[Ninux-Calabria] Momenti di oscurità HPCC verso parti di NinuxCS
Stefano De Carlo
stefanauss a gmail.com
Lun 17 Feb 2014 00:14:15 CET
Il 16/02/2014 22:43, Giuseppe De Marco ha scritto:
>
>
> Il giorno 16 febbraio 2014 21:09, Stefano De Carlo
> <stefanauss a gmail.com <mailto:stefanauss a gmail.com>>ha scritto:
>
> Il problema risiede nel fatto che, per ragioni che non mi sono
> ancora chiare, il pacchetto di ritorno, indirizzato a 10.0.0.100,
> non costituisce una connessione NEW, ESTABLISHED o RELATED e
> dunque netfilter lo classifica come INVALID. A differenza degli
> altri GR NinuCS, Capizzanux_Router è impostato per il DROP dei
> pacchetti INVALID.
> Disabilitando temporaneamente la regola, il pacchetto di ritorno
> passa e l'hacklab vede Capizzanux;
> riabilitandolo, niente più echo reply.
>
>
> Ma guarda l'ho abilitato tipo 3 giorni addietro.
> Prima non c'era mica e il problema singhiozzava, vabè.
> Toglila direttamente su Capizzanux, sei libero di.
Ma infatti potrebbe anche essere che 3 giorni fa il problema non c'era,
ma ancora non mi ero applicato a testarlo :)
D'altronde ho realizzato solo pochi giorni fa della presenza degli
indirizzi .10 e .11.
Ho disabilitato il DROP INVALID, sembra comportarsi come ho descritto,
10 e 11 sono raggiungibili, se ti rendi conto che ti serve riabilita
senza scrupoli.
> Il problema verrebbe sicuramente risolto disabilitando il DROP
> degli INVALID (a meno che tu non abbia delle specifiche ragioni
> per averlo abilitato, s'intende).
> Ma a parte questo, ora m'incuriosisce capire perchè la connessione
> 10.0.0.x <-> 172.17.87.10 non viene tracciata come NEW/ESTABLISHED
> da conntrack.
>
>
> Penso che la connessione sia di per sè gestita tramite TCP e non IGMP.
Correct, conntrack traccia TCP e UDP, agnostico al protocollo.
>
>
>
> No, no, niente di particolare. Solo: mi sto facendo le ossa solo
> adesso su iptables; inoltre vorrei che mi dicessi che procedura
> hai seguito per impostare le tue regole di routing su OpenWRT.
> Avviando il firewall nell'output mi informa che avvia diversi
> hook, ma solo alcuni sono presenti in /etc/config/firewall, altri
> sembrano essere altrove, ma non so dove. Ho solo individuato
> /etc/firewall.user per specificare delle regole custom.
> Magari c'è altro?
> Altra curiosità, perché hai messo il clamping a Capizzanux?
>
>
> Il Clamp è per test verso un altro nodo ma devo toglierlo perchè non
> mi serve.
> Ricordati sempre di /etc/rc.local :)
Ok, thanks!
>> A naso potrebbe essere qualche eccesso di masquerading e/o di
>> clamping
>> tra le zone del firewall.
>>
>>
>> il NAT è disabilitato a Capizzanux, andiamo ai fatti.
>
> Si, ma a Capizzanux c'è il clamping, a questo mi riferivo.
> Ad ogni modo, vedi sopra, il problema per Capizzanux non è
> decisamente nè NAT nè Clamping.
>
>
> Concordo, ma solo dalle reti 10.0.0.0/8 <http://10.0.0.0/8>
Si, si. Infatti, dal nodo Hacklab che ha indirizzamento Ninux
(172.17.87.2), il 10 e l'11 erano sempre raggiungibili anche da prima.
Erano problematiche le "postazioni".
>
>
>
>
> Questo per quanto riguarda Capizzanux.
> Con Verdebinariux ci dev'essere un problema diverso. Infatti là
> non c'è il DROP INVALID, e il ping riesce, mentre quello che
> fallisce è la connessione alla WebUI.
> Non ho ancora avuto modo di debuggare.
>
> Stefanauss.
>
>
> E se ci fosse un male "intrinseco" ? :)
Tipo? È il comportamento atteso?
Dai, indiziami :)
Stefanauss.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140217/78265dca/attachment-0001.html>
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: signature.asc
Tipo: application/pgp-signature
Dimensione: 836 bytes
Descrizione: OpenPGP digital signature
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140217/78265dca/attachment-0001.sig>
Maggiori informazioni sulla lista
Calabria