Carlos E. R. wrote:
Mira que eres incrédula... Observa - trato de enviar paquetes a una IP del rango link-local cualquiera (inexistente):
nimrodel:~ # traceroute 169.254.0.1 traceroute to 169.254.0.1 (169.254.0.1), 30 hops max, 40 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 nimrodel.valinor (192.168.1.12)(H!) 2883.962 ms (H!) 2876.028 ms (H!) 2867.671 ms nimrodel:~ # ping 169.254.0.1 PING 169.254.0.1 (169.254.0.1) 56(84) bytes of data. - From 192.168.1.12: icmp_seq=2 Destination Host Unreachable - From 192.168.1.12 icmp_seq=2 Destination Host Unreachable - From 192.168.1.12 icmp_seq=3 Destination Host Unreachable - From 192.168.1.12 icmp_seq=4 Destination Host Unreachable ^C - --- 169.254.0.1 ping statistics --- 6 packets transmitted, 0 received, +4 errors, 100% packet loss, time 5003ms , pipe 3 nimrodel:~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 link-local * 255.255.0.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default router 0.0.0.0 UG 0 0 0 eth0
Eso es con la configuración normal. Ahora borro la ruta link-local:
nimrodel:~ # route del -net 169.254.0.0/16 nimrodel:~ # route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default router 0.0.0.0 UG 0 0 0 eth0 nimrodel:~ # traceroute 169.254.0.1 traceroute to 169.254.0.1 (169.254.0.1), 30 hops max, 40 byte packets 1 router (192.168.1.1) 0.688 ms 0.442 ms 0.449 ms 2 192.168.153.1 (192.168.153.1) 53.018 ms 56.574 ms 53.849 ms 3 X.Red-Z-Y-V.staticIP.rima-tde.net (Z.Y.V.X) 51.855 ms 53.782 ms 51.759 ms 4 * * * 5 * * *
¿Ves como se va al gateway o ruta por defecto, al quitar la ruta del link-local?
Bravo, plas, plas, plas :)) No he podido evitarlo. Esto es de manual que ese ping se irá a un default gateway, pero ¿cuando he dicho yo que se ejcutaba un ping a una IP linklocal? En ningún correo. Repaso la incidencia: - Los dispositivos de firewall e IPS generan una inidencia porque "detectan" la inserción de una ruta linklocal: el IPS de una forma y el firewall de otra. - Los IPS lanzan una alerta de inserción de ruta zeroconf (recuerda, tienen 3 tablas de enrutamiento distintas ambos servidores) - Las SuSE al levantar la ruta, la publican en todas sus tablas de enrutamiento y las hacen públicas. - Por ende los firewalls lanzan alerta de spoofing, ya que los IPS no bloquean la publicación de rutas (solo faltaba) ¿Donde está el ping? ¿Cuando se supone que los servidores van a hacer un ping a una IP linklocal? ¿Que parte de la configuración de los servidores se supone que falla por eliminar la ruta zeroconf? Y lo más importante, ¿he dicho yo en algún momento que esos servidores hacen uso, publican, requieren o como querais llamarlo de servicios zeroconf? ¿cuando he dicho yo que algún dispositivo en cualesquiera de esos segmentos de red soiliciten ni por asomo IP's (se me caería el pelo)?
Yo lo que propongo es cortar esos paquetes en el cortafuegos local de todas las máquinas participantes en la red.
Para qué?. Esos servidores no van a responder a peticiones de nada que tenga que ver con zeroconf, y mucho menos los firewalls.
Lo que te estamos diciendo es que:
Dado un problema X -> teniendo la ruta activada que crea el zeroconf se generan aviso por parte de los sistemas de seguridad de una red
No, eso es una hipótesis de trabajo, que yo digo que es incorrecta.
El dato conocido es que hay unos avisos del sistema de seguridad, y lo que dicen lo desconocemos.
Te lo digo: "Inserted administrative prohibited route 169.254.0.0/16 on server ..." ... Me parece que te quedas igual ¿no? Por eso no ví necesidad de comentarlo en los correos.
Tenemos la solución Y -> desactivar esa ruta que no está proporcionando ningún servicio y que en ningún caso (ni estando activada ni estando desactivada) supone ningún contratiempo adicional.
Y yo digo que creará contratiempos adicionales. A las pruebas de mi traceroute me remito.
¿Pero que pruebas? ¿Que contratiempos? ¿Que problemas? Lo único que has demostrado es que lanzas un ping que se va a un default gateway ... ¿cuando sale el conejo de la chistera? :))
- -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkqxagMACgkQtTMYHG2NR9V5YwCfc8FbXm2IPS9V7+BV+X8L/6Ol LgQAmgJwf0Izi6T1DLRsfSbff96zHTJC =BI1f -----END PGP SIGNATURE-----
-- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org