[Ninux-Calabria] Attenti al NAT di openWRT

Stefano De Carlo stefanauss a gmail.com
Lun 8 Dic 2014 14:19:39 CET


Il 07/12/2014 19:51, Vincenzo Pirrone ha scritto:
> Il 07/12/2014 19:38, Giuseppe De Marco ha scritto:
>> cmq è la stessa cosa, il sorgente lo controlli o con iptables o con
>> policy routing, l'effetto è il medesimo
> Spiego meglio il problema indirizzato dal policy routing

Ancora meglio, un esempio già successo:

Quando ancora stavo impostando il nodo, e non lo avevo collegato al mio modem, c'era Luca e anche Spax che annunciavano (volontariamente) la default route per tutta Ninux. Quindi anche nella stanza "ninuxizzata" avevo una route verso Internet.

Avevo due 0.0.0.0 nelle rotte, ma mi era impossibile utilizzarle, quelle due, altre eventuali, niet.

Questo perché in entrambi i casi, chiaramente, il mio next-hop è Brodolini, che ha una sua default route dovuta al tunnel VPN, al quale però non sono abilitato in NAT.
Questa default ha metrica minore di quelli annunciati da Ninux (essendo direttamente connessa), quindi vengo comunque instradato verso di lì, per poi essere bloccato dal NAT.

In sostanza, Brodolini mi fa da blackhole verso le default route annunciate da Ninux.

Il problema, come dice Spax, è indirizzato dall'implementazione del Policy Routing.
Il Source Routing, invece, ci permetterà di attaccare tra un po' le situazioni di multihoming in IPv6. Ma questa è una storia lontana almeno 12 mesi.

Stefanauss.

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  819 bytes
Descrizione: OpenPGP digital signature
URL:         <http://ml.ninux.org/pipermail/calabria/attachments/20141208/0454ecdb/attachment-0001.sig>


Maggiori informazioni sulla lista Calabria