<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix"><tt>Il 16/02/2014 22:43, Giuseppe De
Marco ha scritto:</tt><tt><br>
</tt></div>
<blockquote
cite="mid:CAP_qYy=2uxDwVNMFEhQDiXWdxN+4CxTvG=SBh9br3JSV7apV=Q@mail.gmail.com"
type="cite">
<div dir="ltr"><tt><br>
</tt>
<div class="gmail_extra"><br>
<div class="gmail_quote"><tt>Il giorno 16 febbraio 2014 21:09,
Stefano De Carlo </tt><tt><span dir="ltr"><<a
moz-do-not-send="true"
href="mailto:stefanauss@gmail.com" target="_blank">stefanauss@gmail.com</a>></span></tt><tt>
ha scritto:</tt>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000"><tt> Il problema
risiede nel fatto che, per ragioni che non mi sono
ancora chiare, il pacchetto di ritorno, indirizzato a
10.0.0.100, non costituisce una connessione NEW,
ESTABLISHED o RELATED e dunque netfilter lo classifica
come INVALID. A differenza degli altri GR NinuCS,
Capizzanux_Router è impostato per il DROP dei
pacchetti INVALID. </tt><tt><br>
</tt><tt> Disabilitando temporaneamente la regola, il
pacchetto di ritorno passa e l'hacklab vede
Capizzanux; </tt><tt><br>
</tt><tt> riabilitandolo, niente più echo reply.</tt><tt><br>
</tt></div>
</blockquote>
<div><tt><br>
</tt></div>
<div><tt>Ma guarda l'ho abilitato tipo 3 giorni addietro.</tt></div>
<div><tt>Prima non c'era mica e il problema singhiozzava,
vabè.</tt></div>
<div><tt>Toglila direttamente su Capizzanux, sei libero di.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Ma infatti potrebbe anche essere che 3 giorni fa il problema non
c'era, ma ancora non mi ero applicato a testarlo :)<br>
D'altronde ho realizzato solo pochi giorni fa della presenza degli
indirizzi .10 e .11.<br>
Ho disabilitato il DROP INVALID, sembra comportarsi come ho
descritto, 10 e 11 sono raggiungibili, se ti rendi conto che ti
serve riabilita senza scrupoli.<br>
<br>
<blockquote
cite="mid:CAP_qYy=2uxDwVNMFEhQDiXWdxN+4CxTvG=SBh9br3JSV7apV=Q@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000"><tt> Il problema
verrebbe sicuramente risolto disabilitando il DROP
degli INVALID (a meno che tu non abbia delle
specifiche ragioni per averlo abilitato, s'intende).</tt><tt><br>
</tt><tt> Ma a parte questo, ora m'incuriosisce capire
perchè la connessione 10.0.0.x <-> 172.17.87.10
non viene tracciata come NEW/ESTABLISHED da conntrack.</tt><tt><br>
</tt></div>
</blockquote>
<div><tt><br>
</tt></div>
<div><tt>Penso che la connessione sia di per sè gestita
tramite TCP e non IGMP.</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Correct, conntrack traccia TCP e UDP, agnostico al protocollo.<br>
<br>
<blockquote
cite="mid:CAP_qYy=2uxDwVNMFEhQDiXWdxN+4CxTvG=SBh9br3JSV7apV=Q@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<div bgcolor="#FFFFFF" text="#000000"><tt> No, no, niente
di particolare. Solo: mi sto facendo le ossa solo
adesso su iptables; inoltre vorrei che mi dicessi che
procedura hai seguito per impostare le tue regole di
routing su OpenWRT. Avviando il firewall nell'output
mi informa che avvia diversi hook, ma solo alcuni sono
presenti in /etc/config/firewall, altri sembrano
essere altrove, ma non so dove. Ho solo individuato
/etc/firewall.user per specificare delle regole
custom. </tt><tt><br>
</tt><tt> Magari c'è altro?</tt><tt><br>
</tt><tt> Altra curiosità, perché hai messo il clamping
a Capizzanux?</tt><tt><br>
</tt></div>
</blockquote>
<div><tt><br>
</tt></div>
<div><tt>Il Clamp è per test verso un altro nodo ma devo
toglierlo perchè non mi serve.</tt></div>
<div><tt>Ricordati sempre di /etc/rc.local :)</tt></div>
</div>
</div>
</div>
</blockquote>
<br>
<tt>Ok, thanks!</tt><br>
<br>
<blockquote
cite="mid:CAP_qYy=2uxDwVNMFEhQDiXWdxN+4CxTvG=SBh9br3JSV7apV=Q@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<blockquote type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0
0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex"><tt> A naso potrebbe
essere qualche eccesso di masquerading e/o
di clamping</tt><tt><br>
</tt> <tt> tra le zone del firewall.</tt><tt><br>
</tt> </blockquote>
<div><tt><br>
</tt> </div>
<div><tt>il NAT è disabilitato a Capizzanux,
andiamo ai fatti.</tt></div>
</div>
</div>
</div>
</blockquote>
<tt><br>
</tt><tt> Si, ma a Capizzanux c'è il clamping, a questo
mi riferivo.</tt><tt><br>
</tt><tt> Ad ogni modo, vedi sopra, il problema per
Capizzanux non è decisamente nè NAT nè Clamping.</tt><tt><br>
</tt></div>
</blockquote>
<div><tt><br>
</tt></div>
<div><tt>Concordo, ma solo dalle reti </tt><tt><a
moz-do-not-send="true" href="http://10.0.0.0/8">10.0.0.0/8</a></tt></div>
</div>
</div>
</div>
</blockquote>
<br>
Si, si. Infatti, dal nodo Hacklab che ha indirizzamento Ninux
(172.17.87.2), il 10 e l'11 erano sempre raggiungibili anche da
prima. Erano problematiche le "postazioni".<br>
<br>
<br>
<blockquote
cite="mid:CAP_qYy=2uxDwVNMFEhQDiXWdxN+4CxTvG=SBh9br3JSV7apV=Q@mail.gmail.com"
type="cite">
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">
<div><tt> </tt></div>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000"> <tt><br>
</tt> <tt><br>
</tt><tt> Questo per quanto riguarda Capizzanux.</tt><tt><br>
</tt><tt> Con Verdebinariux ci dev'essere un problema
diverso. Infatti là non c'è il DROP INVALID, e il ping
riesce, mentre quello che fallisce è la connessione
alla WebUI.</tt><tt><br>
</tt><tt> Non ho ancora avuto modo di debuggare.</tt><tt><br>
</tt> <tt><br>
</tt><tt> Stefanauss.</tt><tt><br>
</tt> </div>
</blockquote>
</div>
<tt><br>
</tt></div>
<div class="gmail_extra"><tt>E se ci fosse un male "intrinseco"
? :)</tt></div>
</div>
</blockquote>
<br>
Tipo? È il comportamento atteso?<br>
Dai, indiziami :)<br>
<br>
Stefanauss.<br>
<br>
</body>
</html>