[Pluto-help] Probelm di rouiting

Topo-Gigio fanabe a tin.it
Gio 10 Gen 2002 09:52:36 CET


Salve amici di tutta Italia e oltre,

vi scrivo per sottoporvi un piccolo quesito.

Il mio sistema è Caldera eServer2.3 kernel-2.4.12.
La macchina in questione è un server IBM Netfinity 330 monoprocessore
PentiumII 233Mhz il quale possiede una scheda di rete integrata AMD
PcNet32 10/100Mbit.
Ho aggiunto altre 2 Nic 3COM 3C905C-TX PCI 100/100 Cyclone.

La macchina in questione viene impiegata come firewall, ma la momento
non sono state implementate regole e
consideriamo iptales -F.

la 1° 3Com Nic è eth0 con ip=10.10.10.10 per la sottorete classe C,
255.255.255.0 che serve per la lan interna
la 2° 3Com Nic è eth1 con ip=20.20.20.10 per la DMZ, dove risiedono i
server qmail e apache sempre di classe C
       mail server ip = 20.20..20.20
       web server ip = 20.20.20.21
infine la AMD integrata è eth2 con ip=80.13.23.196(per esempio)  che  ha

come default gateway il cisco 1604R con
ip=80.13.23.193(per esempio), con subnetmask 255.255.255.240

L'ip forwarding è abilitato nel file /etc/rc.d/init.d/network di Caldera

ed ho anche implementato il file:
/etc/sysconfig/network-scripts/ifcfg-routes per la creazione della
routing table classici di Caldera.
Tale file è così strutturato:

route add -net 10.10.10.0 netmask 255.255.255.0 dev eht0
route add -net 20.20.20.0 netmask 255.255.255.0 dev eth1
route add -net 80.13.23.192 netmask 255.255.255.240 dev eth2

Ho verificato che la routing table venga effettivamente  presa, così
anche per il file ip_forward che contenga 1.

I/Il problema è il seguente:

A) Se provo a posizionarmi per esempio sul mail server qmail con
ip=20.20.20.20 e connettere tale server con un cavo incrociato
      con la scheda eth1 del firewall, verifico che effettivamente
riesco a pingare la scheda eth1.
      Riesco anche a pingare le altre Nic del firewall  eth0 ed eth2, ma

non riesco a pingare il router cisco.
      Spostandomi quindi sul firewall verifico che da tale macchina il
router è pingabile.
      Se provo ad effettuare un traceroute sul ip del router dal
firewall nessun priblema, mentre se mi sposto sul server mail
     verifico che il primo hop si blocca sul il ip della eth1.
     Inserendo anche il  server mail su un hub, in modo che sia visibile

non solo dalla eth1, il discorso ovviamente non cambia.

   Idee ?



B) Supponiamo che per esempio la nic eth0  con ip 10.10.10.10 usata per
la lan abbia dei problemi, nel processo di forwarding dei pacchetti
     destinati alle altre 2 schede può causare un blocco dell'inoltre di

questi indipendentemente dal protocollo e quindi nel caso soprastante
non portare
     a termine il ping ?
     Ho verificato + volte che schede che sembrano funzionanti solo
perchè si riuscivano a pingarle in realtà alla fine erano guaste.

C) Sapete dove reperire un HowTo decente in italiano delle Grsecurity
per il 2.4.12?
      Per l'esempio soprastante il kernel non è stato patchato con le
grsecurity.


Salve a tutti e grazie.

Topo-Gigio.





More information about the pluto-help mailing list