Hallo
Ich verwende IBM-AIX und hatte auch das selbe Routing-Problem.
(heißt dieses Forum wirklich LINUX ???)
Der UNIX-Rechner steht im LAN zusammen mit einem Router und einer Firewall.
Als Default-Gateway ist der Router definiert.
Weitere statische Routen haben wir nicht angelegt.
Sobald ich nun ein Ping auf einen Rechner hinter der Firewall (10.100.4.1) gemacht habe, wurden am UNIX-Rechner automatisch zwei dynamische Routen hinzugefügt.
Eine Route auf die gepingte IP_Adresse (10.100.4.1) und eine Route auf das gesamte Netz (10.0.0.0) .
Beide Routen hatten als Gateway die Firewall eingetragen.
Prinzipiell ist das ja nicht ganz falsch, denn so lernt der UNIX_Rechner automatisch, welche IP-Adressen er zu welchen Router schicken soll. Im Normalfall werden damit ein paar Hops gespart, denn beim nächsten ping auf 10.100.4.1 verwendet der UNIX-Rechner gleich direkt die Firewall als Gateway ohne über den Default-Router zu gehen.
Das Problem dabei war aber, das wir nicht alle 10.* IP_Adressen über diese eine Firewall routen. Durch die gelernte Route schickte der UNIX-Rechner aber alle Pakete für 10.* auf die Firewall. So konnten aber die anderen 10er-Subnetze nicht mehr erreicht werden.
Gelöst haben wir das Problem jetzt durch eine Einstellung am default-Router des UNIX_Rechners
Dort haben wir jetzt als Option zum Ethernet-Interface
"NO IP REDIRECT" angegeben.
Damit schickt der Router keine dynamischen Routen mehr zum UNIX_Rechner.
Das hat zur Folge, das alle nicht lokalen Pakete zum Default-Router geschickt werden und dann von diesem entsprechend weitergeroutet werden.
Eine ähnliche Einstellung im UNIX - sowas wie "akzeptiere keine dynamischen Routen" habe ich aber (noch) nicht gefunden.
mfg Gerald
|