<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=iso-8859-1" http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
Ciao Valerio!<br>
Bello strano il tuo problema.<br>
Ho spulciato anche io un po' internet e mi sono imbattuto in questo
documento.<br>
So che non e' il tuo caso, ma la dinamica d&agrave; da pensare...<br>
Ti allego un estratto da&nbsp;&nbsp;
<a class="moz-txt-link-freetext" href="http://edu.let.unicas.it/lgei/lgei0001/lgei0001_02.html">http://edu.let.unicas.it/lgei/lgei0001/lgei0001_02.html</a><br>
<br>
"... Un altro problema serio&nbsp; scoperto durante la ricerca&nbsp; &egrave;
che chi attacca puo superare l'autenticazione&nbsp; <b>rlogin</b>. Un
maleitezionato
puo creare un pacchetto con un indirizzo di IP falso, uno noto al
sistema
di destinazione. Quando il pacchetto viene inviato, la selezione di CC
permette al pacchetto di essere accettato immediatamente, ed ai dati di
essere passati. Il sistema di destinazione quindi invia un SYNACK al ip
originale. Quando questo SYNACK arriva, il sistema di destinazione
originale
invia un riavvio, come se non fosse in uno stato di SYN-SENT. Ci&ograve;
accade troppo tardi, come se il comando fosse gi&agrave; stato eseguito
sul sistema di destinazione. ...."<br>
<br>
Ora non penso proprio che tu sia in una situazione di SYN Attack, ma mi
fa pensare il discorso della ritrasmissione per SYN-SENT....<br>
Hai verificato che non ti si perdano dei bit nei pacchetti ? o che il
checksum arrivi corretto?<br>
<br>
Se vuoi mandarmi l'output di wireshark ci posso guardare volentieri.<br>
Ciao<br>
Paride (baleF028)<br>
<pre class="moz-signature" cols="72">----
 Tu non pensi quadridimensionalmente, Marty...
----
Linux user # 459656 - Linux machine # 367969

Blog: <a class="moz-txt-link-freetext" href="http://toboldlygowherenoonehasgonebefore.blogspot.com">http://toboldlygowherenoonehasgonebefore.blogspot.com</a>
----
Mailing list info: <a class="moz-txt-link-freetext" href="http://lists.linux.it/listinfo/imolug">http://lists.linux.it/listinfo/imolug</a>
</pre>
<br>
<br>
valerio balbi ha scritto:
<blockquote
 cite="mid:edd0054b0803080300v5eab2425k428b6a83b2502426@mail.gmail.com"
 type="cite">
  <pre wrap="">Ciao a tutta la ML!

Come confidato con alcuni di voi sto giocando all'evoluzione del
firewall LisCO presentato a IF07.
Per precisione sto cercando di implementare "private virtual firewall".
Credo di aver sfrugugliato la rete senza trovare indizi che mi possano aiutare
per cui mi permetto di sottoporvi lo "Strano caso dei Pacchetti Duplicati"


Scena del Crimine
                      -----------------------
I   )    |           |       |       |       |     |      -------
N  (     +-----------+ eth2 -+       +- eth4 +-----|     |       |
T   )    |           |       |       |       |     |-----+       |
E  (     |           |      br0     br1      |     |     |       |
R   )    |           |                       |     |     |       |
N  (     |           |        ipTables       |    [B]     -------
E   )    |           |      kernel 2.6.18    |
T  (    [A]           -----------------------

Ho introdotto i bridge per poter aggiungere le tun dei virtual private
firewall,
ma prima di evolvere allo stadio definitivo ho fatto un po' di prove
che mi hanno
lasciato un po' perplesso. Il pc sulla rete B tenta di fare il
download di un file grosso
(per esempio l'ultima stabile da <a class="moz-txt-link-abbreviated" href="http://www.kernel.org">www.kernel.org</a>), ma dopo un po' il
trasferimento
si blocca e cade rovinosamente. Sul firewall le regole di filtering
sono applicate ai
bridge, come pure le regole di source nat.


Il R.I.S.
Allora ho preso la trace con l'ottimo wireshark sia in A che in B e mi
sono reso conto
che sulla rete B c'erano un sacco di ritrasmissioni... (ho gi&agrave;
cambiato i cavi e l'hub)

In particolare:
1 SYN dal pc a br1 misurato su B
2 SYN da br0 NAT-tato verso Internet misurato su A
3 SYNACK da Internet verso br0 misurato su A
4 SYNACK da Internet verso pc proveniente da br1 misurato su B
5 SYNACK da Internet verso pc proveniente da br1 misurato su B

Il pacchetto 5 non mi convince x niente, secondo me non dovrebbe mica esserci!
Comunque l'unica differenza tra i pacchetti 4 e 5 &egrave; il TTL maggiorato
di 1 nel pacchetto 5
Immagino che questa duplicazione generi un flood che uccide la
sessione se la sessione &egrave;
corposa come un bel download.

Le Accuse
Sto pensando che forse c'&egrave; qualche problema sul driver sundance usato
per comandare
la scheda quadriporta D-Link DFE-580TX, ma non ho trovato evidenze
significative sui NG.
Oppure potrebbe essere una configurazione sbagliata dei parametri
/proc/sys/net/ipv4/conf/br.
Oppure potrebbe essere un limite del virtual bridge integrato nel
kernel (stp disabilitato).

Secondo voi in quale punto del ragionamento sto "prendendo il granchio"?

Grazie per l'Attenzione! Ciao!
  </pre>
</blockquote>
</body>
</html>