
<div dir="ltr">E be, senza rp_filter il packet-forgery e lo spoofing dietro i dispositivi potrebbe suscitare malsane abitudini.<div>Perchè poi un router all'interno di una rete dovrebbe fare routing a qualsiasi pacchetto gli giunga su una interfaccia... Promiscuo e immorale.</div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">Il giorno 12 novembre 2013 18:07, Clauz <span dir="ltr"><<a href="mailto:clauz@ninux.org" target="_blank">clauz@ninux.org</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Da qua:<br>

<a href="http://lartc.org/howto/lartc.kernel.html" target="_blank">http://lartc.org/howto/lartc.kernel.html</a><br>

sembra che la motivazione di questo comportamento sia la sicurezza.<br>

<br>

Clauz<br>

<br>

<br>

On 11/12/2013 04:08 PM, federico la morgia wrote:<br>

> Linux è un signore !!<br>

> Pure quando gli dici di routtà lui non lo fa mai completamente !<br>

> Chapeau !<br>

><br>

> --- Messaggio originale ---<br>

><br>

> Da: "Andrea Pescetelli" <<a href="mailto:andrea.pescetelli@gmail.com">andrea.pescetelli@gmail.com</a>><br>

> Inviata: 12 novembre 2013 16:03<br>

> A: "Alessandro Gnagni" <<a href="mailto:enterprise.nx@gmail.com">enterprise.nx@gmail.com</a>><br>

> Cc: "contatti" <<a href="mailto:contatti@ninux.org">contatti@ninux.org</a>>, "<a href="http://ninux.org" target="_blank">ninux.org</a> [ninux_wireless]"<br>

> <<a href="mailto:wireless@ml.ninux.org">wireless@ml.ninux.org</a>>, "Nodi Roma ML @<a href="http://ninux.org" target="_blank">ninux.org</a>" <<a href="mailto:nodi-roma@ml.ninux.org">nodi-roma@ml.ninux.org</a>><br>


> Oggetto: Re: [Ninux-Wireless] occhio al rp_filter...<br>

><br>

> E ringrazia dio che non abbiamo collegato tutte e 4 le interfacce<br>

> fisiche altrimenti vedi tu come ti si smontava la testa....<br>

><br>

><br>

><br>

> Il giorno 12 novembre 2013 14:33, Alessandro Gnagni<br>

> <<a href="mailto:enterprise.nx@gmail.com">enterprise.nx@gmail.com</a> <mailto:<a href="mailto:enterprise.nx@gmail.com">enterprise.nx@gmail.com</a>>> ha scritto:<br>

><br>

>     Ecco trovato il mistero.....<br>

><br>

>     Il 12/nov/2013 14:32 "Nino" <<a href="mailto:nino@ninux.org">nino@ninux.org</a> <mailto:<a href="mailto:nino@ninux.org">nino@ninux.org</a>>><br>

>     ha scritto:<br>

><br>

>         Ciao a tutti,<br>

>         nel giro di due giorni mi e' capitato di impazzire nell'attivita' di<br>

>         troubleshooting sulla rete di Roma e Firenze per via dell rp_filter<br>

>         (Reverse Path Filter) di Linux.<br>

>         Vi segnalo questo problema perche' e' molto probabile che vi<br>

>         capiti nei<br>

>         prossimi giorni se utilizzate una linux box come router.<br>

><br>

>         Problema:<br>

>         Il problema riguarda il forwarding dei pacchetti che arrivano da un<br>

>         interfaccia aventi come indirizzo IP sorgente un indirizzo la<br>

>         cui rotta<br>

>         non punta a quell'interfaccia.<br>

>         Mi spiego meglio con un esempio:<br>

><br>

>         -------ifaceA -- ROUTER --ifaceB --------<br>

>                           |<br>

>                         ifaceC<br>

>                           |<br>

>                           |<br>

><br>

>         Immaginiamo, per esempio, che il router abbia una default route che<br>

>         punta a ifaceC. Che arrivi un pacchetto con indirizzo pubblico<br>

>         su ifaceA<br>

>         e che deve essere routato su ifaceB.<br>

>         Il pacchetto viene scartato.<br>

>         Considerando che ifaceA,ifaceB e ifaceC possono essere anche<br>

>         interfaccie<br>

>         tunnel, VPN, etc, la condizione descritta e' molto probabile che si<br>

>         verifichi.<br>

><br>

>         Soluzione:<br>

>         settare la variabile sysctl net.ipv4.conf.*.rp_filter a 0<br>

>         lo * indica il nome dell'interfaccia.<br>

>         Sembrerebbe che, malgrado sembri il contrario, settare<br>

>         net.ipv4.conf.default.rp_filter e net.ipv4.conf.all.rp_filter a<br>

>         0 non<br>

>         basti ad applicare a tutte le intefacce la disabilitazione del<br>

>         filtro.<br>

><br>

><br>

>         Ciao a tutti<br>

>         Nino<br>

><br>

><br>

><br>

><br>

> --<br>

> Andrea Pescetelli aka Fish<br>

><br>

> NIC-HDL: AP19394-RIPE<br>

><br>

> Mobile: <a href="tel:%2B39%203891156050" value="+393891156050">+39 3891156050</a><br>

><br>

><br>

><br>

><br>

><br>

><br>

> _______________________________________________<br>

> Wireless mailing list<br>

> <a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>

> <a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>

><br>

<br>

_______________________________________________<br>

Wireless mailing list<br>

<a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>

<a href="http://ml.ninux.org/mailman/listinfo/wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/wireless</a><br>

</blockquote></div><br></div>