[GTER] Suposto problema com Proxy ARP.

Abelardo Barbosa Jr. skandor at gmail.com
Fri Mar 31 12:47:04 -03 2006


Em 31/03/06, Antonio Carlos Pina <antoniocarlospina at gmail.com> escreveu:
>
> Traceroute envolve UDP. Se você tinha filtros de UDP, não ia funcionar
> mesmo.
> Use traceroute -I para usar pacotes ICMP, e aí sim você estará simulando o
> ping.
>
>
> Em 31/03/06, MARLON BORBA <mborba at trf3.gov.br> escreveu:
> >
> > Srs.,
> >
> > Enfrentamos, ontem, um problema curioso que gostaria de trazer ao seu
> > conhecimento e a respeito do qual desejo ouvir suas opiniões.
> > Nosso "firewall" Linux parou de permitir tráfego pela interface pública.
> > Observamos que por meio de "ping" conseguíamos chegar ao roteador de
> borda
> > (circuito TRF-Embratel), mas "traceroute" para locais na Internet,
> nacionais
> > ou estrangeiros, "parava" nesse roteador. Executando os mesmos testes a
> > partir de outra máquina com IP público, observamos funcionamento normal
> do
> > circuito e do roteador.
> > A uma certa altura do campeonato, observei na console uma mensagem de
> erro
> > (que tentarei trazer depois) informando sobre uma condição de erro na
> > interface eth1. O interessante era o endereço MAC informado pela placa,
> > totalmente mal-formado (com o DOBRO de dígitos ;-)). Não tive dúvidas,
> > substituí a placa e tudo passou a funcionar.
> > Agora a pergunta: Por que eu conseguia "pingar" o roteador e não
> conseguia
> > passar dele por "ping" e por "traceroute"? Suspeito que tenha algo a ver
> com
> > Proxy ARP: O endereço MAC mal-formado permitia ao roteador devolver os
> > pacotes locais, mas não fazer o "forward" para a Internet. É um CISCO
> 1700.
> > Minha teoria está certa ou dei um tiro n água?
> >
> >
> >
> > Abraços,
> > Marlon Borba, CISSP.
> > --
> > Se você acha que a criptografia pode resolver
> > todos os seus problemas de segurança,
> > então você não conhece os seus problemas
> > e nem a criptografia.
> > (Bruce Schneier)
> > --
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



Oi,

Detesto quando a filtragem de UDP passa assim, como uma coisa normal da
vida, algo com que se deva conviver, e contornar.

Não é.

É uma monstruosidade absoluta que muitos dos sysadmin´s e sobretudo
telco-admin´s insistem em perpetrar.

É de se entender. Quem sempre passou a vida trabalhando  com conexões, deve
se sentir realmente miserável quando alguma coisa foge à esse esquema.

Só para registrar ...

Abraços,

Abelardo.



More information about the gter mailing list