Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 8 su 8
  1. 13-06-2008, 12:21 #1
    GreyFox86
    GreyFox86 non è in linea
    Utente di HTML.it L'avatar di GreyFox86
    Registrato dal
    Feb 2005
    Messaggi
    1,472

    rete locale con natting

    Ho un problemino nella mia lan. Ho un router sulla rete 192.168.1.0/24, al quale sono collegati i miei pc. Fra questi uno ha due schede di rete, una collegata al router con ip 192.168.1.5 e l'altra che ogni tanto collego con un cavo di cross al portatile per fare esperimenti.
    La rete interna della seconda scheda di rete è 192.168.0.0/24, ed il pc è configurato per fare natting.
    Ora il portatile lo collego un po' alla rete 1.0 ed un po' alla 0.0.
    Utilizzo i file di configurazione di gentoo /etc/conf.d/net per autoconfigurare la rete a differenza del gateway che trova attivo quando si collega utilizzando arping. Come prima scelta ho 192.168.0.1, seconda scelta quello di un'altra rete, altrimenti fallback in dhcp (che sarebbe quello che deve fare quando lo collego al mio router in casa visto che monta dhcp).
    Il problema è che quando lo collego alla 1.0 (quella del router), arping trova risposta 0.1 (ed il mac restituito è quello della scheda che da verso il router con ip 192.168.1.5) quindi applica quel profilo. Inutile dire che non riesca a contattare nessuno, visto che si ritrova con tutte le impostazioni sballate.

    Qui ci sono le scarnissime configurazioni di iptables sul pc con due schede.

    codice:
    root@lincoln:/home/gr3yfox# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
root@lincoln:/home/gr3yfox# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  0    --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
    Non ho idea di cosa andare a toccare e non ho idea del perchè arping risponda per 0.1 da una rete diversa. Qualcuno può aiutarmi per favore?
    GreyFox (Linux registered user #435102)
    greyfox.imente.org - GreyFox's shots (photo gallery)
    $ cd /pub
    $ more beer
    Rispondi quotando Rispondi quotando
  2. 13-06-2008, 13:02 #2
    GreyFox86
    GreyFox86 non è in linea
    Utente di HTML.it L'avatar di GreyFox86
    Registrato dal
    Feb 2005
    Messaggi
    1,472
    ho scoperto che pure rimuovendo tutte le regole di iptables, continua a rispondermi:

    codice:
    # arping 192.168.0.1
ARPING 192.168.0.1 from 192.168.1.3 eth0
Unicast reply from 192.168.0.1 [00:50:BA:38:BE:2B]  0.655ms
Unicast reply from 192.168.0.1 [00:50:BA:38:BE:2B]  1.556ms
Unicast reply from 192.168.0.1 [00:50:BA:38:BE:2B]  0.660ms
Sent 2 probes (1 broadcast(s))
Received 3 response(s)
    00:50:BA:38:BE:2B è il mac di 192.168.1.5 non di 192.168.0.1.
    GreyFox (Linux registered user #435102)
    greyfox.imente.org - GreyFox's shots (photo gallery)
    $ cd /pub
    $ more beer
    Rispondi quotando Rispondi quotando
  3. 13-06-2008, 18:49 #3
    GreyFox86
    GreyFox86 non è in linea
    Utente di HTML.it L'avatar di GreyFox86
    Registrato dal
    Feb 2005
    Messaggi
    1,472
    Disabilitato l'ip_forwarding, cancellata da route l'entry che diceva dove buttare per la rete 192.168.0.0/24, niente. Continua imperterrito a rispondere alla richiesta arp per la sua nic eth0 dandomi il mac di eth1. Non so più che pesci pigliare
    GreyFox (Linux registered user #435102)
    greyfox.imente.org - GreyFox's shots (photo gallery)
    $ cd /pub
    $ more beer
    Rispondi quotando Rispondi quotando
  4. 13-06-2008, 20:14 #4
    GreyFox86
    GreyFox86 non è in linea
    Utente di HTML.it L'avatar di GreyFox86
    Registrato dal
    Feb 2005
    Messaggi
    1,472
    Credo che non c'entri con storie di routing o natting: infatti se metto sulla seconda interaccia (quella non collegata alla rete locale) un ip preso assolutamente a casaccio, e provo a risolvere con arpquery quello, ottengo sempre una risposta.
    GreyFox (Linux registered user #435102)
    greyfox.imente.org - GreyFox's shots (photo gallery)
    $ cd /pub
    $ more beer
    Rispondi quotando Rispondi quotando
  5. 13-06-2008, 21:12 #5
    jaso
    jaso non è in linea
    Utente di HTML.it L'avatar di jaso
    Registrato dal
    Nov 2003
    Messaggi
    566
    buonasera,
    una volta trovai un sito dove in una pagina web spiegava tutto per bene
    il risultato della lettura di quella pagina è riposto sulle regole di iptables che ho impostato nel mio router linux:

    #!/bin/bash

    iptables="/sbin/iptables"

    # Definizione interfaccie
    LO_IFACE="lo" # Interfaccia locale
    LAN_IFACE="eth1" # interfaccia interna (quella della lan)
    EXT_IFACE="ppp0" # interfaccia esterna (quella con cui ti colleghi)

    #echo Setting up default policies...

    #iptables -F
    iptables -X
    iptables -P INPUT DROP
    iptables -F INPUT
    iptables -P OUTPUT DROP
    iptables -F OUTPUT
    iptables -P FORWARD DROP
    iptables -F FORWARD
    #iptables -t nat -F
    #iptables -t mangle -F


    # Abilito le comunicazioni su lo
    iptables -A INPUT -i $LO_IFACE -j ACCEPT

    # Accetta le connessioni con lo stato ESTABLISHED,RELATED e le connessioni dall'esterno.
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -i $LAN_IFACE -j ACCEPT
    iptables -A INPUT -i $LO_IFACE -j ACCEPT

    # Accetta il traffico di output
    iptables -A OUTPUT -j ACCEPT

    # Accetta il traffico che passa dall'interfaccia esterna a quella interna solo se la connessione è già
    # esistente. Accetta invece tutto il traffico proveniente dall'interno verso l'esterno senza restrizioni.
    iptables -A FORWARD -i $EXT_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i $LAN_IFACE -o $EXT_IFACE -j ACCEPT

    # Servizi consentiti a tutte le connessioni provenienti da tutte le interfacce
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT # http

    #iptables -A INPUT -p tcp --dport 4662 -j ACCEPT # amule
    #iptables -A INPUT -p udp --dport 4665 -j ACCEPT # amule
    #iptables -A INPUT -p udp --dport 4672 -j ACCEPT # amule

    iptables -A INPUT -p tcp --dport 6882 -j ACCEPT # mldonkey_bittorrent
    iptables -A INPUT -p tcp --dport 6881 -j ACCEPT # mldonkey_bittorrent

    iptables -A INPUT -p tcp --dport 19757 -j ACCEPT # mldonkey_donkey_client
    iptables -A INPUT -p tcp --dport 19874 -j ACCEPT # mldonkey_port_for_overnet
    iptables -A INPUT -p tcp --dport 14642 -j ACCEPT # mldonkey_port_for_Kademlia

    # Abilita il masquerade
    iptables -t nat -A POSTROUTING -o $EXT_IFACE -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Scarta i pacchetti con indirizzo sorgente 192.168.0.0 se proviene dall'interfaccia esterna
    #echo 1 > /proc/sys/net/ipv4/conf/ppp0/rp_filter

    grazie a http://nmap-online.com/ ho potuto verificare che le regole sono impostate correttamente.

    arrivederci
    LE DONNE:
    COME E' POSSIBILE SPERARE DI CAPIRLE SE LORO STESSE NON RIESCONO A FARLO?
    Rispondi quotando Rispondi quotando
  6. 13-06-2008, 21:32 #6
    GreyFox86
    GreyFox86 non è in linea
    Utente di HTML.it L'avatar di GreyFox86
    Registrato dal
    Feb 2005
    Messaggi
    1,472
    Grazie, ma non c'entra il natting ho scoperto. Ho appena trovato un parametro interessante in /proc/sys/net/ipv4/conf/all/arp_ignore.

    Googlando ho trovato questa pagina che spiega bene di cosa si tratta.
    http://cactuswax.net/articles/arp_ignore/

    E' impostato per default su 0. In pratica il kernel rispondeva a tutte le richieste arp che cercassero uno degli indirizzi a disposizione fra tutte le interfacce. E' bastato spostarlo su 1.

    A questo punto la domanda sorge spontanea... perchè il valore di default è 0?
    GreyFox (Linux registered user #435102)
    greyfox.imente.org - GreyFox's shots (photo gallery)
    $ cd /pub
    $ more beer
    Rispondi quotando Rispondi quotando
  7. 13-06-2008, 21:52 #7
    osvi
    osvi non è in linea
    Utente di HTML.it L'avatar di osvi
    Registrato dal
    May 2001
    Messaggi
    4,185
    scusa il mac è a livello 2 nell'osi, il routing ip al 3

    anche senza ip dovresti poter continuare a comunicarci
    Download Firefox
    Rispondi quotando Rispondi quotando
  8. 15-06-2008, 00:28 #8
    GreyFox86
    GreyFox86 non è in linea
    Utente di HTML.it L'avatar di GreyFox86
    Registrato dal
    Feb 2005
    Messaggi
    1,472
    Non credo abbiano mai comunicato, visto che le due nic sono in reti completamente separate. Era solo un effetto dovuto a quell'impostazione nel kernel per la quale ogni nic rispondeva in arp al posto di ogni altra con il proprio mac e con l'ip della nic richiesta.
    Francamente non riesco a spiegarmi perché quest'impostazione sia di default...
    GreyFox (Linux registered user #435102)
    greyfox.imente.org - GreyFox's shots (photo gallery)
    $ cd /pub
    $ more beer
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.