[Linux-Biella] nmap

[Andrea Ferraris]

> Quella di questo nmap e` strana, ma oggi me ne e` capitata una con un ping
> che e` anche piu` strana:
>
> A --- ping ------> FW1 ------> FW2 -----> B
>
> L'utente mi segnala che non riesce, come dovrebbe, a pingare B da A.
Allora
> vado su FW1 (CheckPoint) dove avevo definito le belle regolette per cui
> dovevano passare le icmp echo request da A a B e le icmp echo replay da B
ad
> A e sembrava tutto a posto. Al che lancio
> tcpdump -i <interfaccia FW1 lato A> | grep <IP di A>.
> poi vado su A e lancio ping B. Niente, non arrivava niente. Mentre se
> lanciavo un ping da A all'interfaccia del FW1 da quel lato arrivava
> regolarmente. Le tabelle di routing di A hanno come default gateway FW1 e
se
> faccio un traceroute di B da A, arriva all'interfaccia lato FW1 di FW2,
> quindi passa attraverso FW1.
> Sono sinceramente a corto di idee. Andro` a cercare buchi nel cavo di rete
> da cui possano uscire i bit del ping all'altezza dell'indirizzo di FW1.

La questione si e` fatta ancora piu` interessante. Ho approfondito il
monitoraggio
con tcpdump e l'ho fatto anche sull'interfaccia di A. Il risultato e` che a
FW1 non
arriva il ping di A, ma arriva una richiesta brodcast di A in cui esso
chiede qual'e` il
MAC della scheda di B. Il FW1 non risponde niente, anche perche' non lo sa,
ma
qualcuno e non si riesce a capire chi nemmeno con tcpdump su A, risponde
fornendo
un MAC.Purtroppo tale MAC risulta essere di un altro router che non e` in
grado di
far arrivare l'icmp echo request di A a B. La scappataia e` stata di
infilare a forza nell'
arp table di A (arp -s) come MAC di B quello di FW1 lato A. In questo modo,
fino
al successivo reboot o riconfigurazione della scheda di rete, il ping
funziona, pero` mi
chiedo incredulo, perche' accade tutto cio`?
In primo luogo perche' A fa quella richiesta broadcast quando l'IP di B,
data la netmask
di A, non puo` essere direttamente connesso? Perche' non invia semplicemente
al suo
default gateway che e` FW1? Infine, chi risponde a quella arp request a
broadcast e
perche'? Io diffido e sospetto del Catalyst a cui e` attaccato tutto.

Qualcuno ha qualche idea?

Andrea