PF - перестали работать правила

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
Аватара пользователя
castor
ефрейтор
Сообщения: 50
Зарегистрирован: 2010-10-20 14:33:36

PF - перестали работать правила

Непрочитанное сообщение castor » 2013-03-28 5:39:42

Ситуация такая - после смены провайдера ВНЕЗАПНО перестали работать некоторые правила в PF, которые касаются работы IPSEC-канала между двумя офисами в двух городах. Этот же самый конфиг работал нормально два года до вчерашнего дня.
Выдержка из pfctl -sr (звездочкой пометил правило, которое игнорируется)

Код: Выделить всё

scrub in all no-df fragment reassemble
block drop all
pass in inet proto icmp all icmp-type echoreq keep state
pass in quick proto esp all keep state
pass in quick proto ah all keep state
pass in quick proto ipencap all keep state
pass in quick proto udp from any port = isakmp to any port = isakmp keep state
* pass in quick on gif0 all flags S/SA keep state
pass out quick proto esp all keep state
pass out quick proto ah all keep state
pass out quick proto ipencap all keep state
pass out quick proto udp from any port = isakmp to any port = isakmp keep state
* pass out quick on gif0 all flags S/SA keep state
В логах же видно, что пакеты, идущие через gif0 в мою сторону отбрасываются:

Код: Выделить всё

00:00:00.061421 rule 0..16777216/0(match): block in on gif0: 192.168.11.2.135 > 192.168.10.2.1298: Flags [S.], seq 2978799953, ack 2728321495, win 16384, options [mss 1460,nop,nop,sackOK], length 0
С чем бы это могло быть связано?
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
castor
ефрейтор
Сообщения: 50
Зарегистрирован: 2010-10-20 14:33:36

Re: PF - перестали работать правила

Непрочитанное сообщение castor » 2013-03-28 5:47:52

Немного неточно. По первому правилу в прямом и обратном направлении (по keep state) все пакеты проходят. А вот возвращаться по второму правилу не могут.
Вернуться к началу
Аватара пользователя
castor
ефрейтор
Сообщения: 50
Зарегистрирован: 2010-10-20 14:33:36

Re: PF - перестали работать правила

Непрочитанное сообщение castor » 2013-04-23 5:14:15

Забыл отписаться. Решил проблему отключением stateful filtering на VPN-интерфейсе:

Код: Выделить всё

pass quick on gif0 from any to any no state
Вернуться к началу