Jail никакой сетки кроме пингов

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-23 8:29:20

Не с маской все ок -

Код: Выделить всё

ifconfig_em1="inet 192.168.1.248 netmask 255.255.255.0"
ifconfig_em1_alias0="inet 192.168.1.185 netmask 255.255.255.255"
т.к из одной сетки они

ifconfig в клетке:

Код: Выделить всё

www# ifconfig
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:b8
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
igb1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:b9
        media: Ethernet autoselect
        status: no carrier
igb2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:bc
        media: Ethernet autoselect
        status: no carrier
igb3: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:bd
        media: Ethernet autoselect
        status: no carrier
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:15:17:82:6b:90
        media: Ethernet autoselect
        status: no carrier
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:15:17:82:6b:91
        inet 192.168.1.185 netmask 0xffffffff broadcast 192.168.1.185
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=0<> metric 0 mtu 33160

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение reLax » 2009-10-23 11:09:24

Код: Выделить всё

inet 192.168.1.185 netmask 0xffffffff broadcast 192.168.1.185
Ну это скажем так не все ок. Маска подсети 192.168.1.0/24 должна быть 255.255.255.0, а у вас 255.255.255.255 в em1_alias0. Поэтому broadcast у вас не такой какой должен быть по идее (192.168.1.255), а 192.168.0.185. Но не в этом наверное все-равно проблема...

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-23 12:05:12

если на интерфейс вешается алиас из той же сети что и основной ип - маска = /32
Итак сегодня включил отключенный когда-то натд - все отлично заработало! ПРоблема в ядерном нате. В чем конкретно пока не понял, сейчас докачается снепшот - буду переключать обратно и смотреть более конкретно..

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-23 13:21:18

:st: :st: :st: :st: ято ядреный, что натд, все конфии идентичны, в первом случае нет инета в клетке, во втором есть....что же ты будешь делать....причем пакеты через ядерный нат ходят :

правила до запуска в клетке ping ya.ru

Код: Выделить всё

00030  72  6800 allow ip from any to any via lo0
00040   0     0 nat 1232 ip from 192.168.1.0/24 to any out via em0
00050 245 19126 nat 1232 ip from any to xx.xx.xx.xx in via em0
00100 456 95424 allow ip from any to any
00110   0     0 allow ip from any to any
65535   0     0 allow ip from any to any
из клетки делаем:

Код: Выделить всё

www# ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes
64 bytes from 77.88.21.8: icmp_seq=0 ttl=60 time=9.732 ms
64 bytes from 77.88.21.8: icmp_seq=1 ttl=60 time=9.761 ms
в материнской смотрим:

Код: Выделить всё

00030  116  10308 allow ip from any to any via lo0
00040    2    168 nat 1232 ip from 192.168.1.0/24 to any out via em0
00050  759  54186 nat 1232 ip from any to xx.xx.xx.xx in via em0
00100 2493 320430 allow ip from any to any
00110    0      0 allow ip from any to any
65535    0      0 allow ip from any to any
причем как таковой ядерный нат работает, не работает только из клетки... :st: :st: :st: :st: :-o

определил, что пакеты из клетки уходят, но вот в случае http - нужна установка сессии - как следствие не работает, т.к не приходят входящие пакеты, вернее приходят, но не попадают в клетку
Последний раз редактировалось chillivilli 2009-10-24 0:39:41, всего редактировалось 1 раз.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-23 14:53:12

похоже в случае с ядерным натом схема прохождения пакетов другая.
Хотя у меня вот ядерный нат - и ничего, работает инет в клетке.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-23 15:05:40

так да, у меня есть шлюз 32 битный правда, но там клетка и тоже ядреный нат - правила один в один с этим - там работает - тут нет...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-23 16:43:34

у меня тоже 32-й шлюз. Может это косяк 64-битной системы?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-23 19:25:27

все, склонировал рейд, все снес.. Сейчас поднимаю заного - посмотрим что получится....

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-23 22:59:28

отлично.. поднял все с нуля- в кернел нат нет инета, натд - все ок..

не поднимал кеширующий днс. так теперь даже хосты не резолвятся из клетки через ядерный нат - через натд - резолвятся.. афигеть..

как предположение - може быть я неверно собираю джейл? может его надо как-то спецово собирать?
блин.. у кого работает под амд64 клетка через ядерный нат?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение terminus » 2009-10-24 19:58:41

Код: Выделить всё

www# ifconfig
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:b8
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
Вот так попробуйте сделать:

Код: Выделить всё

# ifconfig igb0 -rxcsum -txcsum -tso
заработает после этого нат из клетки?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-25 0:52:47

ДА!!! оно действительно заработало после этих команд :Yahoo!:
в вашей статье есть замека об этом, только сейчас заметил:
"- Библиотека libalias, на которой основан ipfw nat, плохо дружит с функциями аппаратного ускорения расчета контрольных сумм и управления потоками, которые доступны на некотроых сетевых адаптерах. Рекомендуется выключать tcp segmentation offloading (TSO), а так же rxcsum и txcsum на том сетевом адаптере где работает нат."
Опять вы меня выручаете.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение terminus » 2009-10-25 15:10:49

Если есть время и желание - поиграйтесь с этими настройками и определите какая именно из них приводит к проблеме. В мануале на libalias пишут, что надо отключать -tso, но у меня на одном из em пришлось выключать еще и -rxcsum -txcsum. :pardon:
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Вася
проходил мимо

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение Вася » 2009-10-25 16:01:06

А что-нибудь вроде allow icmp from any to any есть ?

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-27 10:14:55

из трех параметров, помогает вот этот - ifconfig igb0 -rxcsum как на 4 портовой igb так и на 2 портовых em ках..

tso, как ни странноо роли не играет