Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Problema connection tracking & nat

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Mar Dic 09, 2008 11:52 pm    Oggetto: Problema connection tracking & nat Rispondi citando

Ciao a tutti,

Oggi configurato il netbalancing di ZSb11 da un cliente che già lo utilizzava con successo da 3\4 mesi come Router\Firewall\qos, dopo un pò di difficoltà ho capito come ragiona il netbalancing.. e complimenti a Fulvio.. adesso ho diviso la banda per i PC e Per I server.. in modo che utilizzino Tiscali i server & il voip ed Alice Adsl i PC della rete Smile)

DA questo cliente ho anche installato un PBX basato su asterisk con 10 linee Voip esterne.

Ho notato un piccolo "bug" che non sono riuscito a risolvere.. e che sto tentando ancora tutt'ora di trovare una soluzione.

Ovvero, spiego lo scenario...
Come forse molti non sanno, asterisk quando perde la connesisone col proivder Voip.. inizia a fare una sorta di "flooding" di tentativi di connessione verso il provider dato che l'IP lo tiene in cache dns.

Se riavvio ZS e il pbx si accorge che la connessione col provider Voip è defunta, inizia questo Flooding continuo... e come rivede ZS up come gateway gli spara subito i pacchetti per cercare di mettersi in contatto con il provider... e fino a quà... tutto normale!

Ma.. se nel frattempo che ZS sta effettuando il caricamento di tutte le configurazione di natting, firewalling e patate varie il PBX spara i pacchetti UDP, ZS li forwarda con l'IP di LAN sulla scheda di rete connessa direttamente a Internet (ho la solita Tiscali con 32IP statici senza NAT lato router loro)... quì avviene l'inghippo...
ovvero, il conntrack memorizza la tipologia di connessione nei suoi record... e vita natural durante fa passare TUTTI i pacchetti verso il provider VoIP senza nattarlo.

Una sola soluzione ho trovato per adesso.. e di mettere il chain Forward in DROP, e poi riabilitarlo dopo il reboot... ma la cosa è troppo ososa e non copre in caso di Blackout.

Come posso fare per "bypassare" il problema ?

X Fulvio: Non si potrebbe mettere di default il chain "Forward" in drop durante il boot e poi abilitarlo a fine Boot ?
Così da assicurarci che eventuali pacchetti che vengono inviati, in fase di configurazione al boot non bypassino le regole, ne creano problemi di questo tipo ?

Ciao a tutti!

P.s. il problema non è relativo al Netbalancing.. perchè ho notato, che sono stato solo fortunato che la cosa non s'è presentata fino adesso, è stato solo un caso.. perchè poi avevo provveduto a disabilitare la nuova configurazione ed abilitare la vecchia... e idem con patate!
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Mer Dic 10, 2008 1:21 am    Oggetto: Rispondi citando

Per adesso.. forse ho trovato una soluzione molto maccheronica..

Nello script di Pre Boot ho messo:
/root/kerbynet.cgi/scripts/fw_changepolicy FORWARD DROP

e nel Post Boot:
/root/kerbynet.cgi/scripts/fw_changepolicy FORWARD ACCEPT

Così.. pare che riesco a far rimanere la Policy DROP fino alla fine del caricamento del sistema.. e poi ripristinarla col Post boot.
Top
Profilo Invia messaggio privato
ufoonline



Registrato: 03/07/08 22:16
Messaggi: 261

MessaggioInviato: Ven Gen 30, 2009 2:26 am    Oggetto: Rispondi citando

Mi sono accorto che la soluzione precedente non era completamente attendibile, dato che se chi floddava stava all'esterno.. amen finiva bloccato vita natural durante.

Allora per tagliare la testa al toro, una sola riga di script in Post Boot...
/usr/local/sbin/conntrack -F

Così viene flushata la tabella del conntrack dopo il riavvio.. e tutto torna a funzionare Smile
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it