Re: [ml] firewall iptables

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Molto semplicemente la macchina GW risponde alla richiesta ARP per
l'indirizzo Internet anche se la riceve su un'altra interfaccia.

Questo comportamento è configurabile con la voce arp_ignore.
Facendo copia&incolla da google:
"arp_ignore - INTEGER
	Define different modes for sending replies in response to
	received ARP requests that resolve local target IP addresses:
	0 - (default): reply for any local target IP address, configured
	on any interface
	1 - reply only if the target IP address is local address
	configured on the incoming interface
	2 - reply only if the target IP address is local address
	configured on the incoming interface and both with the
	sender's IP address are part from same subnet on this interface
	3 - do not reply for local addresses configured with scope host,
	only resolutions for global and link addresses are replied
	4-7 - reserved
	8 - do not reply for all local addresses

	The max value from conf/{all,interface}/arp_ignore is used
	when ARP request is received on the {interface}"

Prova a lanciare questo comando:

echo 2 > /proc/sys/net/ipv4/conf/all/arp_ignore

e dovresti ottenere il comportamento desiderato.

Buon smanettamento ;)
xeon

PS: il mio IPCop casalingo si comporta uguale, e personalmente non lo
ritengo un problema. Sicuramente se amministri una rete un po' più
sensibile e vuoi evitare l'enumerazione delle reti a 1 hop di distanza è
consigliabile disabilitare la voce.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (MingW32)

iD8DBQFFU5JadPj0aKBXx10RApUdAKDGQmz2EJmrR/3BmBWMKvwHOf3M4QCfR/be
t7en/0mHJ5r1DdnjYwxqqOk=
=BjYI
-----END PGP SIGNATURE-----