<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">Il giorno 16 febbraio 2014 21:09, Stefano De Carlo <span dir="ltr"><<a href="mailto:stefanauss@gmail.com" target="_blank">stefanauss@gmail.com</a>></span> ha scritto:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
Il problema risiede nel fatto che, per ragioni che non mi sono
ancora chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100,
non costituisce una connessione NEW, ESTABLISHED o RELATED e dunque
netfilter lo classifica come INVALID. A differenza degli altri GR
NinuCS, Capizzanux_Router è impostato per il DROP dei pacchetti
INVALID. <br>
Disabilitando temporaneamente la regola, il pacchetto di ritorno
passa e l'hacklab vede Capizzanux; <br>
riabilitandolo, niente più echo reply.<br></div></blockquote><div><br></div><div>Ma guarda l'ho abilitato tipo 3 giorni addietro.</div><div>Prima non c'era mica e il problema singhiozzava, vabè.</div><div>Toglila direttamente su Capizzanux, sei libero di.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000">
Il problema verrebbe sicuramente risolto disabilitando il DROP degli
INVALID (a meno che tu non abbia delle specifiche ragioni per averlo
abilitato, s'intende).<br>
Ma a parte questo, ora m'incuriosisce capire perchè la connessione
10.0.0.x <-> 172.17.87.10 non viene tracciata come
NEW/ESTABLISHED da conntrack.<br></div></blockquote><div><br></div><div>Penso che la connessione sia di per sè gestita tramite TCP e non IGMP.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<br>
<blockquote type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
L'unica differenza di comportamento è che Verdebinariux
risponde ai</tt><tt><br>
</tt><tt>
ping, Capizzanux no. Per entrambi la WebUI è
inaccessibile.</tt><tt><br>
</tt><tt>
Per entrambi, la causa è il firewall. Ho confermato
tutto questo</tt><tt><br>
</tt><tt>
disabilitandolo per 30 secondi e verificando la
possibilità di accedere.</tt><tt><br>
</tt><tt>
Non so se il resto di NinuCS è in grado di accedere a
questi host, da</tt><tt><br>
</tt><tt>
indagare.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>La risposta è sì, da ovunque, con o senza NAT.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Hai ragione, poi ho verificato :)<br></div></blockquote><div><br></div><div>Alle volte servono dei nat customizzati se vi è la volonta dei nodi di taggarsi una porta verso la loro rete legacy, però non conviene farlo dall'interfaccia Luci perchè generalizza con tutte le altre interfacce, mentre le inserisco come custom rules.</div>
<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
Non ho indagato ulteriormente anche perché è più
interessante valutare</tt><tt><br>
</tt><tt>
assieme e comunque non ho familiarità con la rationale
della tua config.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>Parliamone, quale tassello ti manca ?</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
No, no, niente di particolare. Solo: mi sto facendo le ossa solo
adesso su iptables; inoltre vorrei che mi dicessi che procedura hai
seguito per impostare le tue regole di routing su OpenWRT. Avviando
il firewall nell'output mi informa che avvia diversi hook, ma solo
alcuni sono presenti in /etc/config/firewall, altri sembrano essere
altrove, ma non so dove. Ho solo individuato /etc/firewall.user per
specificare delle regole custom. <br>
Magari c'è altro?<br>
Altra curiosità, perché hai messo il clamping a Capizzanux?<br></div></blockquote><div><br></div><div>Il Clamp è per test verso un altro nodo ma devo toglierlo perchè non mi serve.</div><div>Ricordati sempre di /etc/rc.local :)</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div bgcolor="#FFFFFF" text="#000000"><blockquote type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><tt>
A naso potrebbe essere qualche eccesso di masquerading
e/o di clamping</tt><tt><br>
</tt><tt>
tra le zone del firewall.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>il NAT è disabilitato a Capizzanux, andiamo ai
fatti.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.<br>
Ad ogni modo, vedi sopra, il problema per Capizzanux non è
decisamente nè NAT nè Clamping.<br></div></blockquote><div><br></div><div>Concordo, ma solo dalle reti <a href="http://10.0.0.0/8">10.0.0.0/8</a></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<br>
<blockquote type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
Ma il post era su G,</tt><tt><br>
</tt><tt>
benvenuto G,</tt><tt><br>
</tt>
<tt><br>
</tt><tt>
Stefanauss.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>G comunica al totale sia con Verde che con
Capizzanux che col resto.</tt></div>
<div><tt>Ocio. </tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Questo per quanto riguarda Capizzanux.<br>
Con Verdebinariux ci dev'essere un problema diverso. Infatti là non
c'è il DROP INVALID, e il ping riesce, mentre quello che fallisce è
la connessione alla WebUI.<br>
Non ho ancora avuto modo di debuggare.<br>
<br>
Stefanauss.<br>
</div>
</blockquote></div><br></div><div class="gmail_extra">E se ci fosse un male "intrinseco" ? :)</div></div>