Интересная ситуация на роутере и только на одном. Второй в аналогичных условиях работает как надо.
Исходные:
сетевая первая 111,222,333,444 сетевая вторая 555,666,777,888

arpwatch слушает на первой сетевой и видит адрес 555,666,777,888 с мак адресом 111,222,333,444

Это как такое получаться может? Баг в arpwatch?

• arpwatch: bogon,qwek, 12:20 , 28-Ноя-09
  • arpwatch: bogon,Dice, 13:33 , 28-Ноя-09
    • arpwatch: bogon,qwek, 17:16 , 28-Ноя-09
      • arpwatch: bogon,qwek, 18:39 , 28-Ноя-09
        • arpwatch: bogon,qwek, 03:16 , 29-Ноя-09
          • arpwatch: bogon,qwek, 14:52 , 29-Ноя-09

Такая сложная задача оказалась, что народ щипая бороды плачет глядя в монитор? Неужели никто не может натолкнуть на направление поиска причины?

>Такая сложная задача оказалась, что народ щипая бороды плачет глядя в монитор?
>Неужели никто не может натолкнуть на направление поиска причины?

Нет, это из серии "у меня мотор стучит, куда смотреть". Ну я могу тебе подсказать - у тебя arpproxy включен на какойнить машинке, и что? Так прям помогло?

>>Такая сложная задача оказалась, что народ щипая бороды плачет глядя в монитор?
>>Неужели никто не может натолкнуть на направление поиска причины?
>
>Нет, это из серии "у меня мотор стучит, куда смотреть". Ну я
>могу тебе подсказать - у тебя arpproxy включен на какойнить машинке,
>и что? Так прям помогло?

Спасибо за ответ. Вот вывод значений:
# sysctl -a | grep arp

net.ipv4.conf.all.proxy_arp = 0
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_accept = 0
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.arp_announce = 0
net.ipv4.conf.default.arp_ignore = 0
net.ipv4.conf.default.arp_accept = 0

net.ipv4.conf.lo.proxy_arp = 0
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.arp_announce = 0
net.ipv4.conf.lo.arp_ignore = 0
net.ipv4.conf.lo.arp_accept = 0

net.ipv4.conf.eth0.proxy_arp = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.arp_announce = 0
net.ipv4.conf.eth0.arp_ignore = 0
net.ipv4.conf.eth0.arp_accept = 0

net.ipv4.conf.eth1.proxy_arp = 0
net.ipv4.conf.eth1.arp_filter = 0
net.ipv4.conf.eth1.arp_announce = 0
net.ipv4.conf.eth1.arp_ignore = 0
net.ipv4.conf.eth1.arp_accept = 0

Я не большой спец в таких делах, иначе наверное давно бы сам всё решил. В настройках есть ответ на мой вопрос?

Версия arpwatch на обоих роутерах одинаковая Version 2.1a15. Настройки одинаковые. Может я не туда смотрю и стоит обратить внимание на машины находящиеся за роутером в сети? Может там следует искать ответ?

Для информации скажу, что я выключал кабель из сетевой 555.666.777.888 при этом её мак-адрес присутствовал в меседжах от arwatch с ip 111,222,333,444. Напомню, что фкзцфеср следит за мак адресами за сетевой 111.222.333.444
При ifdown eth2 записи пропадали. Куда думать дальше? Коллеги, подскажите, мозги уже не работают.

tcpdump -i eth1 -p arp

02:08:08.868969 arp who-has 555.666.777.888 (00:11:11:11:11:11 (oui Unknown)) tell aaa.aaa.aaa.aaa
02:08:08.868981 arp reply 555.666.777.888 is-at 00:11:11:11:11:11 (oui Unknown)

ifdown eth0

02:10:15.680464 arp who-has 555.666.777.888 tell aaa.aaa.aaa.aaa
02:10:16.344305 arp who-has 555.666.777.888 tell aaa.aaa.aaa.aaa

У клиента aaa.aaa.aaa.aaa стоит шлюз по умолчанию не той подсети. Поэтому и арпвотч так ругался.

Решение по запрету установки в качестве шлюза любого локального адреса маршрутизатора кроме того в которой находится клиент.

Где читал:
http://www.protocols.ru/modules.php?name=News&file=article&s...

решение:
echo "2" > /proc/sys/net/ipv4/conf/all/arp_ignore

Спасибо всем кто помог.