Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Laterport
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2012-03-30 13:00:17
Непрочитанное сообщение
Laterport » 2013-10-14 10:27:19
Всем привет. Работал мой сервачек домашний, работал и никого не трогал. Тут пришлось поменять роутер и начались пляски различные. Вчера проковырялся с одной проблемой пол дня, прежде чем понял в чем конкретно причина. Диагноз в общем такой, сайт доступен из интернета по домену, все ок, но после определенного времени и не ясно по каким причинам, перестает быть доступным до остановки и последующего старта IPFW. Я реально не понимаю в чем проблемы, может быть у меня криво правила прописаны? Подскажите пожалуйста где и чего копнуть чтобы избавиться от этого неприятного момента. Вот сами правила, может поправите ещё если что-то не так:
Код: Выделить всё
add allow ip from me to any keep-state
add allow tcp from 192.168.0.1/24 to me 22
add allow icmp from 192.168.0.1/24 to any
add allow tcp from me to "тут домен" keep-state
add allow tcp from "тут домен" to me keep-state
add allow tcp from me to 192.168.0.1 keep-state
add allow tcp from 192.168.0.1 to me keep-state
*192.168.0.1 адрес роутера в сети, т.е. шлюз.
#WWW#
add allow tcp from any to me 80
add allow tcp from any to me 443
Также в sysctl прописано ограничение на диапазон портов для чтобы ftp. Сделал это потому что в сети есть ещё один ftp сервер и на маршрутизаторе распределил порты. Может это как-то влиять?
Код: Выделить всё
net.inet.ip.portrange.hifirst=9000
net.inet.ip.portrange.hilast=60000
Последний раз редактировалось
f_andrey 2013-10-14 12:07:06, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума.
Laterport
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Laterport
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2012-03-30 13:00:17
Непрочитанное сообщение
Laterport » 2013-10-14 16:47:10
Дополню для больше ясности!
Такая тема думаю возникла после того, как на сервере пришлось прописать внешний внешние провайдерские DNSы, вместо IP роутера 192.168.0.1. Это потребовалось потому, что некоторые скрипты на сайте отказываются отправлять например письма на электронные адреса, если в resolv.conf прописан IP маршрутизатора в качестве DNS.
Laterport
-
Laterport
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2012-03-30 13:00:17
Непрочитанное сообщение
Laterport » 2013-10-15 6:30:53
Подобрался максимально близко. На любых сервисах для тестирования доступности сайта, при включенном фаерволе ничего не видно. После его выключения сайт сразу доступен. Включаю IPFW и сайт остаётся быть доступен ещё долгое время, может часов 5, потом сразу пропадает из зоны видимости. В общем не хватает какого-то правила для свободной работы DNS, подскажите кто знает чего дописать...
Laterport
-
werder31
- сержант
- Сообщения: 217
- Зарегистрирован: 2009-12-22 10:48:41
- Откуда: from Ukraine
-
Контактная информация:
Непрочитанное сообщение
werder31 » 2013-10-15 8:14:41
add allow ip from me to ${ip_dns_servera} 53
add allow ip from me 53 to ${ip_dns_servera}
Любите жизнь, ведь она все равно отымеет..так хоть по любви!
werder31
-
Laterport
- ефрейтор
- Сообщения: 58
- Зарегистрирован: 2012-03-30 13:00:17
Непрочитанное сообщение
Laterport » 2013-10-15 19:48:05
werder31 писал(а):add allow ip from me to ${ip_dns_servera} 53
add allow ip from me 53 to ${ip_dns_servera}
53 тут не причем, как оказалось.
Вот это добавил в самый низ:
Код: Выделить всё
add 65534 deny log logamount 0 ip from any to any
В общем ничего интересного там не было, кроме одного:
Код: Выделить всё
Oct 15 14:12:51 test kernel: ipfw: 65533 Deny ICMP:3.4 тут моя внешняя статика 9 192.168.0.196 in via em0
После чего создал правило разрешающее ICMP откуда угодно до меня и все заработало.
Это выход? Что там по ICMP пробивается?
Laterport