[Ninux-Wireless] occhio al rp_filter...

Giuseppe De Marco demarcog83 a gmail.com
Mar 12 Nov 2013 16:21:01 CET


ai ai...aglia...

http://www.slashroot.in/linux-kernel-rpfilter-settings-reverse-path-filtering


Il giorno 12 novembre 2013 14:45, Andrea Pescetelli <
andrea.pescetelli a gmail.com> ha scritto:

> E ringrazia dio che non abbiamo collegato tutte e 4 le interfacce fisiche
> altrimenti vedi tu come ti si smontava la testa....
>
>
>
> Il giorno 12 novembre 2013 14:33, Alessandro Gnagni <
> enterprise.nx a gmail.com> ha scritto:
>
>> Ecco trovato il mistero.....
>> Il 12/nov/2013 14:32 "Nino" <nino a ninux.org> ha scritto:
>>
>> Ciao a tutti,
>>> nel giro di due giorni mi e' capitato di impazzire nell'attivita' di
>>> troubleshooting sulla rete di Roma e Firenze per via dell rp_filter
>>> (Reverse Path Filter) di Linux.
>>> Vi segnalo questo problema perche' e' molto probabile che vi capiti nei
>>> prossimi giorni se utilizzate una linux box come router.
>>>
>>> Problema:
>>> Il problema riguarda il forwarding dei pacchetti che arrivano da un
>>> interfaccia aventi come indirizzo IP sorgente un indirizzo la cui rotta
>>> non punta a quell'interfaccia.
>>> Mi spiego meglio con un esempio:
>>>
>>> -------ifaceA -- ROUTER --ifaceB --------
>>>                   |
>>>                 ifaceC
>>>                   |
>>>                   |
>>>
>>> Immaginiamo, per esempio, che il router abbia una default route che
>>> punta a ifaceC. Che arrivi un pacchetto con indirizzo pubblico su ifaceA
>>> e che deve essere routato su ifaceB.
>>> Il pacchetto viene scartato.
>>> Considerando che ifaceA,ifaceB e ifaceC possono essere anche interfaccie
>>> tunnel, VPN, etc, la condizione descritta e' molto probabile che si
>>> verifichi.
>>>
>>> Soluzione:
>>> settare la variabile sysctl net.ipv4.conf.*.rp_filter a 0
>>> lo * indica il nome dell'interfaccia.
>>> Sembrerebbe che, malgrado sembri il contrario, settare
>>> net.ipv4.conf.default.rp_filter e net.ipv4.conf.all.rp_filter a 0 non
>>> basti ad applicare a tutte le intefacce la disabilitazione del filtro.
>>>
>>>
>>> Ciao a tutti
>>> Nino
>>>
>>
>
>
> --
> Andrea Pescetelli aka Fish
>
> NIC-HDL: AP19394-RIPE
>
> Mobile: +39 3891156050
>
>
>
>
>
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
>
-------------- parte successiva --------------
Un allegato HTML รจ stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20131112/aeaf913b/attachment-0001.html>


Maggiori informazioni sulla lista Wireless