neposlusny source routing
Rybarik, Michal
mrybarik na tronet.sk
Pondělí Prosinec 22 18:01:26 CET 2003
> Ach taaak, ja myslel, ze mate verejne IP. Mirim k tomu,
> jestli ty pakety
> skutecne jdou od toho druheho ISP k Vam. Ale to asi mate
> osetrene resp.
> vyzkousene...
idu... vidim ze mi pride paket, moj ruter ho nespracuje a neposle dalej.
chyba bola u mna. uz je medzicasom lokalizovana, vid thread "rp_filter " (atd)
> V kazdem pripade bych poustel tcpdump na rozhrani k ISP2 a
> nejprve bych si
> zkusil pingnout na nejakou adresu toho ISP2 (napr. DNS
> server, ktery Vam
> urcite dal) a pokud to projde, tak pak z vnitrni site pingat
> na ten DNS
> server a divat se, jestli chodi odpovedi.... Resp. divat se,
> jake pakety a
> s jakou zdrojovou adresou odchazi (cili nedivat se tcpdumpem
> na vnitrnim
> rozhrani do site, ale divat se na vnejsim rozhrani).
na vnejsim prichadzaju i odchadzaju s dobrou adresou, s adresou isp2.
problem bol so zblbnutym rp_filter, vidim to na nejaku skaredost v kerneli.
ten paket najprv De-SNATol, a potom na neho aplikoval rp_filter, podla mna
by to malo byt naopak. ked sa splikoval rp_filter, paket bol rp_filterom
vyhodnocovany na vonkajsom interface, ale uz mal ip-cku prepisanu do vnitni
site, no bordel.
> Ale tohle asi delate a ja jen blabolim... Pac si rikam, ze
> kdyz delate
> takove psi kusy, ze jste tyto veci zkusil a ze nejste zadny looser...
:o) teraz ma len tesi, ze ten problem naozaj nebol trivialny a ked sa ukaze
ze so nerobil chybu ja ale kernel, tak sa snad za loosera prestanem povazovat
;o)
p
Další informace o konferenci Linux