[GTER] Suposto problema com Proxy ARP.

Antonio Carlos Pina antoniocarlospina at gmail.com
Fri Mar 31 12:37:21 -03 2006


Traceroute envolve UDP. Se você tinha filtros de UDP, não ia funcionar
mesmo.
Use traceroute -I para usar pacotes ICMP, e aí sim você estará simulando o
ping.


Em 31/03/06, MARLON BORBA <mborba at trf3.gov.br> escreveu:
>
> Srs.,
>
> Enfrentamos, ontem, um problema curioso que gostaria de trazer ao seu
> conhecimento e a respeito do qual desejo ouvir suas opiniões.
> Nosso "firewall" Linux parou de permitir tráfego pela interface pública.
> Observamos que por meio de "ping" conseguíamos chegar ao roteador de borda
> (circuito TRF-Embratel), mas "traceroute" para locais na Internet, nacionais
> ou estrangeiros, "parava" nesse roteador. Executando os mesmos testes a
> partir de outra máquina com IP público, observamos funcionamento normal do
> circuito e do roteador.
> A uma certa altura do campeonato, observei na console uma mensagem de erro
> (que tentarei trazer depois) informando sobre uma condição de erro na
> interface eth1. O interessante era o endereço MAC informado pela placa,
> totalmente mal-formado (com o DOBRO de dígitos ;-)). Não tive dúvidas,
> substituí a placa e tudo passou a funcionar.
> Agora a pergunta: Por que eu conseguia "pingar" o roteador e não conseguia
> passar dele por "ping" e por "traceroute"? Suspeito que tenha algo a ver com
> Proxy ARP: O endereço MAC mal-formado permitia ao roteador devolver os
> pacotes locais, mas não fazer o "forward" para a Internet. É um CISCO 1700.
> Minha teoria está certa ou dei um tiro n água?
>
>
>
> Abraços,
> Marlon Borba, CISSP.
> --
> Se você acha que a criptografia pode resolver
> todos os seus problemas de segurança,
> então você não conhece os seus problemas
> e nem a criptografia.
> (Bruce Schneier)
> --
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list