[Ninux-Calabria] Momenti di oscuritą HPCC verso parti di NinuxCS
Stefano De Carlo
stefanauss a gmail.com
Dom 16 Feb 2014 23:14:15 UTC
Il 16/02/2014 22:43, Giuseppe De Marco ha scritto:
>
>
> Il giorno 16 febbraio 2014 21:09, Stefano De Carlo
> <stefanauss a gmail.com <mailto:stefanauss a gmail.com>>ha scritto:
>
> Il problema risiede nel fatto che, per ragioni che non mi sono
> ancora chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100,
> non costituisce una connessione NEW, ESTABLISHED o RELATED e
> dunque netfilter lo classifica come INVALID. A differenza degli
> altri GR NinuCS, Capizzanux_Router č impostato per il DROP dei
> pacchetti INVALID.
> Disabilitando temporaneamente la regola, il pacchetto di ritorno
> passa e l'hacklab vede Capizzanux;
> riabilitandolo, niente pił echo reply.
>
>
> Ma guarda l'ho abilitato tipo 3 giorni addietro.
> Prima non c'era mica e il problema singhiozzava, vabč.
> Toglila direttamente su Capizzanux, sei libero di.
Ma infatti potrebbe anche essere che 3 giorni fa il problema non c'era,
ma ancora non mi ero applicato a testarlo :)
D'altronde ho realizzato solo pochi giorni fa della presenza degli
indirizzi .10 e .11.
Ho disabilitato il DROP INVALID, sembra comportarsi come ho descritto,
10 e 11 sono raggiungibili, se ti rendi conto che ti serve riabilita
senza scrupoli.
> Il problema verrebbe sicuramente risolto disabilitando il DROP
> degli INVALID (a meno che tu non abbia delle specifiche ragioni
> per averlo abilitato, s'intende).
> Ma a parte questo, ora m'incuriosisce capire perchč la connessione
> 10.0.0.x <-> 172.17.87.10 non viene tracciata come NEW/ESTABLISHED
> da conntrack.
>
>
> Penso che la connessione sia di per sč gestita tramite TCP e non IGMP.
Correct, conntrack traccia TCP e UDP, agnostico al protocollo.
>
>
>
> No, no, niente di particolare. Solo: mi sto facendo le ossa solo
> adesso su iptables; inoltre vorrei che mi dicessi che procedura
> hai seguito per impostare le tue regole di routing su OpenWRT.
> Avviando il firewall nell'output mi informa che avvia diversi
> hook, ma solo alcuni sono presenti in /etc/config/firewall, altri
> sembrano essere altrove, ma non so dove. Ho solo individuato
> /etc/firewall.user per specificare delle regole custom.
> Magari c'č altro?
> Altra curiositą, perché hai messo il clamping a Capizzanux?
>
>
> Il Clamp č per test verso un altro nodo ma devo toglierlo perchč non
> mi serve.
> Ricordati sempre di /etc/rc.local :)
Ok, thanks!
>> A naso potrebbe essere qualche eccesso di masquerading e/o di
>> clamping
>> tra le zone del firewall.
>>
>>
>> il NAT č disabilitato a Capizzanux, andiamo ai fatti.
>
> Si, ma a Capizzanux c'č il clamping, a questo mi riferivo.
> Ad ogni modo, vedi sopra, il problema per Capizzanux non č
> decisamente nč NAT nč Clamping.
>
>
> Concordo, ma solo dalle reti 10.0.0.0/8 <http://10.0.0.0/8>
Si, si. Infatti, dal nodo Hacklab che ha indirizzamento Ninux
(172.17.87.2), il 10 e l'11 erano sempre raggiungibili anche da prima.
Erano problematiche le "postazioni".
>
>
>
>
> Questo per quanto riguarda Capizzanux.
> Con Verdebinariux ci dev'essere un problema diverso. Infatti lą
> non c'č il DROP INVALID, e il ping riesce, mentre quello che
> fallisce č la connessione alla WebUI.
> Non ho ancora avuto modo di debuggare.
>
> Stefanauss.
>
>
> E se ci fosse un male "intrinseco" ? :)
Tipo? Č il comportamento atteso?
Dai, indiziami :)
Stefanauss.
-------------- parte successiva --------------
Un allegato HTML č stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140217/78265dca/attachment-0001.htm>
-------------- parte successiva --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140217/78265dca/attachment-0001.pgp>
Maggiori informazioni sulla lista
Calabria