tables).  А вот
net.ipv4.ip_forward в этом случае можно оставить и в 0 (если 1 не
требуется для других целей) - на работу моста эта настройка не влияет.

> > Настройки IP опять не на месте.
> Почему?
> [andy на timelock ~]$ cat eth0/ipv4address
> 192.168.1.2/24
> 
> [andy на timelock ~]$ cat eth0/ipv4route
> default via 192.168.1.1

Если eth0 включается в мост, все IP переносятся на мост, что, кстати,
написано даже в тех же рекомендациях на вики.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20091022/d412d139/attachment-0001.bin>