Sophos SG UTM Firewall ARP und NDISC Cache löschen - How to flush the neighbor cache

Blog divers Sophos SG UTM Firewall ARP und NDISC Cache löschen - How to flush the neighbor cache

Sophos SG UTM Firewall ARP und NDISC Cache löschen - How to flush the neighbor cache

4th Mar 2020

Um auf einer Sophos SG Firewall den ARP Cache zu löschen gibt es den Befehl ip.

Das ip Tool ist dem ebenfalls bekannten arp Tool vorzuziehen, da es sich für IPv4 und IPv6 eignet und die besseren Resultate liefert und sowohl ARP (IPv4) und NDISC (IPv6) Cache bedient. Zudem war der Befehl arp -d ip_Adresse in unseren Tests wirkungslos.

Gut zu wissen: ARP, steht für Address Resolution Protocol in einem IPv4 Netzwerk welches den ARP-Cache stellt. NDISC steht für Neighbor Discovery Protocol welches den Neighbor-Cache stellt. Daher die Begriffe "arp_cache" und "ndisc_cache".

ERMITTELN DER DOPPELTEN ADRESSEN

Mit dem ARP-Tool:

arp -avn

Mit dem grep Befehl kann nach der gewünschten Adresse gesucht werden:

arp -avn | grep -i 1.2.3.4

oder z.B alle IP-Adressen mit Endung .4

arp -avn | grep -i .4

Mit dem IP-Tool:

ip -s neigh show
ip -s neigh show dev eth0
ip -s neigh show 1.2.3.4/24

Auch hier kann mit grep gefilter werden:

ip -s neigh show | grep -i 1.2.3.4

ENTFERNEN DER DOPPELTEN ADRESSEN

Der Befehl zum Löschen des kompletten ARP Cache lautet:

ip -s -s neigh flush all

Das erste -s (stale) steht für die ausführliche Ausgabe (eng. verbose). Das zweite -s (oft undokumentiert) listet zusätzlich die gelöschten Einträge auf. Das neigh steht für Neighbor-Operationen des ip Tools bzw. in anderen Worten, der ARP Cache Bearbeitung. Das flush all steht für das Löschen. Hinweis: Sollten Sie diesen Befehl nicht auf einer Sophos SG Firewall verwenden, die -s Parameter stehen nicht in jeder Linux Distribution zur Verfügung, verwenden Sie den Befehl in diesem Fall ohne -s Parameter.

Der oder die zuvor doppelt gelisteten Einträge werden anschließend als "incomplete" angezeigt. Das bedeutet dass der Auflösungs-Prozess gerade in Bearbeitung ist und noch keine Antwort eingegangen ist, was übersetzt so viel bedeutet wie "gelöscht". Neben dem manuellen Löschen der Einträge könnte die Firewall auch neu gesartet werden, bei einem Cluster jedoch, müsste der gesamte Cluster neu gestartet werden da sämtliche Nodes die Informationen "behalten". Verwenden Sie zur Kontrolle im Anschluss die selben Befehle wie unter der "Ermittlung".

WEITERE VARIANTEN

Cache Einträge aus eth0 entfernen:

ip -s -s neigh flush dev eth0

Alternative um alle Einträge IPv4 und IPv6 zu löschen:

ip -family inet neigh flush any

Cache für eine IPv4-Adresse löschen:

ip -s -s neigh flush 1.2.3.4

Cache für eine IPv6-Adresse löschen

ip -s -s neigh flush 2001:ab1::1

Cache für ein Subnetz löschen:

ip -s -s neigh flush 1.2.3.4/24

WEITERE INFORMATIONEN

Befehlsreferenz des IP Tools: http://www.policyrouting.org/iproute2.doc.html

Benötigen Sie weitere Informationen oder Hilfestellung? Treten Sie mit uns in Kontakt.

Previous Post Next Post