Bonjour à tous,
C'est un peu la suite des aventures de cette route statique annoncée en
option 121 par le DHCP d'un CheckPoint (cf. début novembre ici sur la
liste). Elle permet aux machines locales d'accéder à celles d'un
sous-réseau distant à travers une passerelle située sur le LAN, qui
n'est pas la passerelle par défaut. Au final, tout a bien voulu fonctionner.
On a un peu changé la topologie du LAN:
- la passerelle en question était jusqu'à présent placée dans le même
VLAN que les autres postes du LAN, en amont du CheckPoint;
- elle a été changée de VLAN, pour être isolée sur un port Ethernet
du CheckPoint, qui lui soit réservé;
- sur le CheckPoint, un bridge remet ensemble ce port Ethernet dédié à
la passerelle et le port Ethernet dédié au reste des machines du LAN;
- cette topologie a pour but de permettre le filtrage sur MAC address
par le CheckPoint (dispo en mode bridgé seulement).
On observe alors un comportement difficile à expliquer par la théorie:
- la passerelle est parfaitement accessible à son adresse IP locale;
depuis le LAN (de l'autre coté du bridge donc), on la pingue, elle
répond, on se logue sans problème, normal, on est sur un bridge;
- par contre, toujours depuis le LAN, on a perdu la connectivité avec
les machines distantes, situées sur le sous-réseau accessible par la
passerelle ?!?
Après quelques vérifications, il apparait que:
- les requêtes vers les machines distantes sont bien acheminées par la
passerelle; elles traversent donc le bridge;
- les réponses parviennent à la passerelle, qui les émet sur son
interface, de son coté du bridge;
- malheureusement, tcpdump est formel: de l'autre coté du bridge, sur
le reste du LAN, le CheckPoint ne transmet aucun des paquets sortant
de la passerelle, dès lors que ceux-ci ont des machines
distantes pour adresse d'origine;
- pour fermer la porte à une fausse piste, le phénomène se produit
aussi bien lorsque le filtrage sur MAC address est activé ou
désactivé sur le CheckPoint;
- cependant, comme dit plus haut, le CheckPoint transmet bien sur le
bridge tous les paquets émis par la passerelle, dès lors que ceux-
ci ont pour adresse d'origine celle de la passerelle elle-même.
Si on essaye de "tirer dans le noir" comme disent les anglo-saxons, ça
fait penser à une règle d'anti-spoofing qui droperait les paquets de
retour, car ils ont une adresse d'origine extérieure au LAN. Mais rien
ne le confirme dans les logs du CheckPoint. Les paquets ont disparus, et
c'est tout.
Bug ou feature ? Y-a-t-il un moyen de configurer le CheckPoint pour
contourner ce problème ? Une route à déclarer pour contourner le filtre
anti-spoofing, pour autant que ce soit lui la cause ?
Merci pour vos conseils ou hypothèses.
--
Frederic Dumas
f.du...@ellis.siteparc.fr
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/