[Linux-Biella] nmap

[PaulTT]

Andrea Ferraris wrote:

>>Quella di questo nmap e` strana, ma oggi me ne e` capitata una con un ping
>>che e` anche piu` strana:
>>
>>A --- ping ------> FW1 ------> FW2 -----> B
>>
>>L'utente mi segnala che non riesce, come dovrebbe, a pingare B da A.
>>    
>>
>Allora
>  
>
>>vado su FW1 (CheckPoint) dove avevo definito le belle regolette per cui
>>dovevano passare le icmp echo request da A a B e le icmp echo replay da B
>>    
>>
>ad
>  
>
>>A e sembrava tutto a posto. Al che lancio
>>tcpdump -i <interfaccia FW1 lato A> | grep <IP di A>.
>>poi vado su A e lancio ping B. Niente, non arrivava niente. Mentre se
>>lanciavo un ping da A all'interfaccia del FW1 da quel lato arrivava
>>regolarmente. Le tabelle di routing di A hanno come default gateway FW1 e
>>    
>>
>se
>  
>
>>faccio un traceroute di B da A, arriva all'interfaccia lato FW1 di FW2,
>>quindi passa attraverso FW1.
>>Sono sinceramente a corto di idee. Andro` a cercare buchi nel cavo di rete
>>da cui possano uscire i bit del ping all'altezza dell'indirizzo di FW1.
>>    
>>
>
>La questione si e` fatta ancora piu` interessante. Ho approfondito il
>monitoraggio
>con tcpdump e l'ho fatto anche sull'interfaccia di A. Il risultato e` che a
>FW1 non
>arriva il ping di A, ma arriva una richiesta brodcast di A in cui esso
>chiede qual'e` il
>MAC della scheda di B. Il FW1 non risponde niente, anche perche' non lo sa,
>ma
>qualcuno e non si riesce a capire chi nemmeno con tcpdump su A, risponde
>fornendo
>un MAC.Purtroppo tale MAC risulta essere di un altro router che non e` in
>grado di
>far arrivare l'icmp echo request di A a B. La scappataia e` stata di
>infilare a forza nell'
>arp table di A (arp -s) come MAC di B quello di FW1 lato A. In questo modo,
>fino
>al successivo reboot o riconfigurazione della scheda di rete, il ping
>funziona, pero` mi
>chiedo incredulo, perche' accade tutto cio`?
>In primo luogo perche' A fa quella richiesta broadcast quando l'IP di B,
>data la netmask
>di A, non puo` essere direttamente connesso? Perche' non invia semplicemente
>al suo
>default gateway che e` FW1? Infine, chi risponde a quella arp request a
>broadcast e
>perche'? Io diffido e sospetto del Catalyst a cui e` attaccato tutto.
>
>Qualcuno ha qualche idea?
>  
>
non ho capito un cazzo.
se c'e' winshit di mezzo, manco mi frega, invero.
se no mi son perso io per strada.

-- 
Gli uomini non sospettano
quale terribile carico stiano
trasportando a valle.

public gpg key: gpg --keyserver pgp.mit.edu --recv-key 2E61343C