Ciao a tutti!
Scrivo qui per aver delucidazioni su un problema di rete che ho scoperto oggi e che credo mi toglierà il sonno per un po' di tempo :)

la mia rete è così composta
pc desktop <----> router wifi-adsl
Tutte le macchine sono attestate sulla rete 192.168.1.0/24.

Oggi, per caso, ho lanciato questo comando
fping -g 192.168.0.0/24

e ho trovato viva e vegeta la macchina 192.168.0.254!!!

La cosa bizzarra è che questa macchina ovviamente sia raggiungibile dato che sulla mia rete non esiste e il router fa solo routing verso internet.
mi sono insospettito e ho fatto un po' di test:
brainstorm@rabside-desktop:~$ tracepath 192.168.0.254
1: 192.168.1.2 (192.168.1.2) 0.131ms pmtu 1492
1: 192.168.1.1 (192.168.1.1) 1.243ms
2: 213.205.24.86 (213.205.24.86) 110.607ms
3: 213.205.27.178 (213.205.27.178) 33.831ms
4: 213.205.31.13 (213.205.31.13) 59.661ms
5: no reply
6: no reply
7: ....


gli hop per cui passo sono gli stessi, o molto simili a quelli per cui passo per raggiungere, a esempio, maya.ngi.it:
brainstorm@rabside-desktop:~$ tracepath maya.ngi.it
1: 192.168.1.2 (192.168.1.2) 0.199ms pmtu 1492
1: 192.168.1.1 (192.168.1.1) 0.983ms
2: 213.205.24.86 (213.205.24.86) 33.904ms
3: 213.205.27.194 (213.205.27.194) 198.239ms
4: 213.205.31.13 (213.205.31.13) 100.971ms
5: ge-4-1-0.mil10.ip.tiscali.it (213.205.25.81) asymm 6 63.637ms
6: inet-gw.ip.tiscali.net (213.200.68.22) 107.737ms
7: 212.239.110.46 (212.239.110.46) 123.431ms
8: shield1-ext.net.ngi.it (81.174.0.246) 89.711ms
9: no reply
10: no reply
11: no reply


Da ciò deduco le macchina si trova su internet, ma mi chiedo come possa raggiungerla. Non utilizzo nemmeno vpn farlocche di qualche tipo, a tal proposito:
brainstorm@rabside-desktop:~$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:15:F2:26:46:99
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::215:f2ff:fe26:4699/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5077199 errors:0 dropped:0 overruns:0 frame:0
TX packets:5009026 errors:0 dropped:0 overruns:4 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3068328549 (2.8 GiB) TX bytes:1901418469 (1.7 GiB)
Interrupt:177 Base address:0xc800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:22917 errors:0 dropped:0 overruns:0 frame:0
TX packets:22917 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:12883021 (12.2 MiB) TX bytes:12883021 (12.2 MiB)


e
brainstorm@rabside-desktop:~$ route -n
Kernel IP routeing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0


infine incuriosito da sta macchina zozzona ho fatto uno scan, ecco i risultati:
Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2007-04-02 18:50 CEST
DNS resolution of 1 IPs took 0.21s.
Initiating SYN Stealth Scan against 192.168.0.254 [1679 ports] at 18:50
Increasing send delay for 192.168.0.254 from 0 to 5 due to 88 out of 292 dropped probes since last increase.
The SYN Stealth Scan took 62.00s to scan 1679 total ports.
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 192.168.0.254 appears to be up ... good.
Interesting ports on 192.168.0.254:
Not shown: 1677 closed ports
PORT STATE SERVICE VERSION
135/tcp filtered msrpc
1720/tcp filtered H.323/Q.931
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=4.10%P=i686-pc-linux-gnu%D=4/2%Tm=4611349D%O=-1%C=1)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Nmap finished: 1 IP address (1 host up) scanned in 73.581 seconds
Raw packets sent: 3087 (137.772KB) | Rcvd: 1685 (77.510KB)


molto interessanti il fingerprint e i servizi visibili... forse una macchina win virtualizzata su un sistema linux?

attendo lumi
Ciao!!

Si tratta probabilmente del gateway del gestore. Se il tuo router lo supporta, verifica la tabella arp.

Si tratta probabilmente del gateway del gestore. Se il tuo router lo supporta, verifica la tabella arp.

Lo pensavo anche io, però nella tabella arp non compare nulla, inoltre col traceroute se fosse un gateway dovrei raggiungerlo in pochissimi hop. non credi?

Dovresti verificare la tabella arp del router non del computer. Ultimamente i gestori stanno configurando le punto-punto dei router su rete privata in modo tale da recuperare un bel po' di IP pubblici. Normalmente le punto-punto sono trasparenti e non dovrebbero vedersi e rispondere ad alcun comando.

Dovresti verificare la tabella arp del router non del computer. Ultimamente i gestori stanno configurando le punto-punto dei router su rete privata in modo tale da recuperare un bel po' di IP pubblici. Normalmente le punto-punto sono trasparenti e non dovrebbero vedersi e rispondere ad alcun comando.

prima mi riferivo alla tabella arp del mio router, compaiono solo 2 pc attivi della mia sottorete.
In ogni caso dici che non c'è da preoccuparsi? giusto per non essere paranoico :eek:

Per curiosita' porta un computer sulla rete 192.168.0.x e verifica. Puoi anche bloccare la rete 192.168.0.x sul router in modo che non esca.

Per curiosita' porta un computer sulla rete 192.168.0.x e verifica. Puoi anche bloccare la rete 192.168.0.x sul router in modo che non esca.

mmm carina l'idea del blocco, davvero molto
Purtroppo però il router mi consente di bloccare i pc solo della mia sottorete, non ho potere su 192.168.0.x

Dovrebbe essere sufficiente bloccarla sulla tua sotto rete; anche se dalla WAN non impedisci l'ingresso alla rete 192.168.0.x, nessun PC della LAN sara' piu' in grado di rispondere. Se non hai VPN o altri collegamenti, estenderei a tutte le reti private: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8.