[Ninux-Wireless] occhio al rp_filter...
Giuseppe De Marco
demarcog83 a gmail.com
Mar 12 Nov 2013 21:50:35 CET
E be, senza rp_filter il packet-forgery e lo spoofing dietro i dispositivi
potrebbe suscitare malsane abitudini.
Perchè poi un router all'interno di una rete dovrebbe fare routing a
qualsiasi pacchetto gli giunga su una interfaccia... Promiscuo e immorale.
Il giorno 12 novembre 2013 18:07, Clauz <clauz a ninux.org> ha scritto:
> Da qua:
> http://lartc.org/howto/lartc.kernel.html
> sembra che la motivazione di questo comportamento sia la sicurezza.
>
> Clauz
>
>
> On 11/12/2013 04:08 PM, federico la morgia wrote:
> > Linux è un signore !!
> > Pure quando gli dici di routtà lui non lo fa mai completamente !
> > Chapeau !
> >
> > --- Messaggio originale ---
> >
> > Da: "Andrea Pescetelli" <andrea.pescetelli a gmail.com>
> > Inviata: 12 novembre 2013 16:03
> > A: "Alessandro Gnagni" <enterprise.nx a gmail.com>
> > Cc: "contatti" <contatti a ninux.org>, "ninux.org [ninux_wireless]"
> > <wireless a ml.ninux.org>, "Nodi Roma ML @ninux.org" <
> nodi-roma a ml.ninux.org>
> > Oggetto: Re: [Ninux-Wireless] occhio al rp_filter...
> >
> > E ringrazia dio che non abbiamo collegato tutte e 4 le interfacce
> > fisiche altrimenti vedi tu come ti si smontava la testa....
> >
> >
> >
> > Il giorno 12 novembre 2013 14:33, Alessandro Gnagni
> > <enterprise.nx a gmail.com <mailto:enterprise.nx a gmail.com>> ha scritto:
> >
> > Ecco trovato il mistero.....
> >
> > Il 12/nov/2013 14:32 "Nino" <nino a ninux.org <mailto:nino a ninux.org>>
> > ha scritto:
> >
> > Ciao a tutti,
> > nel giro di due giorni mi e' capitato di impazzire
> nell'attivita' di
> > troubleshooting sulla rete di Roma e Firenze per via dell
> rp_filter
> > (Reverse Path Filter) di Linux.
> > Vi segnalo questo problema perche' e' molto probabile che vi
> > capiti nei
> > prossimi giorni se utilizzate una linux box come router.
> >
> > Problema:
> > Il problema riguarda il forwarding dei pacchetti che arrivano da
> un
> > interfaccia aventi come indirizzo IP sorgente un indirizzo la
> > cui rotta
> > non punta a quell'interfaccia.
> > Mi spiego meglio con un esempio:
> >
> > -------ifaceA -- ROUTER --ifaceB --------
> > |
> > ifaceC
> > |
> > |
> >
> > Immaginiamo, per esempio, che il router abbia una default route
> che
> > punta a ifaceC. Che arrivi un pacchetto con indirizzo pubblico
> > su ifaceA
> > e che deve essere routato su ifaceB.
> > Il pacchetto viene scartato.
> > Considerando che ifaceA,ifaceB e ifaceC possono essere anche
> > interfaccie
> > tunnel, VPN, etc, la condizione descritta e' molto probabile che
> si
> > verifichi.
> >
> > Soluzione:
> > settare la variabile sysctl net.ipv4.conf.*.rp_filter a 0
> > lo * indica il nome dell'interfaccia.
> > Sembrerebbe che, malgrado sembri il contrario, settare
> > net.ipv4.conf.default.rp_filter e net.ipv4.conf.all.rp_filter a
> > 0 non
> > basti ad applicare a tutte le intefacce la disabilitazione del
> > filtro.
> >
> >
> > Ciao a tutti
> > Nino
> >
> >
> >
> >
> > --
> > Andrea Pescetelli aka Fish
> >
> > NIC-HDL: AP19394-RIPE
> >
> > Mobile: +39 3891156050
> >
> >
> >
> >
> >
> >
> > _______________________________________________
> > Wireless mailing list
> > Wireless a ml.ninux.org
> > http://ml.ninux.org/mailman/listinfo/wireless
> >
>
> _______________________________________________
> Wireless mailing list
> Wireless a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/wireless/attachments/20131112/a6bf6873/attachment-0001.html>
Maggiori informazioni sulla lista
Wireless