[Ninux-Calabria] Momenti di oscurità HPCC verso parti di NinuxCS

[Giuseppe De Marco]

Il giorno 16 febbraio 2014 21:09, Stefano De Carlo
<stefanauss a gmail.com>ha scritto:
>
> Il problema risiede nel fatto che, per ragioni che non mi sono ancora
> chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100, non costituisce
> una connessione NEW, ESTABLISHED o RELATED e dunque netfilter lo classifica
> come INVALID. A differenza degli altri GR NinuCS, Capizzanux_Router è
> impostato per il DROP dei pacchetti INVALID.
> Disabilitando temporaneamente la regola, il pacchetto di ritorno passa e
> l'hacklab vede Capizzanux;
> riabilitandolo, niente più echo reply.
>

Ma guarda l'ho abilitato tipo 3 giorni addietro.
Prima non c'era mica e il problema singhiozzava, vabè.
Toglila direttamente su Capizzanux, sei libero di.


> Il problema verrebbe sicuramente risolto disabilitando il DROP degli
> INVALID (a meno che tu non abbia delle specifiche ragioni per averlo
> abilitato, s'intende).
> Ma a parte questo, ora m'incuriosisce capire perchè la connessione
> 10.0.0.x <-> 172.17.87.10 non viene tracciata come NEW/ESTABLISHED da
> conntrack.
>

Penso che la connessione sia di per sè gestita tramite TCP e non IGMP.


>
>
>
>>
>>  L'unica differenza di comportamento è che Verdebinariux risponde ai
>>  ping, Capizzanux no. Per entrambi la WebUI è inaccessibile.
>>  Per entrambi, la causa è il firewall. Ho confermato tutto questo
>>  disabilitandolo per 30 secondi e verificando la possibilità di accedere.
>>  Non so se il resto di NinuCS è in grado di accedere a questi host, da
>>  indagare.
>>
>
>  La risposta è sì, da ovunque, con o senza NAT.
>
>
> Hai ragione, poi ho verificato :)
>

Alle volte servono dei nat customizzati se vi è la volonta dei nodi di
taggarsi una porta verso la loro rete legacy, però non conviene farlo
dall'interfaccia Luci perchè generalizza con tutte le altre interfacce,
mentre le inserisco come custom rules.


>>  Non ho indagato ulteriormente anche perché è più interessante valutare
>>  assieme e comunque non ho familiarità con la rationale della tua config.
>>
>
>  Parliamone, quale tassello ti manca ?
>
>
> No, no, niente di particolare. Solo: mi sto facendo le ossa solo adesso su
> iptables; inoltre vorrei che mi dicessi che procedura hai seguito per
> impostare le tue regole di routing su OpenWRT. Avviando il firewall
> nell'output mi informa che avvia diversi hook, ma solo alcuni sono presenti
> in /etc/config/firewall, altri sembrano essere altrove, ma non so dove. Ho
> solo individuato /etc/firewall.user per specificare delle regole custom.
> Magari c'è altro?
> Altra curiosità, perché hai messo il clamping a Capizzanux?
>

Il Clamp è per test verso un altro nodo ma devo toglierlo perchè non mi
serve.
Ricordati sempre di /etc/rc.local :)

>   A naso potrebbe essere qualche eccesso di masquerading e/o di clamping
>>  tra le zone del firewall.
>>
>
>  il NAT è disabilitato a Capizzanux, andiamo ai fatti.
>
>
> Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.
> Ad ogni modo, vedi sopra, il problema per Capizzanux non è decisamente nè
> NAT nè Clamping.
>

Concordo, ma solo dalle reti 10.0.0.0/8


>
>
>
>>
>>  Ma il post era su G,
>>  benvenuto G,
>>
>>  Stefanauss.
>>
>
>  G comunica al totale sia con Verde che con Capizzanux che col resto.
> Ocio.
>
>
> Questo per quanto riguarda Capizzanux.
> Con Verdebinariux ci dev'essere un problema diverso. Infatti là non c'è il
> DROP INVALID, e il ping riesce, mentre quello che fallisce è la connessione
> alla WebUI.
> Non ho ancora avuto modo di debuggare.
>
> Stefanauss.
>

E se ci fosse un male "intrinseco" ? :)
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140216/2748ca7b/attachment-0001.html>