[PLUTO-security] (OT forse)Firewall o routing ?

Beppe beppebz a tin.it
Mer 8 Ott 2003 20:52:59 CEST


Ciao ragazzi,

chiedo scusa se la richiesta potra essere un po' OT,
ma mi sto inabissando in un problema di rete e non ne riesco a percepire 
l'errore (che sarà causato dall'ennesima distrazione :) ).

Dunque, ho migrato alcuni server in DMZ da ip privati a ip pubblici.
Essendo la DMZ coperta da un firewall, ho per il momento mantenuto
il NAT sui servizi, e così tutto funge alla perfezione.

Oggi ho disabilitato temporaneamente il NAT sul firewall, con l'intento di 
provare a contattare direttamente le macchine attraverso l'IP pubblico 
assegnato ed ecco il problema: qualsiasi tentativo di connesione va in 
timeout.

La logica mi suggerisce di controllare se le richieste di connesione giungono 
al server quindi mi munisco di sniffer (sia sul firewall, sia sui server).
Le richieste giungono al server ma noto qualche anomalia nella procedura di 
connesione, che riassumo qui sotto:

1) Il client fa richiesta all'IP pubblico del server, arriva un SYN.

2) Il server risponde al client con un SYN-ACK

3) Il client manda un RST !!!! :(

Anticipo subito, che NON eseguo sugli IP PUBBLICI nessun tipo di Source NAT,
cosa che invece faccio sulla LAN.

Provando semplicemente a pingare i server ottengo:

*Sul server: rilevo la richiesta di ping e in concomitanza viene spedito un
ICMP REPLY.

*Sul client: Richiesta scaduta

eppure le risposte mi sembra che escano correttamente.

Avevo pensato ad un problema di firewall, ma sono dovuto ritornare sui miei 
passi;
svutando completamente le catene e reimpostando la politica in ACCEPT,
la situazione non muta. 

Qualche idea ?

Ciao e grazie a tutti!
-- 
GnuPG Public KEY: 
--->[http://www.bpnets.org/beppe.asc]



Maggiori informazioni sulla lista pluto-security