[Linux-Biella] nmap

[Andrea Ferraris]

> Andrea Ferraris wrote:
>
> >>Quella di questo nmap e` strana, ma oggi me ne e` capitata una con un
ping
> >>che e` anche piu` strana:
> >>
> >>A --- ping ------> FW1 ------> FW2 -----> B
> >>
> >>L'utente mi segnala che non riesce, come dovrebbe, a pingare B da A.
> >>
> >>
> >Allora
> >
> >
> >>vado su FW1 (CheckPoint) dove avevo definito le belle regolette per cui
> >>dovevano passare le icmp echo request da A a B e le icmp echo replay da
B
> >>
> >>
> >ad
> >
> >
> >>A e sembrava tutto a posto. Al che lancio
> >>tcpdump -i <interfaccia FW1 lato A> | grep <IP di A>.
> >>poi vado su A e lancio ping B. Niente, non arrivava niente. Mentre se
> >>lanciavo un ping da A all'interfaccia del FW1 da quel lato arrivava
> >>regolarmente. Le tabelle di routing di A hanno come default gateway FW1
e
> >>
> >>
> >se
> >
> >
> >>faccio un traceroute di B da A, arriva all'interfaccia lato FW1 di FW2,
> >>quindi passa attraverso FW1.
> >>Sono sinceramente a corto di idee. Andro` a cercare buchi nel cavo di
rete
> >>da cui possano uscire i bit del ping all'altezza dell'indirizzo di FW1.
> >>
> >>
> >
> >La questione si e` fatta ancora piu` interessante. Ho approfondito il
> >monitoraggio
> >con tcpdump e l'ho fatto anche sull'interfaccia di A. Il risultato e` che
a
> >FW1 non
> >arriva il ping di A, ma arriva una richiesta brodcast di A in cui esso
> >chiede qual'e` il
> >MAC della scheda di B. Il FW1 non risponde niente, anche perche' non lo
sa,
> >ma
> >qualcuno e non si riesce a capire chi nemmeno con tcpdump su A, risponde
> >fornendo
> >un MAC.Purtroppo tale MAC risulta essere di un altro router che non e` in
> >grado di
> >far arrivare l'icmp echo request di A a B. La scappataia e` stata di
> >infilare a forza nell'
> >arp table di A (arp -s) come MAC di B quello di FW1 lato A. In questo
modo,
> >fino
> >al successivo reboot o riconfigurazione della scheda di rete, il ping
> >funziona, pero` mi
> >chiedo incredulo, perche' accade tutto cio`?
> >In primo luogo perche' A fa quella richiesta broadcast quando l'IP di B,
> >data la netmask
> >di A, non puo` essere direttamente connesso? Perche' non invia
semplicemente
> >al suo
> >default gateway che e` FW1? Infine, chi risponde a quella arp request a
> >broadcast e
> >perche'? Io diffido e sospetto del Catalyst a cui e` attaccato tutto.
> >
> >Qualcuno ha qualche idea?
> >
> >
> non ho capito un cazzo.
> se c'e' winshit di mezzo, manco mi frega, invero.
> se no mi son perso io per strada.

Niente Winshit, solo host UNIX (in particolare A, su cui posso mettere le
mani,
HP-UX 11i o per la precisione B11.11), il CheckPoint (sw di firewall
commerciale)
FW1 gira su una RedHat hardened, FW2 e` un PIX Cisco e Catalyst e` uno
switch molto intelligente Cisco a cui e` attaccata tutta sta roba.

Un cazzo e` troppo o troppo poco a seconda dei casi, nel senso che un poco
stanco
e non ho voglia di riscrivere tutto se non mi dici che cosa hai capito e/o
che cosa non
hai capito o perche' non hai capito niente.

Andrea