[Ninux-Calabria] Momenti di oscurità HPCC verso parti di NinuxCS

[Stefano De Carlo]

Il 16/02/2014 22:43, Giuseppe De Marco ha scritto:
>
>
> Il giorno 16 febbraio 2014 21:09, Stefano De Carlo
> <stefanauss a gmail.com <mailto:stefanauss a gmail.com>>ha scritto:
>
>     Il problema risiede nel fatto che, per ragioni che non mi sono
>     ancora chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100,
>     non costituisce una connessione NEW, ESTABLISHED o RELATED e
>     dunque netfilter lo classifica come INVALID. A differenza degli
>     altri GR NinuCS, Capizzanux_Router è impostato per il DROP dei
>     pacchetti INVALID.
>     Disabilitando temporaneamente la regola, il pacchetto di ritorno
>     passa e l'hacklab vede Capizzanux;
>     riabilitandolo, niente più echo reply.
>
>
> Ma guarda l'ho abilitato tipo 3 giorni addietro.
> Prima non c'era mica e il problema singhiozzava, vabè.
> Toglila direttamente su Capizzanux, sei libero di.

Ma infatti potrebbe anche essere che 3 giorni fa il problema non c'era,
ma ancora non mi ero applicato a testarlo :)
D'altronde ho realizzato solo pochi giorni fa della presenza degli
indirizzi .10 e .11.
Ho disabilitato il DROP INVALID, sembra comportarsi come ho descritto,
10 e 11 sono raggiungibili, se ti rendi conto che ti serve riabilita
senza scrupoli.

>     Il problema verrebbe sicuramente risolto disabilitando il DROP
>     degli INVALID (a meno che tu non abbia delle specifiche ragioni
>     per averlo abilitato, s'intende).
>     Ma a parte questo, ora m'incuriosisce capire perchè la connessione
>     10.0.0.x <-> 172.17.87.10 non viene tracciata come NEW/ESTABLISHED
>     da conntrack.
>
>
> Penso che la connessione sia di per sè gestita tramite TCP e non IGMP.

Correct, conntrack traccia TCP e UDP, agnostico al protocollo.

>  
>
>
>     No, no, niente di particolare. Solo: mi sto facendo le ossa solo
>     adesso su iptables; inoltre vorrei che mi dicessi che procedura
>     hai seguito per impostare le tue regole di routing su OpenWRT.
>     Avviando il firewall nell'output mi informa che avvia diversi
>     hook, ma solo alcuni sono presenti in /etc/config/firewall, altri
>     sembrano essere altrove, ma non so dove. Ho solo individuato
>     /etc/firewall.user per specificare delle regole custom.
>     Magari c'è altro?
>     Altra curiosità, perché hai messo il clamping a Capizzanux?
>
>
> Il Clamp è per test verso un altro nodo ma devo toglierlo perchè non
> mi serve.
> Ricordati sempre di /etc/rc.local :)

Ok, thanks!

>>         A naso potrebbe essere qualche eccesso di masquerading e/o di
>>         clamping
>>         tra le zone del firewall.
>>
>>
>>     il NAT è disabilitato a Capizzanux, andiamo ai fatti.
>
>     Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.
>     Ad ogni modo, vedi sopra, il problema per Capizzanux non è
>     decisamente nè NAT nè Clamping.
>
>
> Concordo, ma solo dalle reti 10.0.0.0/8 <http://10.0.0.0/8>

Si, si. Infatti, dal nodo Hacklab che ha indirizzamento Ninux
(172.17.87.2), il 10 e l'11 erano sempre raggiungibili anche da prima.
Erano problematiche le "postazioni".


>  
>
>
>
>     Questo per quanto riguarda Capizzanux.
>     Con Verdebinariux ci dev'essere un problema diverso. Infatti là
>     non c'è il DROP INVALID, e il ping riesce, mentre quello che
>     fallisce è la connessione alla WebUI.
>     Non ho ancora avuto modo di debuggare.
>
>     Stefanauss.
>
>
> E se ci fosse un male "intrinseco" ? :)

Tipo? È il comportamento atteso?
Dai, indiziami :)

Stefanauss.

-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140217/78265dca/attachment-0001.htm>
-------------- parte successiva --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140217/78265dca/attachment-0001.pgp>