WebServer на шлюзе FreeBSD. Доступен извне, изнутри - нет!

[Frolov_Yury]

Здравствуйте, Господа Системные Администраторы!

Вот, решил обратиться к Вам с проблемой неочевидного для меня характера. Постараюсь описать подробнее. Было так:
1. Router Linksys WRT54-GC.
2. За ним в локальной сети 192.168.1/24:
- машина с FreeBSD и Apache Tomcat 6.x:

Код: Выделить всё

# uname -a
FreeBSD private.org 7.1-RELEASE-p5 FreeBSD 7.1-RELEASE-p5 #1: Sun Jun 28 21:11:30 EEST 2009     root@private.org:/usr/obj/usr/src/sys/NEWKERN  amd64

- лаптоп c Windows XP Professional подключен по Wi-Fi.
Сайты работают нормально. Могу заходить из интернета, с FreeBSD-машины и c лаптопа в локальной сети.
Но у меня стал иногда подвисать Router и как следствие сайты становились недоступны. Решил настроить FreeBSD как шлюз. Сказано - сделано.
К провайдеру происходит подключение через pppoe соединение (ppp.conf прилагается).
rl0 - смотрит во внешнюю локальную сеть провайдера 10/8
re0 - смотрит во внутреннюю локальную сеть 192.168.1/24

Получилась такая штука:
1. Машина с FreeBSD + шлюз и Apache Tomcat 6.x;
2. За ней лаптоп подключен по Wi-Fi.

После этого не открываеются сайты с лаптопа, которые расположенные на шлюзе. Из интернета и с FreeBSD-машины к ним доступ есть. Например, http://www.mariupolsport.com

Подскажите куда рыть? Мозг сломал! Скорее всего я упустил какую-то деталь по неопытности - не пойму какую.
Если нужна еще какая-либо диагностическая информация, для локализации причины такого поведения - предоставлю.
В топик-старте не вижу смысла ее пока выкладывать - может кто-то и без этого уже понял в чем дело.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Frolov_Yury]

Код: Выделить всё

default:
 set log Phase tun command
 enable dns

trinity:
 set device PPPoE:rl0
 set authname login
 set authkey *****
 set mru 1492
 set mtu 1492
 set timeout 0
 set reconnect 3 0
 set redial 0 0
 set ifaddr 0 0
 add default HISADDR
 disable ipv6cp
 enable lqr

[ban]

а на лаптопе у тебя внешний интернет доступен?
какой фаервол стоит (если стоит)?

[Frolov_Yury]

а на лаптопе у тебя внешний интернет доступен?

Да, внешний интернет доступен, кроме тех сайтов на шлюзе.

какой фаервол стоит (если стоит)?

Стоял KIS 7, сносил проблема остается. Служба Брандмауэра Windows остановлена.
Файл hosts смотрел - все чисто.

[ban]

сайт я так понял на FreeBSD крутится, спрашивал про фаервол на FreeBSD есть или нет (я так понимаю нет)?

наверное что-то с DNS

0) на лептопе сделай
nslookup www.mariupolsport.com

и покажи что ответит

и еще
1) сделай на FreeBSD:
#tcpdump -tN -i re0 host mariupolsport.com

2) попробуй перейти в браузере на свой mariupolsport.com
и покажи что tcpdump ответит, первые несколько строк достаточно

[Frolov_Yury]

сайт я так понял на FreeBSD крутится, спрашивал про фаервол на FreeBSD есть или нет (я так понимаю нет)?

на фре стоит pf, но только для переадресации запросов с 80 порта на 8080 (для Tomcat)

0) на лептопе сделай
nslookup http://www.mariupolsport.com

Код: Выделить всё

Server:  mars.azovline.net.ua
Address:  193.46.210.4

Non-authoritative answer:
Name:    mariupolsport.com
Address:  217.67.69.68
Aliases:  www.mariupolsport.com

и еще
1) сделай на FreeBSD:
#tcpdump -tN -i re0 host mariupolsport.com

Код: Выделить всё

# tcpdump -tN -i re0 host mariupolsport.com
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on re0, link-type EN10MB (Ethernet), capture size 96 bytes
IP 192.168.1.1.3487 > clnt-69-68.http: S 1433526542:1433526542(0) win 32768 <mss 1460,nop,nop,sackOK>
IP clnt-69-68.http > 192.168.1.1.3487: R 0:0(0) ack 1433526543 win 0
IP 192.168.1.1.3487 > clnt-69-68.http: S 1433526542:1433526542(0) win 32768 <mss 1460,nop,nop,sackOK>
IP clnt-69-68.http > 192.168.1.1.3487: R 0:0(0) ack 1 win 0
IP 192.168.1.1.3487 > clnt-69-68.http: S 1433526542:1433526542(0) win 32768 <mss 1460,nop,nop,sackOK>
IP clnt-69-68.http > 192.168.1.1.3487: R 0:0(0) ack 1 win 0

Вот, все что просил...

[ban]

судя по ответу tcpdump'a сервак делает сброс на твой SYN (для расширения кругозора читай)

Покажи правила из pf.conf

[Frolov_Yury]

Покажи правила из pf.conf

Код: Выделить всё

# cat /etc/pf.conf
ext_if="tun0"
rdr on $ext_if proto tcp from any to any port 80 -> 127.0.0.1 port 8080
rdr on $ext_if proto tcp from any to any port 81 -> 127.0.0.1 port 8081

Читаю ...

[ban]

сделай более осмысленные правила, прочитав:
http://www.lissyara.su/?id=1671
http://www.lissyara.su/?id=1833
http://www.lissyara.su/?id=1276 <--- здесь есть веб-сервер в локалке, посмотри как сделано

ну, и самый глобальный мануал:
http://house.hcn-strela.ru/BSDCert/BSDA-course/apc.html

Не пожалей времени, почитай, попробуй - пригодиться

[Frolov_Yury]

Это все у меня в планах. Я уже начал делать правила по этим источникам (несколько дней назад) и я их обязательно сделаю, не пожалею времени. Сам прекрасно понимаю, что это очень важно.
Сейчас я уже настолько перегружен всей этой информацией, что просто могу не замечать очевидных вещей.
Спасибо за помощь, в любом случае...
Так что для меня вопрос остается открытым...