Jail никакой сетки кроме пингов

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-14 23:45:47

Код: Выделить всё

FreeBSD zlon.local 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Wed Jul 15 16:22:48 MSD 2009     west@zlon:/usr/obj/usr/src/sys/WESTGATE3  amd64
поднята #, но ничего кроме пингов не работает, порты не обновить, вообще ничего..аналогичный на 100 процентов конфиг на 32 битке работает на ура, помогите разобраться

ifconfig в тюрьме

Код: Выделить всё

em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:15:17:82:6b:91
        inet 192.168.1.185 netmask 0xffffffff broadcast 192.168.1.185
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
кусок rc.conf

Код: Выделить всё

ifconfig_em1="inet 192.168.1.248 netmask 255.255.255.0"
ifconfig_em1_alias0="inet 192.168.1.185 netmask 255.255.255.255"


#jails
jail_enable="YES"
jail_list="web"

jail_web_rootdir="/var/jails/web"
jail_web_hostname="web.host"
jail_web_ip="192.168.1.185"
jail_web_interface="em1"
jail_web_devfs_enable="YES"
jail_web_exec_start="/bin/sh /etc/rc"
jail_web_exec_stop="/bin/sh /etc/rc.shutdown"
ядерный нат ipfw, igb0 - внешняя сетевуха

Код: Выделить всё

00010 allow ip from any to any via em1
00020 allow ip from any to any via em0
00030 allow ip from any to any via lo0
00040 nat 123 ip from 192.168.1.0/24 to any out via igb0
00050 nat 123 log logamount 100 ip from any to any in via igb0
00100 allow ip from any to any
65535 allow ip from any to any
из под # можно пингануть всю 192.168.1.0/24 любой хост в инете, но например fetch не работает вообще, подвисает и по таймауту отваливается...
Последний раз редактировалось chillivilli 2009-10-23 8:54:54, всего редактировалось 2 раза.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-15 8:56:01

чувак, либо ты что-то путаешь, либо я что-то неправильно понял. Вроде из jail'а пинг не должен работать.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-15 10:00:41

не, все работает если на материнской системе разрешить рав сокеты security.jail.allow_raw_sockets=1
у кого какие есть идеи, почему пинги везде ходят, а как только пытаюсь что-то скачать - отваливается по тайм ауту

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-15 18:29:30

неужели никто не сталкивался с таким :( :st:

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-15 19:28:02

/etc/resolv.conf в джейле
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-15 19:33:32

Код: Выделить всё

web# cat /etc/resolv.conf
nameserver 192.168.1.248
nameserver 84.52.107.107

Код: Выделить всё

web# nslookup ya.ru
Server:         192.168.1.248
Address:        192.168.1.248#53

Non-authoritative answer:
Name:   ya.ru
Address: 77.88.21.8
Name:   ya.ru
Address: 93.158.134.8
Name:   ya.ru
Address: 213.180.204.8

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-16 8:18:10

ну хз. tcpdump юзай на хост-машине.
сто пудов где-то какую-нибудь запятую забыл
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-16 11:55:47

да в том то и дело что все перепроверил.. но проблему так и не нашел

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение manefesto » 2009-10-16 11:57:31

Код: Выделить всё

sysctl -a | grep jail | grep raw
security.jail.allow_raw_sockets: 1
не ???
я такой яростный шо аж пиздеЦ
Изображение

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-16 12:27:35

так он вроде написал, что так и сделал
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-16 12:28:56

проверь tcpdump'ом на хост-системе, идут ли вообще пакеты из клетки
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение reLax » 2009-10-17 8:27:14

Код: Выделить всё

tcpdump -netttvvvi em1 host 192.168.1.185

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-17 20:14:39

reLax писал(а):

Код: Выделить всё

tcpdump -netttvvvi em1 host 192.168.1.185
При в #

Код: Выделить всё

web# ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes
64 bytes from 77.88.21.8: icmp_seq=0 ttl=60 time=27.987 ms
64 bytes from 77.88.21.8: icmp_seq=1 ttl=60 time=24.944 ms
64 bytes from 77.88.21.8: icmp_seq=2 ttl=60 time=23.230 ms
В основной тишина

Код: Выделить всё

[Sat 21:08 root@zlon]/usr/home/west#tcpdump -netttvvvi em1 host 192.168.1.185
tcpdump: listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
так же и при portsnap fetch например, т.е пакетов тспдамп не видит вообще никаких

попробовал пингать из джейла один из серверов в сети 192.168.1.0/24, тспдам увидел эти пакеты в отличии от пинга внешних инет адресов.

Код: Выделить всё

1. 005801 00:15:17:87:6b:91 > 00:50:fc:fe:a9:ae, ethertype IPv4 (0x0800), length 98: (tos 0x0, t                 tl 64, id 7691, offset 0, flags [none], proto ICMP (1), length 84) 192.168.1.185 > 192.168.1.1:                  ICMP echo request, id 19025, seq 1, length 64
000212 00:50:fc:fe:a9:ae > 00:15:17:87:6b:91, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl                  128, id 5464, offset 0, flags [none], proto ICMP (1), length 84) 192.168.1.1 > 192.168.1.185: IC                 MP echo reply, id 19025, seq 1, length 64
ничего не понмаю...

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-18 0:13:49

с помощью ezjail сделал еще пару клеток, все тоже самое - нет инета в них. :st:

попробовал телнетнуься на порт портснапа -все ок

Код: Выделить всё

www# telnet portsnap1.freebsd.org 80
Trying 204.109.56.116...
Connected to portsnap1.freebsd.org.
Escape character is '^]'.
frfr
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>501 Method Not Implemented</title>
</head><body>
<h1>Method Not Implemented</h1>
<p>frfr to / not supported.<br />
</p>
</body></html>
Connection closed by foreign host.

но при попоытке portsnap fetch симптомы как в этой ветке... http://forum.lissyara.su/viewtopic.php?f=8&t=14513

Код: Выделить всё

www# fetch -vvv http://www.softodrom.ru/ftp/4926/InstallAB.exe
scheme:   [http]
user:     []
password: []
host:     [www.softodrom.ru]
port:     [0]
document: [/ftp/4926/InstallAB.exe]
---> www.softodrom.ru:80
looking up www.softodrom.ru
connecting to www.softodrom.ru:80
requesting http://www.softodrom.ru/ftp/4926/InstallAB.exe
>>> GET /ftp/4926/InstallAB.exe HTTP/1.1
>>> Host: www.softodrom.ru
>>> User-Agent: fetch libfetch/2.0
>>> Connection: close
>>>
<<< fetch: http://www.softodrom.ru/ftp/4926/InstallAB.exe: Unknown error: 0
www#
куда копать что делать? из материнской ситемы такая команда проходит и все скачивается

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-18 16:30:28

на всякий случай спрошу: прокси-сервера у тебя нет?
и лог ната посмотри
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-18 22:35:36

нет, никакого прокси сервера. Прямой выход в инет

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение InventoR » 2009-10-18 22:56:53

Ага, мы заметили прямой выход.
Фаер?
ну вот и сказочке конец, кто слушал, тот молодец.

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-19 16:35:35

сетевой провод выходит из сервера - идет в свитч с пулом внешних ипов, дальше оптика, правила фаера в первом посте

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение vadim64 » 2009-10-20 15:53:21

Конечно тупейший вопрос, хотелось бы его анонимно задавать:
А что говорит traceroute????
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-20 22:26:06

Код: Выделить всё

www# traceroute 192.168.1.1
traceroute: findsaddr: write: No such process
www# traceroute freebsd.org
traceroute: findsaddr: write: No such process
www#
в основной все ок
:st: :st: :st: :st: :st: :st: :st: :st: :st: :st: :st:

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-22 11:30:20

все, больше ни у кого идей нет никаких?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение princeps » 2009-10-22 17:10:50

подскажу идею - качать порты на хост-машине, а в jail монтировать через mount_nullfs :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение reLax » 2009-10-22 18:41:18

chillivilli писал(а):

Код: Выделить всё

www# traceroute 192.168.1.1
traceroute: findsaddr: write: No such process
www# traceroute freebsd.org
traceroute: findsaddr: write: No such process
www#
нука /etc/rc.conf покажи в jail

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение chillivilli » 2009-10-22 20:39:14

Код: Выделить всё

www# cat /etc/rc.conf
defaultrouter="192.168.1.248"
только это прописано, да еще один момент в системе 6 сетевых карт, 2 были на борту - дрова подцепились с ядром - em карточки, а еще 4, это одна 4 портовая igb, дрова для которой ставил отдельно. Может это влиять каким-то образом на то, что из клетки не видно инета?

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Jail никакой сетки кроме пингов

Непрочитанное сообщение reLax » 2009-10-23 6:57:49

хз...маска ?

Код: Выделить всё

ifconfig_em1_alias0="inet 192.168.1.185 netmask 255.255.255.255"
И еще, а ifconfig в jail'е самом какой ?