
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">Il giorno 16 febbraio 2014 21:09, Stefano De Carlo <span dir="ltr"><<a href="mailto:stefanauss@gmail.com" target="_blank">stefanauss@gmail.com</a>></span> ha scritto:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div bgcolor="#FFFFFF" text="#000000">

    Il problema risiede nel fatto che, per ragioni che non mi sono

    ancora chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100,

    non costituisce una connessione NEW, ESTABLISHED o RELATED e dunque

    netfilter lo classifica come INVALID. A differenza degli altri GR

    NinuCS, Capizzanux_Router è impostato per il DROP dei pacchetti

    INVALID. <br>

    Disabilitando temporaneamente la regola, il pacchetto di ritorno

    passa e l'hacklab vede Capizzanux; <br>

    riabilitandolo, niente più echo reply.<br></div></blockquote><div><br></div><div>Ma guarda l'ho abilitato tipo 3 giorni addietro.</div><div>Prima non c'era mica e il problema singhiozzava, vabè.</div><div>Toglila direttamente su Capizzanux, sei libero di.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">

    Il problema verrebbe sicuramente risolto disabilitando il DROP degli

    INVALID (a meno che tu non abbia delle specifiche ragioni per averlo

    abilitato, s'intende).<br>

    Ma a parte questo, ora m'incuriosisce capire perchè la connessione

    10.0.0.x <-> 172.17.87.10 non viene tracciata come

    NEW/ESTABLISHED da conntrack.<br></div></blockquote><div><br></div><div>Penso che la connessione sia di per sè gestita tramite TCP e non IGMP.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div bgcolor="#FFFFFF" text="#000000">

    <br>

    <blockquote type="cite">

      <div dir="ltr">

        <div class="gmail_extra">

          <div class="gmail_quote">

            <div><tt> </tt></div>

            <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

              <tt><br>

              </tt><tt>

                L'unica differenza di comportamento è che Verdebinariux

                risponde ai</tt><tt><br>

              </tt><tt>

                ping, Capizzanux no. Per entrambi la WebUI è

                inaccessibile.</tt><tt><br>

              </tt><tt>

                Per entrambi, la causa è il firewall. Ho confermato

                tutto questo</tt><tt><br>

              </tt><tt>

                disabilitandolo per 30 secondi e verificando la

                possibilità di accedere.</tt><tt><br>

              </tt><tt>

                Non so se il resto di NinuCS è in grado di accedere a

                questi host, da</tt><tt><br>

              </tt><tt>

                indagare.</tt><tt><br>

              </tt></blockquote>

            <div><tt><br>

              </tt></div>

            <div><tt>La risposta è sì, da ovunque, con o senza NAT.</tt></div>

          </div>

        </div>

      </div>

    </blockquote>

    <br>

    Hai ragione, poi ho verificato :)<br></div></blockquote><div><br></div><div>Alle volte servono dei nat customizzati se vi è la volonta dei nodi di taggarsi una porta verso la loro rete legacy, però non conviene farlo dall'interfaccia Luci perchè generalizza con tutte le altre interfacce, mentre le inserisco come custom rules.</div>

<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">


            <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

              <tt><br>

              </tt><tt>

                Non ho indagato ulteriormente anche perché è più

                interessante valutare</tt><tt><br>

              </tt><tt>

                assieme e comunque non ho familiarità con la rationale

                della tua config.</tt><tt><br>

              </tt></blockquote>

            <div><tt><br>

              </tt></div>

            <div><tt>Parliamone, quale tassello ti manca ?</tt></div>

          </div>

        </div>

      </div>

    </blockquote>

    <br>

    No, no, niente di particolare. Solo: mi sto facendo le ossa solo

    adesso su iptables; inoltre vorrei che mi dicessi che procedura hai

    seguito per impostare le tue regole di routing su OpenWRT. Avviando

    il firewall nell'output mi informa che avvia diversi hook, ma solo

    alcuni sono presenti in /etc/config/firewall, altri sembrano essere

    altrove, ma non so dove. Ho solo individuato /etc/firewall.user per

    specificare delle regole custom. <br>

    Magari c'è altro?<br>

    Altra curiosità, perché hai messo il clamping a Capizzanux?<br></div></blockquote><div><br></div><div>Il Clamp è per test verso un altro nodo ma devo toglierlo perchè non mi serve.</div><div>Ricordati sempre di /etc/rc.local :)</div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite">

      <div dir="ltr">

        <div class="gmail_extra">

          <div class="gmail_quote">

            
            <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><tt>

                A naso potrebbe essere qualche eccesso di masquerading

                e/o di clamping</tt><tt><br>

              </tt><tt>

                tra le zone del firewall.</tt><tt><br>

              </tt></blockquote>

            <div><tt><br>

              </tt></div>

            <div><tt>il NAT è disabilitato a Capizzanux, andiamo ai

                fatti.</tt></div>

          </div>

        </div>

      </div>

    </blockquote>

    <br>

    Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.<br>

    Ad ogni modo, vedi sopra, il problema per Capizzanux non è

    decisamente nè NAT nè Clamping.<br></div></blockquote><div><br></div><div>Concordo, ma solo dalle reti <a href="http://10.0.0.0/8">10.0.0.0/8</a></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div bgcolor="#FFFFFF" text="#000000">

    <br>

    <blockquote type="cite">

      <div dir="ltr">

        <div class="gmail_extra">

          <div class="gmail_quote">

            <div><tt> </tt></div>

            <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

              <tt><br>

              </tt><tt>

                Ma il post era su G,</tt><tt><br>

              </tt><tt>

                benvenuto G,</tt><tt><br>

              </tt>

              <tt><br>

              </tt><tt>

                Stefanauss.</tt><tt><br>

              </tt></blockquote>

            <div><tt><br>

              </tt></div>

            <div><tt>G comunica al totale sia con Verde che con

                Capizzanux che col resto.</tt></div>

            <div><tt>Ocio. </tt></div>

          </div>

        </div>

      </div>

    </blockquote>

    <br>

    Questo per quanto riguarda Capizzanux.<br>

    Con Verdebinariux ci dev'essere un problema diverso. Infatti là non

    c'è il DROP INVALID, e il ping riesce, mentre quello che fallisce è

    la connessione alla WebUI.<br>

    Non ho ancora avuto modo di debuggare.<br>

    <br>

    Stefanauss.<br>

  </div>


</blockquote></div><br></div><div class="gmail_extra">E se ci fosse un male "intrinseco" ? :)</div></div>