routing

[dikens3]

Есть сет.интерфейс и смотрит в инет:

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (10baseT/UTP)
        status: active

В IPFW первым правилом стоит: (Т.е. фиксируем все входящие от 212.92.160.82)

Код: Выделить всё

${fwcmd} add count log icmp from 212.92.160.82 to any

На 212.92.160.82 делаем пинг 82.208.77.66
в логах всё ОК:

Код: Выделить всё

Feb 15 14:26:23 gateway kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.66 in via rl0

Если делать ping на 82.208.77.70 к примеру, то тишина и ничего в логах нет.

После прописывания alias 82.208.77.70, то нормально всё работает.
Собственно не могу понять где собака порылась. Что нужно сделать, чтобы пакеты для 82.208.77.70 нормально доходили без alias'ов всяких.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

82.208.77.70 - это что?
я так понимаю - ты пытаешься пинговать несуществующий адрес в своей же сети.
с машины ничего и не уходит - в локальной сети используется arp - нет мака - некуда слать пакеты.

[dikens3]

82.208.77.70 - это что?
я так понимаю - ты пытаешься пинговать несуществующий адрес в своей же сети.
с машины ничего и не уходит - в локальной сети используется arp - нет мака - некуда слать пакеты.

Так это выглядит:

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (10baseT/UTP)
        status: active

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.x.x netmask 0xffffff00 broadcast 192.168.x.255
        ether 00:a0:c9:93:87:ca
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.73 netmask 0xfffffff8 broadcast 82.208.77.79
        ether 00:d0:43:7a:ca:ea
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

Пинг на 82.208.77.73 тоже не проходит. Изнутри всё нормально, снаружи, ну никак. Может модем мутит?
Gateway_enable="YES" :-)

[Alex Keda]

73 это уже не в твоей подсети...

[dikens3]

73 это уже не в твоей подсети...

Вобщем эту проблему решил, новая появилась. (Точнее не в этом было дело)
Ужос нах.
Есть в сети 82.208.77.76
На него нормально ходят и всё путём. Только время от времени (раз в 5 минут) пропадает связь с инетом. Пинг DNS серверов не проходит.
В то же время на него можно зайти из локалки, всё вроде нормально работает. Только с инетом проблемы.
Лечиться перезапуском /etc/netstart, Буду пока дальше копать. Не думаю что дело в сетевухе, т.к. она нормально пингует всё остальное. Самбу поставил, скачал ГИГовый файл, а пинг DNS сервер(внешний) не проходит.

Лок.сеть - Шлюз - инет (работает всегда)
Лок.сеть - Шлюз - DMZ (WEB, MAIL и т.п.) тоже всегда работает

ИНЕТ - ШЛЮЗ - DMZ
DMZ - ШЛЮЗ - ИНЕТ как описал выше.

[dikens3]

Как тогда сделать так, чтобы пинговался 82.208.77.73 ?

[Alex Keda]

Код: Выделить всё

inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71

лениво пеерводить 16-ти ричную маску в цивильный вид, но что можно сказать точно
твой диапазон минимум от 66 до 71
это то, что ты можешь увидеть внутри своей внешней сети, без посторонней помощи.
всё остальное - через гейт провайдера.
=========
кстати - с какой стати ты пытаешься повесить себе этот IP - тебе пров разрешил?
если да - за данными к нему. может тебе дали ещё одну подсеть, может расширили существующую (если раньше это был не твой IP)
если он всегда был твой - утебя неверно забита маска сети и бродкаст.

[dikens3]

OC: FreeBSD 5.5.
Диапазон адресов:
195.28.77.64/28

на шлюзе 3 интерфейса:
rl0 - смотрит в инет
xl0 - DMZ (195.28.77.74-195.28.77.78 --- WEB + MAIL сервера)
fxp0 - LAN

rl0 - xl0 Мост

Настроил при помощи if_bridge.

Код: Выделить всё

rl0: flags=18943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 195.28.77.66 netmask 0xfffffff8 broadcast 195.28.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=18843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 192.168.10.1 netmask 0xffffff00 broadcast 192.168.10.255
        ether 00:a0:c9:93:87:ca
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
xl0: flags=18943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=49<RXCSUM,VLAN_MTU,POLLING>
        inet 195.28.77.73 netmask 0xfffffff8 broadcast 195.28.77.79
        ether 00:10:5a:0f:90:3e
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
bridge0: flags=8043<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        ether ac:de:48:49:8e:a7
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: rl0 flags=3<LEARNING,DISCOVER>
        member: xl0 flags=3<LEARNING,DISCOVER>

Как ещё можно организовать DMZ и где почитать?

P.S. Раскопал БАГ. Все компы в зоне DMZ нормально работают несколько минут, после чего отказываются работать через интерфейсы связанные МОСТОМ. Появилось вчера.

Ищу другие варианты. Срочно. Обновление не помогает.

Ещё раз повторю:
1. Доступ из(в) локалки в DMZ есть всегда.
2. Доступ DMZ в инет тоже всегда.
3. Доступ из инета (пакеты вообще не приходят, хотя и были отправлены. Даже ответы на PING) непостоянный. Лечится не перезапуском ШЛЮЗА(на нём мост настроен), а перезапуском /etc/netstart на компах в DMZ зоне. (Дал бог не Windows хоть)
После перезапуска 5-6 минут нормально инет работает, потом опять глюки.

На всех компах в DMZ зоне необходимо перезапускать /etc/netstart

[Alex Keda]

непонял...

[dikens3]

непонял...

Я тоже.
Может пакеты попадают с ошибками, и поэтому их TCPDUMP не фиксирует.
Чем посмотреть общую статистику принятых и т.п. Забыл блин.

Опиши что понял?

[Alex Keda]

netstat

[dikens3]

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (10baseT/UTP)
        status: active

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.x.x netmask 0xffffff00 broadcast 192.168.x.255
        ether 00:a0:c9:93:87:ca
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.73 netmask 0xfffffff8 broadcast 82.208.77.79
        ether 00:d0:43:7a:ca:ea
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active 

Есть некий IP-ROUTING, ни разу не делал.
Как вариант необходимо сообщить прову, что мой диапазон адресов теперь разделён, т.е выданный 82.208.77.64/28 (82.208.77.64/240)
разделен на 2-е подсети:
82.208.77.64/29 (248)
82.208.77.72/29 (248)
Пров пропишет нужные маршруты и всё должно работать. Делал кто? Может я что не так понял?

[Alex Keda]

а у тебя чё-то не рабоает?

[dikens3]

а у тебя чё-то не рабоает?

82.208.77.64/29 (248)
82.208.77.72/29 (248)
Интерфейсы в режиме моста. Нужно Мост убрать и сделать через IP-ROUTING :-)

P.S. Не работают входящие arp пакеты на шлюзе через 5 минут после работы.
Могу нарисовать схему, вместе поржём.

[Alex Keda]

давай.
заодно подумаем )

[dikens3]

Дано:
1. Пункты A,Б,В,Г рисунок тут.
2. Интерфейсы fxp0,fxp1 на шлюзе в режиме моста. (т.е. с внешней стороны никто не догадывается, что есть какое-то разделение на подсети)

Что имеем:
1. Центральный маршрутизатор А имеет 100% постоянную связь со всеми узлами (Пунктами Б,В,Г) всегда, без каких либо ошибок и т.п.
2. Пользователи из пункта Б имеют 100% связь с пунктами (А,В,Г).
3. Исходящий траффик из пункта В 100% проходит в пункт Г, а вот входящий перестаёт приходить с интервалом в 5-6 минут.
TCPDUMP не фисирует ничего, абсолютный нуль. Из пункта Г в пункт В трафика как-будто нет.
4. Из пункта Г в пункт В абсолютно нормально приходят запросы arp на неиспользованные IP-Адреса. Т.е. 82.208.77.74 к примеру.

И самый прикольный момент:
Лечится перезапуском /etc/netstart на компьютерах в пункте В. (В нём /etc/rc.d/netif start это исправляет)
(Напоминаю, что пункт В имеет 100% связь в этом момент с пунктами А,Б + исх. Г.)

P.S. Мост нормально работал месяц и такой вот баг по хз какой причине. Делал много чего.

[dikens3]

Кто что думает? Или у всех тоже самое мнение, а ХЗ?

[-|LSV|-]

роут из "В" в сеть 77,64/29 есть?

[dikens3]

роут из "В" в сеть 77,64/29 есть?

Есть везде, кроме внешних IP.

Очень странно, послал письмо прову, чтобы сделал IP-Роутинг. Сегодня в 11-45 пришёл ответ, что типа сделают.
И нюанс, с 10-43 инет работает стабильно. Как вариант, мог пров такую Х-ню замутить?