E be, senza rp_filter il packet-forgery e lo spoofing dietro i dispositivi potrebbe suscitare malsane abitudini. Perchè poi un router all'interno di una rete dovrebbe fare routing a qualsiasi pacchetto gli giunga su una interfaccia... Promiscuo e immorale.
Il giorno 12 novembre 2013 18:07, Clauz <[email protected]> ha scritto: > Da qua: > http://lartc.org/howto/lartc.kernel.html > sembra che la motivazione di questo comportamento sia la sicurezza. > > Clauz > > > On 11/12/2013 04:08 PM, federico la morgia wrote: > > Linux è un signore !! > > Pure quando gli dici di routtà lui non lo fa mai completamente ! > > Chapeau ! > > > > --- Messaggio originale --- > > > > Da: "Andrea Pescetelli" <[email protected]> > > Inviata: 12 novembre 2013 16:03 > > A: "Alessandro Gnagni" <[email protected]> > > Cc: "contatti" <[email protected]>, "ninux.org [ninux_wireless]" > > <[email protected]>, "Nodi Roma ML @ninux.org" < > [email protected]> > > Oggetto: Re: [Ninux-Wireless] occhio al rp_filter... > > > > E ringrazia dio che non abbiamo collegato tutte e 4 le interfacce > > fisiche altrimenti vedi tu come ti si smontava la testa.... > > > > > > > > Il giorno 12 novembre 2013 14:33, Alessandro Gnagni > > <[email protected] <mailto:[email protected]>> ha scritto: > > > > Ecco trovato il mistero..... > > > > Il 12/nov/2013 14:32 "Nino" <[email protected] <mailto:[email protected]>> > > ha scritto: > > > > Ciao a tutti, > > nel giro di due giorni mi e' capitato di impazzire > nell'attivita' di > > troubleshooting sulla rete di Roma e Firenze per via dell > rp_filter > > (Reverse Path Filter) di Linux. > > Vi segnalo questo problema perche' e' molto probabile che vi > > capiti nei > > prossimi giorni se utilizzate una linux box come router. > > > > Problema: > > Il problema riguarda il forwarding dei pacchetti che arrivano da > un > > interfaccia aventi come indirizzo IP sorgente un indirizzo la > > cui rotta > > non punta a quell'interfaccia. > > Mi spiego meglio con un esempio: > > > > -------ifaceA -- ROUTER --ifaceB -------- > > | > > ifaceC > > | > > | > > > > Immaginiamo, per esempio, che il router abbia una default route > che > > punta a ifaceC. Che arrivi un pacchetto con indirizzo pubblico > > su ifaceA > > e che deve essere routato su ifaceB. > > Il pacchetto viene scartato. > > Considerando che ifaceA,ifaceB e ifaceC possono essere anche > > interfaccie > > tunnel, VPN, etc, la condizione descritta e' molto probabile che > si > > verifichi. > > > > Soluzione: > > settare la variabile sysctl net.ipv4.conf.*.rp_filter a 0 > > lo * indica il nome dell'interfaccia. > > Sembrerebbe che, malgrado sembri il contrario, settare > > net.ipv4.conf.default.rp_filter e net.ipv4.conf.all.rp_filter a > > 0 non > > basti ad applicare a tutte le intefacce la disabilitazione del > > filtro. > > > > > > Ciao a tutti > > Nino > > > > > > > > > > -- > > Andrea Pescetelli aka Fish > > > > NIC-HDL: AP19394-RIPE > > > > Mobile: +39 3891156050 > > > > > > > > > > > > > > _______________________________________________ > > Wireless mailing list > > [email protected] > > http://ml.ninux.org/mailman/listinfo/wireless > > > > _______________________________________________ > Wireless mailing list > [email protected] > http://ml.ninux.org/mailman/listinfo/wireless >
_______________________________________________ Wireless mailing list [email protected] http://ml.ninux.org/mailman/listinfo/wireless
