нет пинга на модем

[Twister]

Всем приветов!
Ситуация такая,есть машина 192.168.0.1 висит на fxp0 полключение к свичу,на этой машине есть второй интерфейс rl0 с ip-192.168.1.3 подключение к
ADSL с ip-192.168.1.1,так вот:инет есть в сети 192.168.0.0/24 всё нормально,на машине 192.168.0.1 крутится nat через ipfw,пинги ходят только до 192.168.0.1 и 192.168.1.3 а на модем пингов нет с узла 192.168.0.3 .В чом могут быть траблы ? ipfw полностью вырубал allow all from any to any.
Схемка такая:

Код: Выделить всё

|=======================================|
|                              Свич                                        |
|                                                                             |
|============================================|
            |                                                 | 
            |                                                 |
|=================|          |===============|
|   PC1   |                 |          |     PC2               |
|   fxp0-192.16.0.1    |          |  ip-192.168.0.3 |
|   rl0-192.168.1.3     |         |===============|
|=======|==========|
              |
   ADSL-192.168.1.1  

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

нарисуй схему картинкой.

[Kos]

если модем может работать в режиме роутера, то проще воткнуть его в свич и пустить локалку в инет напрямую, без сервера. А потом уже в спокойной обстановке почитать про НАТ и про ipfw allow from any to any и понять, что Вы путаете теплое с мягким...

ну а если так уж неФтерпёж, тогда ipfw show в студию

[Twister]

ipfw+nat

Код: Выделить всё

#!/bin/sh

ipfw -q -f flush
cmd="ipfw -q add"
skip="skipto 500"
net="tun0"
lan="fxp0"
lan_in="192.168.0.0/24"
out_udp="53,123,4000,5190"
out_tcp="20,21,22,25,37,43,53,67,68,80,81,83,85,443,445,110,210,2802,5190,8080,3218,5999,8030" 

$cmd 010 allow icmp from any to any icmptypes 0,8,11
$cmd 030 allow all from $lan_in to any via $lan  
$cmd 050 allow all from any to any via lo0
$cmd 100 divert natd ip from not $lan_in to any in via $net

$cmd 101 check-state

$cmd 130 $skip udp from any to any $out_udp out via $net keep-state 
$cmd 135 $skip tcp from any to any $out_tcp out via $net setup keep-state
$cmd 140 $skip icmp from any to any out via $net keep-state

$cmd 150 deny all from 192.168.0.0/24  to any in via $net  
$cmd 155 deny all from 172.16.0.0/12   to any in via $net  
$cmd 160 deny all from 10.0.0.0/8      to any in via $net  
$cmd 165 deny all from 127.0.0.0/8     to any in via $net  
$cmd 170 deny all from 0.0.0.0/8       to any in via $net  
$cmd 175 deny all from 169.254.0.0/16  to any in via $net  
$cmd 180 deny all from 192.0.2.0/24    to any in via $net  
$cmd 185 deny all from 204.152.64.0/23 to any in via $net  
$cmd 190 deny all from 224.0.0.0/3     to any in via $net  

$cmd 210 deny tcp from any to any 137 in via $net
$cmd 215 deny tcp from any to any 138 in via $net
$cmd 220 deny tcp from any to any 139 in via $net
$cmd 225 deny tcp from any to any 445 in via $net
$cmd 230 deny all from any to any frag in via $net
$cmd 240 deny tcp from any to any established in via $net
$cmd 250 deny tcp from any to any 113 in via $net 
$cmd 260 deny log all from any to any in via $net
$cmd 300 deny log all from any to any out via $net

$cmd 500 divert natd ip from $lan_in to any out via $net
$cmd 6000 allow ip from any to any 
$cmd 6500 deny log all from any to any

[zingel]

а форвардинг включен?
а какую ошибку говорит

Код: Выделить всё

traceroute -Svni 192.168.0.3

[Kos]

А что мешало взять за основу /etc/rc.firewall и подкорректировать под свои нужды? интересно велосипед изобрести?

покажите вывод

Код: Выделить всё

#ipfw show

Код: Выделить всё

#sockstat |grep 8668

Код: Выделить всё

#sysctl -a |grep forward

[Twister]

sockstat |grep 8668
root natd 459 3 div4 *:8668 *:*

sysctl -a |grep forward
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0

traceroute -Svni rl0 192.168.0.3
traceroute to 192.168.0.3 (192.168.0.3), 128 hops max, 40 byte packets
1 192.168.0.3 48 bytes to 192.168.1.3 0.418 ms 0.394 ms 0.331 ms (0% loss)

traceroute -Svni fxp0 192.168.0.3
traceroute to 192.168.0.3 (192.168.0.3), 128 hops max, 40 byte packets
1 192.168.0.3 48 bytes to 192.168.0.1 0.420 ms * 0.347 ms (33% loss) что-то здесь не так

Код: Выделить всё

00010     180      11880 allow icmp from any to any icmptypes 0,8,11
00030 2448443 2196335246 allow ip from 192.168.0.0/24 to any via fxp0
00050     120       6240 allow ip from any to any via lo0
00100  208654  293602707 divert 8668 ip from not 192.168.0.0/24 to any in via tun0
00101       0          0 check-state
00130    1655     238050 skipto 500 udp from any to any dst-port 7,53,123,4000,5190 out via tun0 keep-state
00135  552281  596951506 skipto 500 tcp from any to any dst-port 7,20,21,22,25,37,43,53,67,68,80,81,83,85,443,445,110,210,2802,5190,8080,3218,5999,8030 out via tun0 setup keep-state
00140      10       2208 skipto 500 icmp from any to any out via tun0 keep-state
00150       0          0 deny ip from 192.168.0.0/24 to any in via tun0
00155       0          0 deny ip from 172.16.0.0/12 to any in via tun0
00160       0          0 deny ip from 10.0.0.0/8 to any in via tun0
00165       0          0 deny ip from 127.0.0.0/8 to any in via tun0
00170       0          0 deny ip from 0.0.0.0/8 to any in via tun0
00175       0          0 deny ip from 169.254.0.0/16 to any in via tun0
00180       0          0 deny ip from 192.0.2.0/24 to any in via tun0
00185       0          0 deny ip from 204.152.64.0/23 to any in via tun0
00190       0          0 deny ip from 224.0.0.0/3 to any in via tun0
00210       0          0 deny tcp from any to any dst-port 137 in via tun0
00215       0          0 deny tcp from any to any dst-port 138 in via tun0
00220     117       5680 deny tcp from any to any dst-port 139 in via tun0
00225     317      15476 deny tcp from any to any dst-port 445 in via tun0
00230       0          0 deny ip from any to any frag in via tun0
00240     177      45252 deny tcp from any to any established in via tun0
00250       0          0 deny tcp from any to any dst-port 113 in via tun0
00260    1083      75019 deny log ip from any to any in via tun0
00300     783      49101 deny log ip from any to any out via tun0
00500  140026   10271304 divert 8668 ip from 192.168.0.0/24 to any out via tun0
06000  553946  597191764 allow ip from any to any
06500       0          0 deny log logamount 5 ip from any to any
65535       0          0 allow ip from any to any

[zingel]

Код: Выделить всё

$cmd 010 allow icmp from any to any icmptypes 0,8,11

а почему так, поясните.

[PriestRomeo]

Тривиально в модем не заглядывал может случайно вырубили ICMP?

[Twister]

zingel

а почему так, поясните.

Просто так захотел,хотя в нутри сети можно allow all по icmp поставить,что я и делал,эффект тоже,пингов нет на мопед
гуды капать х.з %
http://ru.wikipedia.org/wiki/ICMP

[zingel]

а сам модем что говорит на это?

[Twister]

Модем только сетевуху пингует к каторой приконнекчен (192.168.1.3)
там в настройках тоже всё номально с icmp ,разрешены.
Что-то в модеме наверное всё-таки,сейчас в техподдержку "zyxel" отпишу до кучи.

[zingel]

ngrep && tcpdump для начала

[Rita]

Модем только сетевуху пингует к каторой приконнекчен (192.168.1.3)
там в настройках тоже всё номально с icmp ,разрешены.
Что-то в модеме наверное всё-таки,сейчас в техподдержку "zyxel" отпишу до кучи.

1. Почему бы не сделать сначала на РС1 allow all from any to any?
2. Причем тут настройки если сетевая пингуется модемом?
3. И что с маршрутами на РС1?

[paradox]

мммда
если
на PC1 вырубить весь фаер и поставить allow all from any to any
и пингонуть модем?

ситуацию можно изучать если пинга не будет
в противном случае
вам лучше самому разобраться