sslug-teknik team mailing list archive

[Henrik Christian Grove <sslug@xxxxxxx>]

Bent Bagger <bent.bagger@xxxxxxx> writes:

> On 2011-09-20 21:33, Andreas Kring wrote:
>> De to tcpdump kommandoer giver følgende output:
>>
>> root@abit:/home/andreas# tcpdump -i eth0 host 130.225.213.113
>> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>> listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
>> 21:26:40.831750 IP eee.local > www.sslug.dk: ICMP echo request, id
>> 15878, seq 1, length 64
>> 21:26:41.839340 IP eee.local > www.sslug.dk: ICMP echo request, id
>> 15878, seq 2, length 64
>> 21:26:42.847400 IP eee.local > www.sslug.dk: ICMP echo request, id
>> 15878, seq 3, length 64
>>
>> og
>>
>> root@abit:/home/andreas# tcpdump -i eth1 host 130.225.213.113
>> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>> listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
>> 21:26:40.831677 IP eee.local > www.sslug.dk: ICMP echo request, id
>> 15878, seq 1, length 64
>> 21:26:41.839303 IP eee.local > www.sslug.dk: ICMP echo request, id
>> 15878, seq 2, length 64
>> 21:26:42.847366 IP eee.local > www.sslug.dk: ICMP echo request, id
>> 15878, seq 3, length 64
>>
>> Der står tilsyneladende noget med "request", men ikke noget med
>> "result"... Kan denne info fra de to traces hjælpe mig videre?

Der skal ikke stå noget med "result", svar-pakkerne hedder "ICMP
echo reply" - men det er et ligegyldig detalje.

>>
> Den fortæller mig, at requestene ('ping'-ene) kommer igennem din
> router, d.v.s at routningen fungerer. :-)

Det kommer an på hvad man mener med routning. Det viser at
maskinen forwarder pakker, men det viser også at de går ud
med en source-ip der svarer til eee.local. Med mindre du har sat noget
f*cket reverse DNS op på dit eget net så er det en privat
(RFC-1918) adresse. Din ISP bør shave et filter der smider de
pakker væk, men hvis vi antog at de nåede frem til
www.sslug.dk, så ville den forsøge at sende et svar
tilbage til den private adresse, og det svar ville ikke have en jordisk
chance for at nå fremtil dig, men mmåske bliver nde samme adres
brugt internt på NBI (hvor www.sslug.dk står)og i
så fald ville svaret blive sendt til en intetanende maskine
på NBI - og hvis du forestiller dig at 10000 mennesker sendte den
slags pakker, og overvejer konsekvensen for den intetanende maskine, har
du forklaringen på hvorfor din ISP bør smide pakken væk.

Du har brug for at sætte maskinen til at lave NAT, du kan klare
dig med den simple udgave der kaldes masquerading.

Det er et stykke tid siden jeg har sat det op, men jeg mener det er nok
med en regel i stil med:
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE
men søg efter "iptables masquerade".

.Henrik

P.S. (lige så meget til Bent) Når I beder folk
udføre en tcpdump-kommando, eller udfører en fordi I er
blevet bedt om det, for at få hjælp, så (bed dem) brug(e) -n, så
der ikke bliver lavet reverse DNS (eller slået port numre op),
det fjerner en fejlkilde.

-- 
>> Jo ja nej �b�Helt enig.
Me too ... 
				 -- vi lader personerne bag v� anonyme