neposlusny source routing

[Rybarik, Michal]

> Ach taaak, ja myslel, ze mate verejne IP. Mirim k tomu, 
> jestli ty pakety 
> skutecne jdou od toho druheho ISP k Vam. Ale to asi mate 
> osetrene resp. 
> vyzkousene...

idu... vidim ze mi pride paket, moj ruter ho nespracuje a neposle dalej.
chyba bola u mna. uz je medzicasom lokalizovana, vid thread "rp_filter " (atd)

> V kazdem pripade bych poustel tcpdump na rozhrani k ISP2 a 
> nejprve bych si 
> zkusil pingnout na nejakou adresu toho ISP2 (napr. DNS 
> server, ktery Vam 
> urcite dal) a pokud to projde, tak pak z vnitrni site pingat 
> na ten DNS 
> server a divat se, jestli chodi odpovedi.... Resp. divat se, 
> jake pakety a 
> s jakou zdrojovou adresou odchazi (cili nedivat se tcpdumpem 
> na vnitrnim 
> rozhrani do site, ale divat se na vnejsim rozhrani).

na vnejsim prichadzaju i odchadzaju s dobrou adresou, s adresou isp2.
problem bol so zblbnutym rp_filter, vidim to na nejaku skaredost v kerneli.
ten paket najprv De-SNATol, a potom na neho aplikoval rp_filter, podla mna
by to malo byt naopak. ked sa splikoval rp_filter, paket bol rp_filterom 
vyhodnocovany na vonkajsom interface, ale uz mal ip-cku prepisanu do vnitni
site, no bordel.

> Ale tohle asi delate a ja jen blabolim... Pac si rikam, ze 
> kdyz delate 
> takove psi kusy, ze jste tyto veci zkusil a ze nejste zadny looser...

:o) teraz ma len tesi, ze ten problem naozaj nebol trivialny a ked sa ukaze
ze so nerobil chybu ja ale kernel, tak sa snad za loosera prestanem povazovat 
;o)

p