Проблема с подключением через cisco pix

[wildsun]

Решили мы тут в конторе заменить старую виндовую проксю на нормальную.

железо:
- машинка на 4 пне (одноядерном), 2 сетевухи (встроенная на Marvell, настроена по этой статье и обычная PCIная 3com905b), ось FreeBSD 6.2, squid 2.6.18 из портов, pf в качестве фаервола.
- cisco pix 501
- хаб (сначала дреееевний Genius, сейчас заменен на неуправляемый свич от 3com)

схема:
- хаб аплинком воткнут в свободный порт pix'а
- машина смотрит встроенным портом во внутреннюю сетку, 3com воткнут в хаб

проблема:
интерфейс нормально поднят, но пакеты наружу не идут.
втыкаю внешний фейс напрямую в pix, минуя хаб - все в порядке. естественно, первая мысль - неисправен хаб, но а) в нем нормально, без малейших проблем, сидит старая виндовая прокся б) хаб заменили на нормальный новый (см выше) свич - проблема осталась.
отключил (в т.ч. в биосе) встроенную сетевуху, воткнул вторую PCIную - тот же эффект.
pf отключать пробовал, естественно.
кабели проверял, дело не в них.
в общем плюнул бы на это дело и сел напрямую, без хаба (свича), но наткнулся на абсолютно такой же эффект при подключении железяки со встроенным линухом.

вопрос:
это проблема железок? настроек фри? настроек пикса? (вряд ли, если бы - виндовые машины точно так же рубились бы)
в какую сторону копать хотя бы? а то голова уже жужжит...

возможно, тему надо было заводить в разделе NETWORKS, если да - перенесите, пжл.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[a.salnikov]

мм... пикс глядит в интернет? между пиксом и проксёй свич? зачем? не работает что? виндовый сервер через эту конструкцию ходит в интернет, а фря не ходит?

[wildsun]

да, грубо говоря, пикс глядит в инет (на самом деле там все несколько сложнее, он находится во внутренней сети провайдера)

да, между пиксом и проксей - свич. это затем, что... в общем так:
- пикс играет роль фаервола для всей сетки (собсно, это его назначение )
- наружу должна иметь доступ не только прокся
- количество железок, которым нужен прямой (без прокси и NATа доступ наружу), больше, чем количество портов на пиксе
так что свич в данном случае - это просто концентратор. по-мому это совершенно нормально

да, виндовый сервер через эту конструкцию ходит нормально, а фря - нет. то есть даже пропинговать пикс с нее я не могу.

[abanamat]

кросовый кабель?
вырубить спанингтри портфаст?

[wildsun]

кабели ни при чем, проверял и так и эдак, и кроссовые, и прямые...

вырубить спанингтри портфаст?

мнэээ... видимо, я уже не соображаю... что?

[abanamat]

spanning-tree portfast disable