Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
traceroute udp verso indirizzi ipv4 configurati su interfacce cisco.
14 views
Skip to first unread message
max.r...@gmail.com
Aug 24, 2015, 11:41:59 AM8/24/15
to
Configurazione: un router cisco di classe 6800, ios 15.2-1, con due interfacce, una lato provider e una lato lan.
Problema: il traceroute udp (che è il default su una macchina linux), specificando indirizzi che si trovano oltre il router dà un output del tutto normale, invece quando l'indirizzo specificato nel comando è l'indirizzo lato lan, l'output del comando sembra "come se" non si arrivasse mai al gateway (asterischi fino alla fine).
Se, dalla stessa macchina linux, (purtroppo) dopo aver ottenuto i privilegi di root, si usa il traceroute icmp cioè:
....# traceroute -I indirizzo.ip.lato.lan
si ottiene un output sensato e fruibile.
Ora, ho una rete con vari switch i quali dispongono di un comando traceroute, ma offrono solo la variante udp e sarebbe comodo, in caso di necessità, poter verificare anche da quelli il percorso verso il gateway di confine.
Mi piacerebbe riuscire a convincere il router cisco a rispondere utilmente quando il suo indirizzo è l'ultimo del sentiero. Sull'interfaccia lato LAN ho escluso per prova ogni access list.
Qualcuno nel newgroup mi può dire se e come si potrebbe fare?
Problema: il traceroute udp (che è il default su una macchina linux), specificando indirizzi che si trovano oltre il router dà un output del tutto normale, invece quando l'indirizzo specificato nel comando è l'indirizzo lato lan, l'output del comando sembra "come se" non si arrivasse mai al gateway (asterischi fino alla fine).
Se, dalla stessa macchina linux, (purtroppo) dopo aver ottenuto i privilegi di root, si usa il traceroute icmp cioè:
....# traceroute -I indirizzo.ip.lato.lan
si ottiene un output sensato e fruibile.
Ora, ho una rete con vari switch i quali dispongono di un comando traceroute, ma offrono solo la variante udp e sarebbe comodo, in caso di necessità, poter verificare anche da quelli il percorso verso il gateway di confine.
Mi piacerebbe riuscire a convincere il router cisco a rispondere utilmente quando il suo indirizzo è l'ultimo del sentiero. Sull'interfaccia lato LAN ho escluso per prova ogni access list.
Qualcuno nel newgroup mi può dire se e come si potrebbe fare?
Gianfranco Bartolini
Aug 24, 2015, 2:05:44 PM8/24/15
to
Il 24/08/2015 17.41, max.r...@gmail.com ha scritto:
> Mi piacerebbe riuscire a convincere il router cisco a rispondere utilmente quando il suo indirizzo è l'ultimo del sentiero. Sull'interfaccia lato LAN ho escluso per prova ogni access list.
>
> Qualcuno nel newgroup mi può dire se e come si potrebbe fare?
Ciao,
> Mi piacerebbe riuscire a convincere il router cisco a rispondere utilmente quando il suo indirizzo è l'ultimo del sentiero. Sull'interfaccia lato LAN ho escluso per prova ogni access list.
>
> Qualcuno nel newgroup mi può dire se e come si potrebbe fare?
probabile che sia causa della direttiva "no ip unreachables" impostata.
Questa per ragioni di sicurezza filtra se il router è target invece che
intermediario.
Puoi provare a cambiarla ma non è una best practice di security.
Qui trovi un paio di discussioni sull'argomento:
https://supportforums.cisco.com/discussion/10840161/no-ip-unreachables
http://blog.ine.com/2007/12/28/understanding-traceroute/
--
Bye
Gianfranco Bartolini
(gianfranco punto bartolini at tiscali punto it)
0 new messages