[Ninux-Calabria] Momenti di oscurità HPCC verso parti di NinuxCS

Stefano De Carlo stefanauss a gmail.com
Dom 16 Feb 2014 21:09:30 CET


Il 16/02/2014 14:35, Giuseppe De Marco ha scritto:
>
>
>
>     No, quelli c'erano anche ben prima che annunciassimo 10.0.0.0/8
>     <http://10.0.0.0/8>
>     Apropò:
>     In realtà, ormai i momenti di oscurità sono scomparsi quasi
>     completamente. Tutta NinuCS è accessibile dall'HackLab, a parte 2 host
>     - Le antenne di Capizzanux (172.17.87.10+11)
>     - L'antenna di Verdebinario (172.17.87.12)
>
>
> Particolare !
> Io da verde e da capizzanux accedo ovunque. E immagino anche Spax da
> casa sua.
> Ci troveremo in HL armati di traceroute per sdradicare questo male,
> anzi, inizia a stampare un pò di Debug in lista.
> Non perdiamo tempo.

In realtà il traceroute non offre info particolarmente utili, a causa
della CI è visto tutto come "directly connected", niente routing ma solo
switching.
Il problema l'ho individuato così:
- Lancio un ping da una macchina in Hacklab (10.0.0.100, ad esempio)
verso 172.17.87.10+11
- Seguo il percorso del pacchetto, in particolare:
** Su ogni host interessato: ip r g 172.17.87.10 (o 11); tutti mi
confermano che sanno come inoltrare, e bene, il pacchetto
** Su ogni host che lo permette: tcpdump -i <interface> src 10.0.0.100
oppure dst 172.17.87.10, o viceversa; mi va bene, tutti gli host
interessati lo possiedono

Con questi strumenti si vede tranquillamente che l'antenna 172.17.87.10
riceve la echo request e produce una echo reply verso 10.0.0.100.
Il tcpdump su Ground router di Capizzanux, però, vede sempre e solo la
echo request, e mail la reply. Verificabile con un semplice tcpdump -i
eth1 icmp dst 10.0.0.100.

Il problema risiede nel fatto che, per ragioni che non mi sono ancora
chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100, non
costituisce una connessione NEW, ESTABLISHED o RELATED e dunque
netfilter lo classifica come INVALID. A differenza degli altri GR
NinuCS, Capizzanux_Router è impostato per il DROP dei pacchetti INVALID.
Disabilitando temporaneamente la regola, il pacchetto di ritorno passa e
l'hacklab vede Capizzanux;
riabilitandolo, niente più echo reply.

Il problema verrebbe sicuramente risolto disabilitando il DROP degli
INVALID (a meno che tu non abbia delle specifiche ragioni per averlo
abilitato, s'intende).
Ma a parte questo, ora m'incuriosisce capire perchè la connessione
10.0.0.x <-> 172.17.87.10 non viene tracciata come NEW/ESTABLISHED da
conntrack.

>  
>
>
>     L'unica differenza di comportamento è che Verdebinariux risponde ai
>     ping, Capizzanux no. Per entrambi la WebUI è inaccessibile.
>     Per entrambi, la causa è il firewall. Ho confermato tutto questo
>     disabilitandolo per 30 secondi e verificando la possibilità di
>     accedere.
>     Non so se il resto di NinuCS è in grado di accedere a questi host, da
>     indagare.
>
>
> La risposta è sì, da ovunque, con o senza NAT.

Hai ragione, poi ho verificato :)

>  
>
>
>     Non ho indagato ulteriormente anche perché è più interessante valutare
>     assieme e comunque non ho familiarità con la rationale della tua
>     config.
>
>
> Parliamone, quale tassello ti manca ?

No, no, niente di particolare. Solo: mi sto facendo le ossa solo adesso
su iptables; inoltre vorrei che mi dicessi che procedura hai seguito per
impostare le tue regole di routing su OpenWRT. Avviando il firewall
nell'output mi informa che avvia diversi hook, ma solo alcuni sono
presenti in /etc/config/firewall, altri sembrano essere altrove, ma non
so dove. Ho solo individuato /etc/firewall.user per specificare delle
regole custom.
Magari c'è altro?
Altra curiosità, perché hai messo il clamping a Capizzanux?

>  
>
>     A naso potrebbe essere qualche eccesso di masquerading e/o di clamping
>     tra le zone del firewall.
>
>
> il NAT è disabilitato a Capizzanux, andiamo ai fatti.

Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.
Ad ogni modo, vedi sopra, il problema per Capizzanux non è decisamente
nè NAT nè Clamping.

>  
>
>
>     Ma il post era su G,
>     benvenuto G,
>
>     Stefanauss.
>
>
> G comunica al totale sia con Verde che con Capizzanux che col resto.
> Ocio. 

Questo per quanto riguarda Capizzanux.
Con Verdebinariux ci dev'essere un problema diverso. Infatti là non c'è
il DROP INVALID, e il ping riesce, mentre quello che fallisce è la
connessione alla WebUI.
Non ho ancora avuto modo di debuggare.

Stefanauss.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140216/74f18427/attachment-0001.html>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  836 bytes
Descrizione: OpenPGP digital signature
URL:         <http://ml.ninux.org/pipermail/calabria/attachments/20140216/74f18427/attachment-0001.sig>


Maggiori informazioni sulla lista Calabria