-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
El 2009-09-16 a las 21:20 +0200, Carlos E. R. escribió:
Eso es así, es de libro.
¿De qué libro hablas, exactamente?
Cualquier libro de redes.
Pero la prueba es sencilla de hacer: se configura un equipo con un adaptador de red sin configurar y se conecta a la red donde está el servidor suse con el zeroconf ese activado. Luego se hace la misma prueba pero con la ruta del zeroconf eliminada. Todo esto con un monitor de red activado para ver por dónde se van los paquetes.
Lo pruebas y me lo cuentas, yo no tengo tantas máquinas como para poder probarlo.
Yo no tengo ninguna duda de que desactivar el zeroconf pueda ser una operación "peligrosa", eres tú quien asegura que los paquetes destintados a una ruta inexistente del zeroconf se van por la puerta de enlace predeterminada >:-)
Mira que eres incrédula... Observa - trato de enviar paquetes a una IP del rango link-local cualquiera (inexistente): nimrodel:~ # traceroute 169.254.0.1 traceroute to 169.254.0.1 (169.254.0.1), 30 hops max, 40 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 nimrodel.valinor (192.168.1.12)(H!) 2883.962 ms (H!) 2876.028 ms (H!) 2867.671 ms nimrodel:~ # ping 169.254.0.1 PING 169.254.0.1 (169.254.0.1) 56(84) bytes of data. - From 192.168.1.12: icmp_seq=2 Destination Host Unreachable - From 192.168.1.12 icmp_seq=2 Destination Host Unreachable - From 192.168.1.12 icmp_seq=3 Destination Host Unreachable - From 192.168.1.12 icmp_seq=4 Destination Host Unreachable ^C - --- 169.254.0.1 ping statistics --- 6 packets transmitted, 0 received, +4 errors, 100% packet loss, time 5003ms , pipe 3 nimrodel:~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default router 0.0.0.0 UG 0 0 0 eth0 Eso es con la configuración normal. Ahora borro la ruta link-local: nimrodel:~ # route del -net 169.254.0.0/16 nimrodel:~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default router 0.0.0.0 UG 0 0 0 eth0 nimrodel:~ # traceroute 169.254.0.1 traceroute to 169.254.0.1 (169.254.0.1), 30 hops max, 40 byte packets 1 router (192.168.1.1) 0.688 ms 0.442 ms 0.449 ms 2 192.168.153.1 (192.168.153.1) 53.018 ms 56.574 ms 53.849 ms 3 X.Red-Z-Y-V.staticIP.rima-tde.net (Z.Y.V.X) 51.855 ms 53.782 ms 51.759 ms 4 * * * 5 * * * ¿Ves como se va al gateway o ruta por defecto, al quitar la ruta del link-local?
Lo has leído mal.
Lo que recomienda es no crear la IP, repito, la IP del zeroconf sobre una interfaz que ya tiene configurada y está operativa. Sí recomienda crear la ruta sobre esa misma interfaz. No te confundas.
¿De qué IP estás hablando? ¿Qué IP te está creando el zeroconf?
Ninguna. Si lo hiciera estaría mal, porque ya tienes una red configurada. Eso es lo que dice el texto. Que no debe crearla en ese caso.
Si en eso estamos de acuerdo... en eso estamos de acuerdo. Por supuesto, conviene desactivar zeroconf. Vale. Ahora, demuestrame que quitar la ruta, y sólo la ruta, desactiva el zeroconf. Porque no me lo trago.
Antes tendrías que definir qué es para ti "desactivar el zeroconf".
Supongo que sólo tener la ruta creada y activa NO hace que el servicio esté operativo y listo para ofrecerse al resto de equipos de la red porque entonces tendríamos un agujero de seguridad como un crater en los sistemas.
Pues la verdad es que quizás sí estaría disponible, o parte del sistema. La parte que le permite a los ordenadores conectados al vuelo obtener una IP, que desconozco que parte del sistema la ofrece. Pudiera ser el avahi, pero no lo sé seguro. Me parece que no hace falta contestación por parte de nadie con IP fija para que funcione: quienes tienen que contestar son los que tienen IPs automáticas. Es que no tienes que ofrecer nada especial... la ruta simplemente permite al ordenador contestar, los servicios son los mismos que tengas normalmente y con el mismo nivel de seguridad que tuvieras normalmente, ni más ni menos. No es la ruta lo que permite establecerse a los ordenadores "visitantes" y obtener una IP. Yo lo que propongo es cortar esos paquetes en el cortafuegos local de todas las máquinas participantes en la red.
Lo que te estamos diciendo es que:
Dado un problema X -> teniendo la ruta activada que crea el zeroconf se generan aviso por parte de los sistemas de seguridad de una red
No, eso es una hipótesis de trabajo, que yo digo que es incorrecta. El dato conocido es que hay unos avisos del sistema de seguridad, y lo que dicen lo desconocemos.
Tenemos la solución Y -> desactivar esa ruta que no está proporcionando ningún servicio y que en ningún caso (ni estando activada ni estando desactivada) supone ningún contratiempo adicional.
Y yo digo que creará contratiempos adicionales. A las pruebas de mi traceroute me remito. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkqxagMACgkQtTMYHG2NR9V5YwCfc8FbXm2IPS9V7+BV+X8L/6Ol LgQAmgJwf0Izi6T1DLRsfSbff96zHTJC =BI1f -----END PGP SIGNATURE-----