El 2009-04-30 a las 11:15 +0200, carlopmart escribió:
Camaleón wrote:
Hace unos días que he añadido un nuevo equipo en la red. Desde su puesta en marcha, registro los siguientes datos en el cortafuegos (sólo la mac está modificada): *** Apr 29 19:40:18 linux kernel: SFW2-INext-DROP-DEFLT IN=eth0 OUT= MAC=xxxx SRC=10.5.110.1 DST=192.168.0.5 LEN=56 TOS=0x00 PREC=0x00 TTL=254 ID=0 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.5 DST=172.16.0.30 LEN=221 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=201 ]
Yo no tengo ni idea de iptables (me gusta mas ipfilter de los BSD), pero el registro lo que sí dice es que te llegan paquetes de la red 172.16.0.0/16
Arg, eso es lo que me temía y lo que me preocupa. Las redes están separadas, físicamente. No deberían llegar paquetes entre ambas.
(por cierto, ¿porque usas TODA esa red? ¿tantas máquinas tienes ahí?)
No, no hay tantas :-) El rango de uso efectivo es desde 172.16.0.1 hasta 172.16.0.254. No sólo hay ordenadores y servidores sino sais, routers, switches e impresoras que ocupan también una IP.
a ese host y dicho host los rechaza como "Communication Administratively Prohibited". A priori es un tipo de paquete que puede enviar un switch, un router o bien un host que actue como enrutador (incluidos los firewalls).
Es decir, que el windows xp le está intentando enviar un paquete al suse y éste lo rechaza. Si esa interpretación es correcta, tendré que revisar el equipo que está enviando esos paquetes y por qué. Lo que me extraña es que sea un paquete icmp y que la dirección del equipo que registra el cortafuegos sea del segundo adaptador de red. ¿Cómo estará pasando los paquetes de un adaptador de red al otro? :-?
De entrada yo miraría bien la configuración de esos switches. Ojo: si tienes dos switches configurados con VLAN tagging, QoS y demás especies y les "enganchas" otro switch que en realidad te actúa como un hub (como aquel que dice), este último va a enviar por todas sus bocas tráfico broadcast, multicast, etc ... Por ello es probable que el prolema lo tengas en los switches. Yo es lo primero que miraría.
Lo curisoso es que las redes 172.0.0.1 y 192.168.0.1 no tienen ninguna conexión compartida física, ningún cable las interconecta ni comunica. Sólo algunos equipos de la red 192.168.0.1 (por ejemplo, ese windows xp) tienen dobles adaptadores de red que le permiten acceder a ambas redes, pero ninguno de estos equipos actúa como router o como bridge :-?
Y de segundas, si tienes ese Windows XP de dos interfaces enrutando, ya has encontrado el porqué ....
Sobre elminar el mensaje, si no voy equivocado hay parámetros en el kernel para que no te los registre o los rechace en forma silent (vamos no entregará nada a iptables). En concreto mira estos:
net.ipv4.icmp_ignore_bogus_error_responses net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_echo_ignore_all
Gracias por el análisis :-) Voy a hacer pruebas con ese host en concreto que es el único que está haciendo cosas raras, a ver qué encuentro. Desactivando el adaptador de red lo primero debería ver es que se dejan de registrar esos mensajes en el cortafuegos, pero tendré que esperar a que termine la jornada para hacerlo. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org