稲垣
tadas****@gmail*****
2010年 2月 8日 (月) 12:41:42 JST
立石様 稲垣です。 早速のご回答ありがとうございます。 > web01, web02 のデフォルトゲートウェイの設定が、UMを向いている > ことをもう一度確認し web01 # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 172.31.208.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 default 172.31.208.181 0.0.0.0 UG 0 0 0 eth0 web02 # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 172.31.208.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 default 172.31.208.181 0.0.0.0 UG 0 0 0 eth0 > UM が web01 に > ICMP リダイレクトをweb01, web02 に送ってルータの変更を指示し > ている可能性があります(port 80 をつけずにキャプるとICMP > Redirectのパケットが流れていませんか?)。 web01、web02からグローバルに向けてpingしたらRedirectされておりました。 /etc/sysctl.confの以下項目が怪しいなとは思って調べております。 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 現状動作確認できておりませんので、出来次第ご報告致します。 以上、宜しくお願いします。 TATEISHI Katsuyuki さんは書きました: > 立石です。 > > 稲垣 <tadas****@gmail*****>-san wrote: > > >> NW図、tcpdumpともに(b)のものになります。 >> > > 了解です。 > > クライアントが接続開始要求(SYN)に対するリアルサーバからの返 > 答(SYN+ACK)を受け取れていないようです。(SYNを何度も送ってき > ていることからこれは確実) > > おかしなところは web01 からクライアント a.b.c.d へ返すパケッ > トのHWアドレスで、本来 UM の eth0 のハードウェアアドレスになっ > てなければいけませんが、Routerのものと思われるHWアドレスをつ > けて送信されています(これも事実)。 > > 結果としてUMを通らないので、返信パケットのソースアドレスを書 > き換えできず(つまりリアルサーバのIPアドレスが隠せていない)ク > ライアントはパケットを捨てているはずです(これは予想)。 > > web01, web02 のデフォルトゲートウェイの設定が、UMを向いている > ことをもう一度確認し、間違いがないのであれば、UM が web01 に > ICMP リダイレクトをweb01, web02 に送ってルータの変更を指示し > ている可能性があります(port 80 をつけずにキャプるとICMP > Redirectのパケットが流れていませんか?)。 > > この場合UMがICMPリダイレクトを送らないように設定(*1)してみて > ください。 > > *1 たぶん挙動を操作するkernelパラメータがありそうな気がしま > す。なければ iptables などを使って無理やり止めるとか。 > > -- > TATEISHI Katsuyuki <tatei****@oss*****> >
UltraMonkey-L7
Fork