трафик между подсетями

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
WideAreaNetwork
проходил мимо
Сообщения: 9
Зарегистрирован: 2017-01-10 14:37:13

трафик между подсетями

Непрочитанное сообщение WideAreaNetwork » 2017-10-18 18:47:59

сори если не правильно излагаю суть, но вы подправьте меня)

есть FreeBSD 11.0-RELEASE-p12, c PF для ната и проброски портов и IPFW для биллинга (шейпит + дает доступ абонентам в инет)

интерфейс VLAN 10, на нем две подсети
10.168.125.0/26
10.168.128.0/26
с адресами
10.168.128.1
10.168.125.1

есть два роутера, один в одной подсети другой в другой
адрес первого роутера 10.168.128.23 внутренняя подсеть 192.168.1.0/24
адрес второго роутера 10.168.125.16 внутренняя подсеть 192.168.0.1/24

так на роутере 10.168.125.16 прописал, что подсеть 192.168.1.0/24 находиться за 10.168.128.23
и он ее не видит
когда шлюзом был микротик все работало

по моему скромному мнению ипфв не дает доступ, потому как на втором роутере выдавая ему адрес с подсети 10.168.128.0/26 все начинает прекрасно работать
пожалуйста помогите решить проблему

Код: Выделить всё

[root@homeline ~]# ipfw show
00050       6927        583684 allow tcp from any to me dst-port 22
00051       5156       5354229 allow tcp from me 22 to any
00110     815727    4938074092 allow ip from any to any via lo0
00120   11467586    1030548260 skipto 1000 ip from me to any
00130        785         48064 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160   29504426    2479879586 skipto 2000 ip from any to me
00200 2257096069 2006104238211 skipto 500 ip from any to any via vlan109
00300  857180047  175357100789 skipto 4500 ip from any to any in
00400 1385503015 1800664869514 skipto 450 ip from any to any recv vlan109
00420    5979672     658111804 divert 1 ip from any to any
00450 1391482583 1801322979238 divert 2 ip from any to any
00490 1391429355 1801247261540 allow ip from any to any
00500 1407697783 1831834201142 skipto 32500 ip from any to any in
00510  849398286  174270037069 divert 1 ip from any to any
00540  849387422  174269714613 allow ip from any to any
01000    5988868     579607343 allow udp from any 53,7723 to any
01010      15069       3059337 allow tcp from any to any setup keep-state
01020    9200811    1105534660 allow udp from any to any keep-state
01100     769297      68291958 allow ip from any to any
02000          0             0 check-state
02010      57478       5247542 allow icmp from any to any
02020     161974      10424107 allow tcp from any to any dst-port 22,80,443,5006
02030          0             0 allow tcp from table(101) to any dst-port 3306
02050   18675978    1323876749 deny ip from any to any via vlan109
02060    6012440     409063138 allow udp from any to any dst-port 53,7723
02100      90097       5323012 deny ip from any to any
04500     217296      14830629 allow ip from any to table(100)
05000          0             0 skipto 18502 ip from table(24) to table(14)
05001          0             0 allow ip from table(44) to table(14)
05002  777148829  146954809517 skipto 18503 ip from table(21) to table(11)
05003   78521170   28237583296 allow ip from table(41) to table(11)
18500     415969      29540154 fwd 127.0.0.1,8080 tcp from any to any dst-port 80
18501     874238     120087433 deny ip from any to any
18502          0             0 pipe tablearg ip from table(24) to any
18503  777148829  146954809517 pipe tablearg ip from table(21) to any
32000          0             0 deny ip from any to any
32490       2545        249760 deny ip from any to any
32500     172607      19725579 allow ip from table(100) to any
33000          0             0 skipto 46501 ip from table(14) to table(34)
33001          0             0 allow ip from table(14) to table(44)
33002 1303956363 1700927142207 skipto 46502 ip from table(11) to table(31)
33003  103568813  130887333356 allow ip from table(11) to table(41)
46500          0             0 deny ip from any to any
46501          0             0 pipe tablearg ip from any to table(34)
46502 1303956363 1700927142207 pipe tablearg ip from any to table(31)
60000          0             0 deny ip from any to any
65535          0             0 deny ip from any to any

Код: Выделить всё

часть rc.conf

[root@homeline ~]# cat /etc/rc.conf
cloned_interfaces="vlan10"

ifconfig_vlan10="inet 10.88.88.5 netmask 255.255.255.0 vlan 10 vlandev bce0"
ifconfig_vlan10_alias0="inet 10.168.125.1/26"
ifconfig_vlan10_alias1="inet 10.168.128.1/26"

firewall_enable="YES"
gateway_enable="YES"
local_unbound_enable="YES"

pf_enable="YES"
mysql_enable=YES
apache24_enable=YES
ipcad_enable=YES

WideAreaNetwork
проходил мимо
Сообщения: 9
Зарегистрирован: 2017-01-10 14:37:13

трафик между подсетями

Непрочитанное сообщение WideAreaNetwork » 2017-10-19 9:25:46

забыл добавить, оба роутера работают в режиме NAT

мимокрокодил
проходил мимо

трафик между подсетями

Непрочитанное сообщение мимокрокодил » 2017-10-24 17:40:17

Что за роутеры хоть? И что там в нате у них, фаерволе? Попробуй разрешающее правило на подсеть которая не работает

WideAreaNetwork
проходил мимо
Сообщения: 9
Зарегистрирован: 2017-01-10 14:37:13

трафик между подсетями

Непрочитанное сообщение WideAreaNetwork » 2017-10-24 17:43:16

для теста сделал так

Код: Выделить всё

ipfw add 1 allow ip from any to any

все заработало, значит проблема не маршрутах и т.д.
undefined писал(а):Источник цитаты Попробуй разрешающее правило на подсеть которая не работает

напишите пжл пример

WideAreaNetwork
проходил мимо
Сообщения: 9
Зарегистрирован: 2017-01-10 14:37:13

трафик между подсетями

Непрочитанное сообщение WideAreaNetwork » 2017-10-28 8:56:28

может кто-то помочь?)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34924
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

трафик между подсетями

Непрочитанное сообщение Alex Keda » 2017-10-29 15:44:44

Код: Выделить всё

ipfw add 1 allow ip from СЕТЬ to any
ipfw add 1 allow ip from any to СЕТЬ

документацию по фарволлу штоле почитайте
Убей их всех! Бог потом рассортирует...

WideAreaNetwork
проходил мимо
Сообщения: 9
Зарегистрирован: 2017-01-10 14:37:13

трафик между подсетями

Непрочитанное сообщение WideAreaNetwork » 2017-12-02 1:05:57

спс, почитаю на досуге... если оно будет )


Вернуться в «FreeBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя