Un bel problemino... ISDN & autodial...

To: debian-italian@lists.debian.org
Subject: Un bel problemino... ISDN & autodial...
From: Marco Gaiarin <gaio@linux.it>
Date: Wed, 18 Apr 2001 11:53:37 +0200
Message-id: <20010418115336.A22967@sv.lnf.it>
Come sempre mi incasino la vita.

L'associazione per cui lavoro apre una nuova sede in triveneto, per
motivi che non sto a spiegarvi in una sede mi trovo un bel router Cisco
serie 700 che fa dialup in ISDN, e contemporaneamente una macchinetta
linux con modem isdn.

Pare a me ovvio redirezionare il 700 verso la sede nuova e usare linux
al posto del router. Per risparmiare il costo di un router nuovo...


Ovviamente tutto funziona alla perfezione, in 5 minuti di tramacci
riesco a far andare la connessione ISDN con Linux (dall'altra parte c'è
un altro router Cisco, una serie 2500, può essere?!).

Abilito l'autodial e... mi ritrovo una chiamata ogni 10 minuti!!!
Assolutamente inaccettabile!!! (anche perchè la chiamata è
interrurbana, altro dettaglio di cui non voglio tediarvi...).


Monitoro il traffico più che posso, e quello che noto è che la linea si
alza per del traffico DNS, solitamente diretto verso dei DNS della rete
interna.
Ma se provo ad andare a vedre con tcpdump, noto che pare che il
traffico arriva dall'esterno. Assurdo ma... vediamo:

Questo è quello che isdn mi dice:

Apr 18 10:39:09 curtesan kernel: OPEN: 10.127.1.1 -> 10.10.1.2 TCP, port: 61028 -> 42
Apr 18 10:49:10 curtesan kernel: OPEN: 10.127.1.1 -> 10.10.1.2 TCP, port: 61029 -> 42
Apr 18 10:59:09 curtesan kernel: OPEN: 10.127.1.1 -> 10.10.1.2 TCP, port: 61030 -> 42
Apr 18 11:09:09 curtesan kernel: OPEN: 10.127.1.1 -> 10.10.1.2 TCP, port: 61031 -> 42
Apr 18 11:19:09 curtesan kernel: OPEN: 10.127.1.1 -> 10.10.1.2 TCP, port: 61032 -> 42
Apr 18 11:29:09 curtesan kernel: OPEN: 10.127.1.1 -> 10.10.1.2 TCP, port: 61033 -> 42

e da qui parrebbe che sia 10.127.1.1 (l'interfaccia ippp0 di curtesan)
che genera traffico. Notate la precisione: ogni 10 minuti esatti
spaccati al secondo...
Ma se vado a vedere con tcpdump...

10:39:09.596239 ip_hl < 5 (0)
10:39:10.902573 ip_hl < 5 (0)
10:39:10.933907 ip_hl < 5 (0)
10:39:10.958856 ip_hl < 5 (0)
10:39:10.982515 ip_hl < 5 (0)
10:39:10.985767 ip_hl < 5 (0)
10:39:10.987232 ip_hl < 5 (0)
10:39:11.015297 ip_hl < 5 (0)
10:39:11.045527 10.10.1.2.nameserver > 10.127.1.1.61028: S 595944:595944(0) ack 606674 win 8760 <mss 1460> (DF)
10:39:11.046473 ip_hl < 5 (0)
10:39:11.047103 0.85.24.117 > 64.0.127.6: (frag 55885:44@63512+) [tos 0x6e] [ttl 0]
10:39:11.089019 10.10.1.2.nameserver > 10.127.1.1.61028: P 1:46(45) ack 46 win 8715 (DF)
10:39:11.090279 ip_hl < 5 (0)
10:39:11.124653 10.10.1.2.nameserver > 10.127.1.1.61028: P 46:94(48) ack 66 win 8695 (DF)
10:39:11.128686 0.84.26.117 > 64.0.127.6: (frag 55885:20@63512+) [tos 0x12] [ttl 0]
10:39:11.128904 ip_hl < 5 (0)
10:39:11.162527 10.10.1.2.nameserver > 10.127.1.1.61028: F 94:94(0) ack 110 win 8651 (DF)
10:39:11.163296 ip_hl < 5 (0)
10:39:11.168519 10.10.1.2.nameserver > 10.127.1.1.61028: . ack 111 win 8651 (DF)
10:49:10.183883 ip_hl < 5 (4)
10:49:13.082549 ip_hl < 5 (4)
10:49:13.102106 ip_hl < 5 (4)
10:49:13.126591 ip_hl < 5 (4)
10:49:13.148238 ip_hl < 5 (4)
10:49:13.153703 ip_hl < 5 (4)
10:49:13.155186 ip_hl < 5 (4)
10:49:13.166660 ip_hl < 5 (4)
10:49:13.166741 truncated-ip - 27652 bytes missing!0.44.238.117 > 64.0.127.6: (frag 8297:27650@63512+) [tos 0x65] [ttl 0]
10:49:13.198457 10.10.1.2.nameserver > 10.127.1.1.61029: S 596101:596101(0) ack 606779 win 8760 <mss 1460> (DF)
10:49:13.199334 ip_hl < 5 (0)
10:49:13.199918 0.85.240.117 > 64.0.127.6: (frag 55885:44@63512+) [tos 0x6e] [ttl 0]
10:49:13.204444 10.10.1.2.nameserver > 10.127.1.1.61029: . ack 1 win 8760 (DF)
10:49:13.240217 10.10.1.2.nameserver > 10.127.1.1.61029: P 1:46(45) ack 46 win 8715 (DF)
10:49:13.241554 ip_hl < 5 (0)
10:49:13.274352 10.10.1.2.nameserver > 10.127.1.1.61029: P 46:94(48) ack 66 win 8695 (DF)
10:49:13.278076 0.84.242.117 > 64.0.127.6: (frag 55885:44@63512+) [tos 0x6e] [ttl 0]
10:49:13.278313 ip_hl < 5 (0)
10:49:13.307459 10.10.1.2.nameserver > 10.127.1.1.61029: F 94:94(0) ack 110 win 8651 (DF)
10:49:13.308244 ip_hl < 5 (0)
10:49:13.313460 10.10.1.2.nameserver > 10.127.1.1.61029: . ack 111 win 8651 (DF)
[...]
11:29:09.691419 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.621345 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.643772 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.669255 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.694190 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.697379 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.698845 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@32) [ttl 1]
11:29:12.715278 truncated-ip - 14237 bytes missing!0.44.116.0 > 64.0.127.6: (frag 24320:14231@63512+) [ttl 0]
11:29:12.715361 ip_hl < 5 (0)
11:29:12.747632 10.10.1.2.nameserver > 10.127.1.1.61033: S 724684:724684(0) ack 607045 win 8760 <mss 1460> (DF)
11:29:12.748492 ip_hl < 5 (0)
11:29:12.749115 0.85.119.0 > 64.0.127.6: (frag 55885:20@63512+) [tos 0x12] [ttl 0]
11:29:12.753747 10.10.1.2.nameserver > 10.127.1.1.61033: . ack 1 win 8760 (DF)
11:29:12.793135 10.10.1.2.nameserver > 10.127.1.1.61033: P 1:46(45) ack 46 win 8715 (DF)
11:29:12.795021 ip_hl < 5 (0)
11:29:12.831513 10.10.1.2.nameserver > 10.127.1.1.61033: P 46:94(48) ack 66 win 8695 (DF)
11:29:12.835242 0.84.121.0 > 64.0.127.6: (frag 55885:20@63512+) [tos 0x12] [ttl 0]
11:29:12.835482 ip_hl < 5 (0)
11:29:12.868393 10.10.1.2.nameserver > 10.127.1.1.61033: F 94:94(0) ack 110 win 8651 (DF)
11:29:12.869167 ip_hl < 5 (0)
11:29:12.874486 10.10.1.2.nameserver > 10.127.1.1.61033: . ack 111 win 8651 (DF)

...e a parte la spazzatura iniziale pare che sia 10.10.1.2 (che per la
cronaca è un server NT con effettivamente il servizio DNS attivo,
probabilmente) che chiama la nostra povera macchinetta, curtesan.

Questo ovviamente non ha molto senso, visto che in questo caso si
attiverebbe il callback, che è si abilitato ma viene decisamente
segnalato dal kernel, e queste chiamate non sono generate da callback.


Mi sono guardato un po' la documetazione, ma a parte qualche indizio su
come e dove filtrare roba, non ho trovato nulla di utile.

In particolare mi piacerebbe che la connessione si attivasse solo se
viene generato traffico di un certo tipo (ICMP, pop, http). Ma intanto
mi basta capire chi è che genera questo traffico...


Ovviamente su curtesan gira un nameserver, ma accuratamente *non*
sull'interfaccia 10.127.1.1, solo su quella locale (eth0) 10.27.1.2. Idem
per samba.



Grazie a chi mi illumina.


PS: ho il dubbio che la situazione fosse esattamnte la stessa anche con
il precedente router cisco, solo che nessuno monitorava il traffico (le
bollette non arrivano qui) e non ero stato io a installarlo. ;)

-- 
dott. ing. Marco Gaiarin
  Associazione ``La Nostra Famiglia''      http://www.lanostrafamiglia.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

  No alla censura del Web:	http://punto-informatico.it/petizione.asp
Reply to:
Prev by Date: Re: UATA/100 e NVIDIA TNT2...
Next by Date: Re: disastro rasando via ximian
Previous by thread: Re: disastro rasando via ximian
Next by thread: kernel 2.4.3 di bunk
Index(es):
- Date
- Thread