Вот такая вот загадка у меня:
Есть шлюз на FreeBSD 7.0 на нём jail стоит, под jail крутиться apche, php, mysql ну короче web сервер! Для того что бы попадать на него я сделал прокидку порта на ip jail.
Но вот страницы жутко грузятся скорость падает до минимума, и всё…
Почисал репу, вырубил divert строки в ipfw и затем через ssh сделал прокидку, всё заработало, вот засада, в чом дело? Ну ssh туннель не удобно хотелось бы пусть NAT прокидует!
Конфиги:
Код: Выделить всё
log no
deny_incoming no
use_sockets yes
same_ports yes
unregistered_only yes
redirect_port tcp 192.168.64.216:80 80
Код: Выделить всё
00010 0 0 check-state
00100 400558 565082546 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 1 596 deny icmp from any to any frag
00450 113 5430 deny ip from any to 192.168.250.250 dst-port 67,1812,1813,3128,3130,3401,9101,9102,9103 via ale0
00500 323 17127 deny ip from table(0) to me
00600 1466 72348 deny ip from any to any dst-port 135,136,137,138,139,445 via ale0
00650 0 0 deny ip from any 135,136,137,138,139,445 to any via ale0
01100 11985 2190867 fwd 127.0.0.1,3128 tcp from 192.168.16.0/24 to any dst-port 80 via ale0
01200 111986 14046790 fwd 127.0.0.1,3128 tcp from 192.168.32.0/24 to any dst-port 80 via ale0
01300 208657 29743749 fwd 127.0.0.1,3128 tcp from 192.168.64.0/24 to any dst-port 80 via ale0
01400 0 0 fwd 127.0.0.1,3128 tcp from 192.168.128.0/24 to any dst-port 80 via ale0
02100 1613 366028 divert 199 ip from 192.168.32.0/24 to 192.168.64.0/24
02200 1277 101087 divert 199 ip from 192.168.64.0/24 to 192.168.32.0/24
03400 726247 303602067 divert 199 ip from 192.168.0.0/16 to any out xmit ale0
03500 726247 303602067 divert 8668 ip4 from 192.168.0.0/16 to any out xmit ale0
03600 713950 537787424 divert 8668 ip4 from any to me in recv ale0
03700 713950 537787424 divert 199 ip from any to 192.168.0.0/16 in recv ale0
05000 7045 368530 allow icmp from any to any icmptypes 0,8,11
10000 5422086 3219264783 allow ip from any to any
65535 10 1021 deny ip from any to any
Код: Выделить всё
#IPFW_NETGRAPH
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options HZ=1000
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_ASYNC
options NETGRAPH_BPF
options NETGRAPH_BRIDGE
options NETGRAPH_CISCO
options NETGRAPH_ECHO
options NETGRAPH_ETHER
options NETGRAPH_FRAME_RELAY
options NETGRAPH_GIF
options NETGRAPH_GIF_DEMUX
options NETGRAPH_HOLE
options NETGRAPH_IFACE
options NETGRAPH_IP_INPUT
options NETGRAPH_KSOCKET
options NETGRAPH_L2TP
options NETGRAPH_LMI
options NETGRAPH_ONE2MANY
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_RFC1490
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
options NETGRAPH_VJC
#MPPC
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_MPPC_COMPRESSION
#GRAPHIS KARD
options SC_PIXEL_MODE
options VGA_WIDTH90
options SC_NORM_ATTR=(FG_GREEN|BG_BLACK)
options SC_NORM_REV_ATTR=(FG_YELLOW|BG_GREEN)
options SC_KERNEL_CONS_ATTR=(FG_WHITE|BG_BLUE)
За ранние спасибо!!!
