Jump to content

ARP Spoofing erlauben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich müsste auf einem vSwitch Hyper-V 2012 R2 ARP Spoofing erlauben.

Ich weiß, dass es eine Sicherheitslücke ist, aber wir brauchen es.

 

Gefunden habe ich bis jetzt nur folgende Anleitung:

 

http://blogs.technet.com/b/wincat/archive/2012/11/18/arp-spoofing-prevention-in-windows-server-2012-hyper-v.aspx

 

Da geht aber leider nicht.

 

Es muss auch am vSwitch liegen, denn wenn ich im gleich IP Subnet mit einem Linux Client teste funktioniert der Zugriff.

 

Hintergund: Wir haben einen Linux LB mit einer VIP von einem anderen Netz. Die Realserver stehen aber im gleichen Netz wie die VMs.

 

Gibts noch eine andere Möglichkeit ARP Spoofing zu erlauben?

 

Gruß

Yoda

Edited by Yoda
Link to post

Hi,

 

danke für die Antwort.

 

 

Ansonsten zusätzlich mal das MAC Spoofing für die vNIC der VM erlauben.

 

Wenn du damit den Punkt "Enable MAC address spoofing" unter den Advanced Features in der vNIC meinst, dann ist das auch nicht die Lösung.

Bekommen trotztdem keinen Ping zurück. Ping sollte gehen. Gibt keine Firewall dazwischen.

 

Hab auch die Änderungen in dem von mir genannten Link wieder rückgängig gemacht.



Hallo,

 

Thema ist geklärt.

Es lag noch am Linux LB. Dort musste noch eine Einstellung gemacht werden, um ARP Spoofing zu deaktiveren.

 

Gruß

Yoda

Link to post

Hi,

 

gerne.

 

Loadbalancer: Linux mit LVS

Cluster IP auf bond0: 172.16.0.30

RealIPs Server über bond1: 172.17.0.8 - 12

Client IP über bond1: 172.17.0.40

 

Auf dem LB mussten folgende folgende Settings mit sysctl -w gestezt werden.

 

net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.eth1.rp_filter = 0
net.ipv4.conf.eth2.rp_filter = 0
net.ipv4.conf.eth3.rp_filter = 0
net.ipv4.conf.eth4.rp_filter = 0
net.ipv4.conf.eth5.rp_filter = 0
net.ipv4.conf.tunl0.rp_filter = 0
net.ipv4.conf.bond0.rp_filter = 0
net.ipv4.conf.bond1.rp_filter = 0
 

Damit haben wir dann das ARP Spoofing deaktiviert und der Client konnte über die Cluster IP mit den Real Server kommunizieren.

 

Gruß

Yoda

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...