[Linux-Biella] nmap: misteri di rutting

[Andrea Ferraris]

PaulTT scrisse:

> Andrea Ferraris wrote:
> 
>>> Andrea Ferraris wrote:
>>>
>>>   
>>>
>>>> Era una stupidissima rotta in piu` capitata li` chissa` come, chissa`
>>>> perche'.
>>>> Il fatto strano pero` e` che, eliminata, il ping funziona, ma non sono
>>>> riuscito
>>>> a capire perche' con non funzionava:
>>>>
>>>> Riassumendo:
>>>>
>>>> A --------- ping -------> FW1 ----------> FW2 ---------> B
>>>>
>>>> interfaccia di A:
>>>> X.Y.Z.116, netmask 255.255.255.192, broadcast X.Y.Z.127
>>>>
>>>> il default gateway era FW1 con IP X.Y.Z.94
>>>>
>>>> il gateway che cercava di usare effettivamente per raggiungere B
>>>> era X.Y.Z.67.
>>>>
>>>> la riga della rotta che ho tolto per farla funzionare era, da 
>>>> netstat -nr
>>>>
>>>> X.Y.Z.0     X.Y.Z.116
>>>>
>>>> maccheccazzo centra col fatto che usasse come default gateway
>>>> X.Y.Z.67 invece di X.Y.Z.94 che compariva invece nell'ultima
>>>> riga del netstat -nr come default gateway?
>>>>
>>>> Da cio` si deduce che il networking e` un'arte di comparazione,
>>>> nel senso che ho sono andato sulla X.Y.Z.117, dove il ping
>>>> a B funzionava, ho comparato le sue tabelle di routing con quelle
>>>> della macchina che non funzionava e poi ho eliminato da A
>>>> la rotta che non c'era su questa 117.
>>>>
>>>>
>>>>     
>>>
>>> ecco ora ho capito. solo B che indirizzo aveva????
>>>   
>>
>>
>> 'fettivamente ... X.Y.Z.4,5,6, dove 4 era HRSP e gli altri 2
>> i fisici dei rutter remotti. Il comportamento era lo stesso con
>> trentrambi gli IP e quello per cui tutto cio` non mi torna ne' punto
>> ne' poco e` che questi IP non appartengono in nessun modo
>> alla rete di X.Y.Z.116,117/26 con broadcast X.Y.Z.127 e
>> dunque questa sfigatissima macchina sarebbe dovuta passare
>> per il default gateway senza fare domande.
>>
>> Andrea Ferraris
>>  
>>
> se correttamente
> x=x
> y=y
> z=z

None, X=X, Y=Y e Z=Z ;-)

> allora la rete di x.y.z.4,5,6 e' quasi la stessa di x.y.z.116,117/26.

Signora, lei e` un po' incinta! ;-)
O e` la stessa o non lo e`, non siamo in ambito probabilistico, ma 
aritmetico delle certezze e, stando in questo, non e`, dato che la 
x.y.z.64/26, in cui ci sono gli host x.y.z.116 e 117, NON puo` 
comprendere anche gli host x.y.z.4,5,6 che verosimilmente apparterranno 
ad un'altra rete.

> che netmask hanno x.y.z.4,5,6?

Non lo so, ma nemmeno mi importa, so solo che non sono sulla rete di 
x.y.z.116, per cui, per raggiungerli, in mancanza di un gw apposito, 
bisogna passare dal default gateway che e` x.y.z.94.

> cmq e' importante la genmask della tabella di routing
> 
> X.Y.Z.0     X.Y.Z.116
> 
> qual'e'?
> poi:
> se sei maskerato a 26 bit, gli indirizzi veri per te sono dal 193 al 254.
> 116 ha il primo bit a zero, che viene portato a 1 dalla mask, in teoria 
> non sarebbe corretto.

xche'?

> tu avevi da nestat -r
> x.y.z.0   x.y.z.116
> 0.0.0.0   x.y.z.94
> giusto?
> la genmask del default e' surely 0.0.0.0, ma l'altra?
> quali altre route avevi, se ne avevi?
> se la genmask della x.y.z.0 e' la stessa degli indirizzi 4,5,6, allora 
> usa come gw x.y.z.116, indi manda un broadcast sull'interfaccia 
> relativa, correttamente.

Ooooooohhhhhhhh .... ma basta la` ;-)
grz 1000, dopo questa chiara, esauriente e succinta spiegazione le reti 
non avranno piu` misteri per me ;-), grazie ancora.
Non me lo ricordo, ma la genmask della x.y.z.0 era verosimilmente 
255.255.255.0 e quindi comprendeva il 4,5 e 6.
C'era poi anche una
x.y.z.64       x.y.z.116      con genmask 255.255.255.192

A questo punto pare proprio che l'operazione svolta di togliere quella 
rotta, oltre che empiricamente, abbia senso anche da un punto di vista 
teorico, dato che non e` certamente corretto che una macchina cerchi
di vedere come direttamente connesse delle interfacce che stanno due 
firewall piu` in la`.
Adesso ci sarebbe solo da capire chi e perche' rispondeva con il MAC 
dell'interfaccia del router x.y.z.67 per raggiungere x.y.z.4,5,6 , 
quando poi questo router non era in grado di eseguire l'instradamento.
La cosa strana e` che nella risposta alla richiesta ARP a broadcast 
della x.y.z.116 con cui era fornito quel MAC per gli IP x.y.z.4,5,6 non
compariva l'IP dell'interfaccia che rispondeva.

Andrea Ferraris

---
If this message isn't electronically signed (digital authentication),
then it could come from anybody, also from who appears as the sender.