ПОМОГИТЕ!!!!! Как защитить роутер от автоматической генерации Mac?

Привет, у меня такая же проблема. Когда пингуешь IP, который недействителен, роутер добавляет в ARP-таблицу запись с нулями 00 00 00 00 00 00. Ручное удаление этой записи не помогает – она автоматически появляется снова и никогда не исчезает. Только после перезагрузки она исчезает, но если кто-то снова попробует обратиться к недействительным IP, запись появится снова. Использую CCR 1009 с версией 6.34. Похоже, это проблема последних версий. У кого-нибудь есть решение? Спасибо!

Записи ARP при этом не истекают. Однажды у меня было 10 тысяч записей из-за того, что сканировали большую подсеть... Сделайте хотя бы опцию, чтобы их не показывать!

Всем привет! У меня тоже возникает странное поведение с адресами, которые не входят в локальные подсети, и IP-адреса должны передаваться через шлюз по умолчанию. Думаю, важно отметить, что решение о маршрутизации по источнику принимается с помощью Mangle таблиц и правил маршрутизации. Единственный пока найденный обход — это установить ARP в режим «только ответ» и задать статический MAC-адрес для шлюза на этом интерфейсе. Тем не менее, наблюдаются интересные особенности работы ARP на других интерфейсах, как показано на картинке.

Именно это я и пытался объяснить, но, похоже, некоторые люди просто не понимают, что огромная таблица ARP никому не помогает.

Если в вашем ARP-кэше видны публичные IP-адреса, это потому, что какой бы ни был у вас маршрут по умолчанию (default GW), он использует интерфейс как следующий хоп, а не IP-адрес маршрутизатора по умолчанию. Это заставляет ваш Mikrotik делать ARP-запросы по IP-адресу прямо на интерфейсе. К счастью для вас, ваш провайдер настроен на proxy-arp, иначе вы бы вообще не выходили в интернет.

ПРОЧИТАЙТЕ: На самом деле, интерфейс, на который вы направили маршрут по умолчанию, НЕ отвечает на ARP (иначе вы не видели бы сплошные нули).

@ZeroByte, ты и прав, и нет Дело в том, что если использовать интерфейс как следующий хоп вместо IP-адреса, роутер попытается определить MAC-адрес шлюза, чтобы создать ARP-запись и переслать пакет, как это предусмотрено в Ethernet. Но если на другой стороне канала включён proxy-arp, все ARP-записи будут разрешаться в один MAC — proxied. В нашем же случае так не происходит, ты видишь записи INCOMPLETE (нули), но пакеты всё равно идут дальше. С другой стороны, эту проблему можно воспроизвести, если настроить MPLS и пересылать трафик по LSP. Как ты знаешь, LSP — это не широковещательный домен, и они не смогут тебе ответить на ARP… После того как MikroTik ввели команду “*) arp - show incomplete ARP entries;” в ROS v6.33.5, у меня случилось переполнение таблицы ARP. Можно увеличить максимум записей как временное решение, но это не выход.

Да, я это заметил и добавил маленькое примечание EDIT, что обратил на это внимание. (упс) Я сам использовал proxy arp и interface-hops в довольно интересных схемах… Но сомневаюсь, что большинство участников этой темы в такой же ситуации… Почти наверняка это из-за какого-то устройства, которое запускает ping sweep или порт-скан сети (что либо должно быть заблокировано, либо допущено), и/или нестандартной маршрутизации, из-за которой происходит много ARP-запросов, а использование host-address-forwarding могло бы это исправить.

Я вовсе не хотел быть грубым… или, по крайней мере, не собирался таким казаться. И, если честно, считаю, что твоя ситуация определённо относится к категории «глюков».