<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix"><tt>Il 16/02/2014 14:35, Giuseppe De
Marco ha scritto:</tt><tt><br>
</tt></div>
<blockquote
cite="mid:CAP_qYykFh1CuL=vT58KuH_+NJrWime2ZW2WRgVt3dG184pTfGg@mail.gmail.com"
type="cite">
<div dir="ltr"><tt><br>
</tt>
<div class="gmail_extra"><br>
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
No, quelli c'erano anche ben prima che annunciassimo </tt><tt><a
moz-do-not-send="true" href="http://10.0.0.0/8"
target="_blank">10.0.0.0/8</a></tt><tt><br>
</tt><tt>
Apropò:</tt><tt><br>
</tt><tt>
In realtà, ormai i momenti di oscurità sono scomparsi
quasi</tt><tt><br>
</tt><tt>
completamente. Tutta NinuCS è accessibile dall'HackLab,
a parte 2 host</tt><tt><br>
</tt><tt>
- Le antenne di Capizzanux (172.17.87.10+11)</tt><tt><br>
</tt><tt>
- L'antenna di Verdebinario (172.17.87.12)</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>Particolare !</tt></div>
<div><tt>Io da verde e da capizzanux accedo ovunque. E
immagino anche Spax da casa sua.</tt></div>
<div><tt>Ci troveremo in HL armati di traceroute per
sdradicare questo male, anzi, inizia a stampare un pò di
Debug in lista.</tt></div>
<div><tt>Non perdiamo tempo.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
In realtà il traceroute non offre info particolarmente utili, a
causa della CI è visto tutto come "directly connected", niente
routing ma solo switching.<br>
Il problema l'ho individuato così:<br>
- Lancio un ping da una macchina in Hacklab (10.0.0.100, ad esempio)
verso 172.17.87.10+11<br>
- Seguo il percorso del pacchetto, in particolare:<br>
** Su ogni host interessato: ip r g 172.17.87.10 (o 11); tutti mi
confermano che sanno come inoltrare, e bene, il pacchetto<br>
** Su ogni host che lo permette: tcpdump -i <interface> src
10.0.0.100 oppure dst 172.17.87.10, o viceversa; mi va bene, tutti
gli host interessati lo possiedono<br>
<br>
Con questi strumenti si vede tranquillamente che l'antenna
172.17.87.10 riceve la echo request e produce una echo reply verso
10.0.0.100.<br>
Il tcpdump su Ground router di Capizzanux, però, vede sempre e solo
la echo request, e mail la reply. Verificabile con un semplice
tcpdump -i eth1 icmp dst 10.0.0.100.<br>
<br>
Il problema risiede nel fatto che, per ragioni che non mi sono
ancora chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100,
non costituisce una connessione NEW, ESTABLISHED o RELATED e dunque
netfilter lo classifica come INVALID. A differenza degli altri GR
NinuCS, Capizzanux_Router è impostato per il DROP dei pacchetti
INVALID. <br>
Disabilitando temporaneamente la regola, il pacchetto di ritorno
passa e l'hacklab vede Capizzanux; <br>
riabilitandolo, niente più echo reply.<br>
<br>
Il problema verrebbe sicuramente risolto disabilitando il DROP degli
INVALID (a meno che tu non abbia delle specifiche ragioni per averlo
abilitato, s'intende).<br>
Ma a parte questo, ora m'incuriosisce capire perchè la connessione
10.0.0.x <-> 172.17.87.10 non viene tracciata come
NEW/ESTABLISHED da conntrack.<br>
<br>
<blockquote
cite="mid:CAP_qYykFh1CuL=vT58KuH_+NJrWime2ZW2WRgVt3dG184pTfGg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
L'unica differenza di comportamento è che Verdebinariux
risponde ai</tt><tt><br>
</tt><tt>
ping, Capizzanux no. Per entrambi la WebUI è
inaccessibile.</tt><tt><br>
</tt><tt>
Per entrambi, la causa è il firewall. Ho confermato
tutto questo</tt><tt><br>
</tt><tt>
disabilitandolo per 30 secondi e verificando la
possibilità di accedere.</tt><tt><br>
</tt><tt>
Non so se il resto di NinuCS è in grado di accedere a
questi host, da</tt><tt><br>
</tt><tt>
indagare.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>La risposta è sì, da ovunque, con o senza NAT.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Hai ragione, poi ho verificato :)<br>
<br>
<blockquote
cite="mid:CAP_qYykFh1CuL=vT58KuH_+NJrWime2ZW2WRgVt3dG184pTfGg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
Non ho indagato ulteriormente anche perché è più
interessante valutare</tt><tt><br>
</tt><tt>
assieme e comunque non ho familiarità con la rationale
della tua config.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>Parliamone, quale tassello ti manca ?</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
No, no, niente di particolare. Solo: mi sto facendo le ossa solo
adesso su iptables; inoltre vorrei che mi dicessi che procedura hai
seguito per impostare le tue regole di routing su OpenWRT. Avviando
il firewall nell'output mi informa che avvia diversi hook, ma solo
alcuni sono presenti in /etc/config/firewall, altri sembrano essere
altrove, ma non so dove. Ho solo individuato /etc/firewall.user per
specificare delle regole custom. <br>
Magari c'è altro?<br>
Altra curiosità, perché hai messo il clamping a Capizzanux?<br>
<br>
<blockquote
cite="mid:CAP_qYykFh1CuL=vT58KuH_+NJrWime2ZW2WRgVt3dG184pTfGg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex"><tt>
A naso potrebbe essere qualche eccesso di masquerading
e/o di clamping</tt><tt><br>
</tt><tt>
tra le zone del firewall.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>il NAT è disabilitato a Capizzanux, andiamo ai
fatti.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.<br>
Ad ogni modo, vedi sopra, il problema per Capizzanux non è
decisamente nè NAT nè Clamping.<br>
<br>
<blockquote
cite="mid:CAP_qYykFh1CuL=vT58KuH_+NJrWime2ZW2WRgVt3dG184pTfGg@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<tt><br>
</tt><tt>
Ma il post era su G,</tt><tt><br>
</tt><tt>
benvenuto G,</tt><tt><br>
</tt>
<tt><br>
</tt><tt>
Stefanauss.</tt><tt><br>
</tt></blockquote>
<div><tt><br>
</tt></div>
<div><tt>G comunica al totale sia con Verde che con
Capizzanux che col resto.</tt></div>
<div><tt>Ocio. </tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Questo per quanto riguarda Capizzanux.<br>
Con Verdebinariux ci dev'essere un problema diverso. Infatti là non
c'è il DROP INVALID, e il ping riesce, mentre quello che fallisce è
la connessione alla WebUI.<br>
Non ho ancora avuto modo di debuggare.<br>
<br>
Stefanauss.<br>
</body>
</html>