[LUGargano] [Risolto] Problemone con squid (che non c'entrava niente, poveretto).

[Carmine Malice]

Pietro Tamburrano ha scritto:
>> Forse perche' le 2 schede insistono sullo stesso switch/hub...
>>
> 
> Esatto!
> 
> Proprio stasera hofatto l'ultima prova staccando la scheda incriminata
> dallo switch e ilproblema si è risolto.
> 

Mi sono scocciato di fare sempre la Cassandra...
Di collegare ciascuna interfaccia di rete del gateway fatto con IPCop ad 
un ramo di rete fisico distinto e separato l'avevo detto fin dal principio.
Solitamente tipi come me quando rilevano che l'umanita' non li ascolta e 
persevera nei suoi errori prendono decisioni serene e pacate tipo 
uccidere in modo plateale e cruento ogni soggetto ricopra ruoli cruciali 
nella societa', lasciando moniti scritti col sangue sulle pareti, mentre 
imprigiona chiunque gli si opponga costringendolo ad osservare la 
realizzazione dei propri progetti mentre incombe la sua esecuzione, 
usualmente mediante ghigliottina.
Siete avvertiti.

> Un collega mi diceva che il problema può essere dovutoal fatto che la
> sottorete utilizzata è
> 
> 192.168.4
> 
> cioè gli ultimi due bit a 00 che, che, a detta sua hanno problemi con
> alcune apparecchiature.
> Il tentativo che faremo è quello di cambiare l'indirizzo della scheda a
> 192.168.5.1 per verificare. Penso che al 99% dovremmo risolvere. 
> Un'altra cosa che faremo a breve è aggiungere uno switch al quale
> collegare la scheda con tutti gli apparati wireless.
> 
> Resta il mistero del diverso comportamento di windows (che non ha mai
> avuto problemi) e Linux.
> 
> Ciao.  
> 

A parte le amenita' (sono ancora indeciso tra la scure e la mannaia, ma 
non disdegno i coltelli), quanto e' successo propone comunque 
problematiche interessanti.

La mia risposta primigenia, di evitare accuratamente la convergenza 
fisica delle reti servite dal gateway IPCop ma anche l'identita' logica 
(dedicando subnet differenti), deriva dall'esperienza diretta con IPCop.
In particolare, fintanto che le due interfacce fisiche del mio IPCop 
(l'una per la LAN servita e l'altra per il resto del mondo) insistevano 
fisicamente sullo stesso switch, squid "si addormentava" (i client non 
raggiungevano piu' i siti web) e questo accadeva avendo esclusivamente 
client MS IE su Win2003 ma specialmente impostando da sempre per i due 
rami non semplicemente 2 subnet della stessa classe ma addirittura due 
classi di rete differenti (l'una 172.16.x.y di classe B e l'altra 
10.x.y.z di classe A) e - si badi - associando loro maschere di rete 
sottoposte alle convenzioni (in entrambi i casi addirittura piu' ridotte 
delle possibilita' effettive, ovvero 255.255.255.0).
In conseguenza dell'osservazione di questo fenomeno, cercando almeno a 
livello concettuale una risposta, immaginai che il sistema IPCop in 
quanto tale reca in se' alcune configurazioni di rete che si preoccupano 
dei flussi di dati "oltre la misura usuale per un computer": bisogna 
infatti tener presente che in definitiva IPCop e' un router ed 
addirittura, cosa ancor piu' importante, un firewall.
Insomma, ho congetturato che IPCop si preoccupi di analizzare i dati del 
traffico di rete fino al livello 2 (MACAddress), magari mettendo in 
modalita' promiscua le interfacce e passando ai livelli superiori 
informazioni che ad un sistema operativo configurato per le operazioni 
comuni non interesserebbero: tutto cio' significa carico elaborativo 
ulteriore, se poi la mole di dati la si espande da se' mescolando reti 
fisicamente e concettualmente diverse si peggiorerebbero le cose, 
inoltre e' supponibile che un tale sistema imponga automatismi di 
limitazione dell'accumulo di dati sui rami di rete.
Tenete presente che infatti un router "di confine" solitamente e' 
configurato per essere un "passante unico e necessario" per la 
ramificazione della LAN che accede al resto del mondo e che soprattutto 
e' usuale che la sua interfaccia WAN (resto del mondo) sia addirittura 
configurata in modalita' "punto a punto" ovvero per una subnet la cui 
netmask lasci spazio per soli 2 (due!) host: l'altro e' il suo pari 
grado dall'altra parte!
Non ho mai avuto comunque risorse documentali e specialmente tempo da 
investire per indagare queste cose.

Nel caso di specie, poi, tutto veniva complicato da una subnet mask 
fuori delle convenioni: al di la' di tutte le speculazioni possibili 
sulla fattibilita', rimane il fatto che non arrivando mai alla piena 
padronanza di tutti gli apparati messi in rete (come si comporta 
un'interfaccia di rete di una stampante? E gestita da WinXP col suo 
firewall? E dallo stesso IPCop?) i risultati finivano con l'avere un 
margine di imprevedibilita'.

A tutto cio' consegue pero' pure l'attagliarsi delle considerazioni 
successivamente riportate da Alessandro su eventuali presenze maliziose 
e scorrette sulla rete: effettivamente tutte le fenomenologie da lui 
descritte sono possibili e possono effettivamente insorgere, dando luogo 
a risultati incoerenti come quelli.
Ma questo aspetto converge con l'altro apsetto rilevato da me: si puo' 
dire di avere la totale padronanza di tutti gli apparati presenti nella 
rete? No? Ed allora bisogna accettare di sottostare alle convenzioni ed 
addirittura anche alle soluzioni semplicistiche e semplificanti 
(isolamento dei rami di rete mediante switch o cavi incrociati che 
partino da IPCop): le convenzioni e le soluzioni prosastiche servono 
appunto a ridurre le variabili in campo!

Ciao!

P.S.: A San Giovanni Rotondo i ragazzi non sono distratti dal pallone o 
dalla playstation ma dall'alcol, per non parlare di altre sostanze...

> --
> La permanenza in lista LUGargano e` regolata dal rispetto degli altri e della Netiquette:
>             http://www.nic.it/NA/netiquette.txt
>