Зашел в тупик! Нужна помощь!!

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
immortal
мл. сержант
Сообщения: 110
Зарегистрирован: 2011-11-10 6:11:34

Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение immortal » 2013-04-19 7:26:18

Привет, Всем Уважаемым гуру FreBSD и прочих иксов...
Помогите разобраться плиз кто что знает...
Есть FreeBSD 9.0-RELEASE... Поднят как шлюз в инет... На нем крутится squid, файрвол (ipfw) + natd.
И имеется 2 провайдера. Один подключается через логин и пароль (pppoe), второй просто через ithernet кабель.
Суть в следующем:
Все настроено и работает через pppoe провайдера (инет в браузере, внешние пинги, rdp) все летает!!! И нужно тупо сменить прова pppoe на прова c ithernet.
Меняю настройки, перетыкаю шнурки, перезапускаю фрю и вууаля - Инет в браузере на клиентах есть, а пинги с клиентов на вне НЕ идут, ну и естественно RDP и прочее не работает... Я уже всю голову сломал в чем между ними (провами)разница кроме способа подключения к интуренету???
Настройки меняю:
в rc.conf, а именно

Код: Выделить всё

 было
hostname="proxy.serviko.ru"
gateway_enable="YES"
ifconfig_re0="inet 192.168.1.222 netmask 255.255.0.0"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="bwc"
firewall_enable="YES"
firewall_script="/etc/list.ipfw"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-f /etc/natd.conf"

Стало
hostname="proxy.serviko.ru"
gateway_enable="YES"
defaultrouter="30.40.50.59"
ifconfig_re0="inet 192.168.1.222 netmask 255.255.0.0"
ifconfig_rl0="inet 30.40.50.60 netmask 255.255.255.252"
firewall_enable="YES"
firewall_script="/etc/list.ipfw"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
В файрволе меняю внешние ip для правил с одного прова на другого.
В resolv.conf меняю днс с прова на другого прова.
В нат меняю только внешнюю карту...

По сути все одно и тоже, но как переключаюсь на прова Ithernet инет есть, А ПИНГА С ЛОКАЛКИ ВО ВНЕ НЕТ... фря лок машины видит и пингует, и наоборот лок машины видят фрю.

Ну и привожу netstat -rn обоих подключений

Код: Выделить всё

 Провайдер через PPPOE
[14:16] proxy /home/immortal >netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            2.2.2.3            UGS         0    17153   tun0
2.2.2.3            link#8             UHS         0        0   tun0
81.18.118.195      link#8             UHS         0        2    lo0
127.0.0.1          link#7             UH          0       24    lo0
192.168.0.0/16     link#2             U           0    16489    re0
192.168.1.222      link#2             UHS         0        0    lo0

Internet6:
*************** вырезано *************

Провайдер через ithernet кабель
[13:37] proxy /home/immortal >netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            194.186.165.157    UGS         0    15589    rl0
127.0.0.1          link#7             UH          0      115    lo0
192.168.0.0/16     link#2             U           0    20099    re0
192.168.1.222      link#2             UHS         0       81    lo0
194.186.165.156/30 link#4             U           0       55    rl0
194.186.165.158    link#4             UHS         0        5    lo0

Internet6:
************** вырезано ***************

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение vadim64 » 2013-04-19 8:55:59

сделайте конструкцию а-ля Пример №1 из статьи http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat, в качестве провайдера рассматривайте того что через шнурок
после этого пишите сюда что не работает
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

vano
проходил мимо

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение vano » 2013-04-19 9:25:16

Привет, в соседней теме у меня точно такая же ситуация как у тебя. Сменяю прова с ПППоЕ на Езернет. Только у меня ни пинга , ни инэта через НАТ нету, а только через сквид инэт есть, что меня ессно не устраивает.
Попробуй добавить в rc.conf строку:

Код: Выделить всё

firewall_type="OPEN"
+ выложи листинг фаервола.

immortal
мл. сержант
Сообщения: 110
Зарегистрирован: 2011-11-10 6:11:34

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение immortal » 2013-04-19 9:52:31

Да в том то и дело, что и файрвол вырубал и нат гасил, пофиг! Инет через сквид есть, всего остального нет...
Вот лист файрвола:

Код: Выделить всё

${FwCMD} -f flush 

${FwCMD} 00100 add allow all from any to any via lo0 
${FwCMD} 00101 add deny all from any to 127.0.0.0/8 
${FwCMD} 00102 add deny all from 127.0.0.0/8 to any 

${FwCMD} 00200 add check-state 

#deny hacker 
        ${FwCMD} 10 add drop ip from any to 58.65.234.17 
        ${FwCMD} 10 add drop ip from 58.65.234.17 to any 
        ${FwCMD} 10 add drop ip from any to 69.50.160.212 
        ${FwCMD} 10 add drop ip from 69.50.160.212 to any 
        ${FwCMD} add 10 deny ip from table'(100)' to any 
${FwCMD} 00300 add deny ip from any to 10.0.0.0/8 in via ${LanOut} 
${FwCMD} 00301 add deny ip from any to 172.16.0.0/12 in via ${LanOut} 
#${FwCMD} 00302 add deny ip from any to 192.168.0.0/16 in via ${LanOut} 
${FwCMD} 00303 add deny ip from any to 0.0.0.0/8 in via ${LanOut} 
${FwCMD} 00304 add deny ip from any to 169.254.0.0/16 in via ${LanOut} 
${FwCMD} 00305 add deny ip from any to 240.0.0.0/4 in via ${LanOut} 
${FwCMD} 00306 add deny icmp from any to any frag 
${FwCMD} 00307 add deny log icmp from any to 255.255.255.255 in via ${LanOut} 
${FwCMD} 00308 add deny log icmp from any to 255.255.255.255 out via ${LanOut} 

################################################################################################## 
############################################ FireWall In ######################################### 

################## NAT & Redirects ################ 
        ${FwCMD} add divert 8668 all from any to ${IpOut} in recv ${LanOut} 
################## For Gate ################ 
## Outgoing 
        ${FwCMD} add pass tcp from any to any established 
        ${FwCMD} add pass ip from ${IpOut} to any out xmit ${LanOut} keep-state 
## Allow LocalNet 
        ${FwCMD} add pass ip from any to any via ${LanIn} 
## SSH 
        ${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut} 
## DNS 
        ${FwCMD} add allow udp from any 53 to any via ${LanOut} 
#       ${FwCMD} add allow udp from any to any 53 via ${LanOut} 
## HTTP 
        ${FwCMD} add pass ip from any to any 80 via ${LanOut} 
## ICMP 
        ${FwCMD} add allow icmp from any to any icmptypes 0,8,11 
## SMTP,POP3,IMAP 
        ${FwCMD} add pass tcp from ${MyNet} to any 25,110,143 out xmit ${LanOut} 
        ${FwCMD} add pass tcp from any 25,110,143 to ${MyNet} in recv ${LanOut} 

## RDP 
        ${FwCMD} add pass tcp from ${MyNet} to any 3389 

############################################ FireWall End ######################################## 
################################################################################################## 

## Portsentry ## 
${FwCMD} add allow tcp from any to ${IpOut} 1,11,15,23,79,111,119,540,635,1080 via ${LanOut} 
${FwCMD} add allow tcp from any to ${IpOut} 1524,2000,5742,6667,8080,8085,12345,12346,20034,27665 via ${LanOut} 
${FwCMD} add allow tcp from any to ${IpOut} 31337,32771,32772,32773,32774,40421,49724,54320 via ${LanOut} 
${FwCMD} add allow udp from any to ${IpOut} 1,7,9,69,161,162,513,635,640,641 via ${LanOut} 
${FwCMD} add allow udp from any to ${IpOut} 700,37444,34555,31335,32770,32771,32772,32773,32774,31337 via ${LanOut} 
${FwCMD} add allow udp from any to ${IpOut} 54321 via ${LanOut} 

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut} 
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut} 
${FwCMD} add deny log ip from 192.168.0.0/16 to any out via ${LanOut} 
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut} 
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut} 
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut} 
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut} 

#fuck other! 
        ${FwCMD} add deny tcp from any to any 135-139 
        ${FwCMD} add deny tcp from any 135-139 to any 
        ${FwCMD} add deny tcp from any to any 23 
        ${FwCMD} add deny tcp from any 23 to any 
        ${FwCMD} add 65000 drop log all from any to any 

immortal
мл. сержант
Сообщения: 110
Зарегистрирован: 2011-11-10 6:11:34

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение immortal » 2013-04-19 9:59:19

Дык в примере №1 ничего особенно отличительного нет:(
настройки sysctl такие же:

Код: Выделить всё

[16:47] proxy /home/immortal >sysctl net.inet.ip.fw.one_pass
net.inet.ip.fw.one_pass: 1
Разве что в статье ядерный нат, а у меня демон natd... Но я привык к демону, на нем в прошлых фрях у меня все бегало прекрасно. Его просто и легко настрить... И он в статье в конце настроек внеш сетевой
использует "-rxcsum"

Код: Выделить всё

gateway_enable="YES"
ifconfig_em0="inet 1.2.3.4 netmask 255.255.255.0 -rxcsum"
ifconfig_fxp0="inet 192.168.1.1 netmask 255.255.255.0"
Или Вы, vadim64, настоятельно рекомендуете ядерный нат??
P.S просто я делал файрвол в состояние "всем все" и вообще вырубал NAT, ситуация не менялась... Я склоняюсь все-таки больше к маршрутам, как считаете?
Последний раз редактировалось immortal 2013-04-19 10:02:50, всего редактировалось 1 раз.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение vadim64 » 2013-04-19 10:02:11

вот я парожаюсь, почему всех так ломает прочитать один раз статью и два раза нужный пример из статьи и начать делать списки правил а-ля

Код: Выделить всё

# firewal02
cmd='ipfw ' 

ttk_if='vlan140'
lan_if='bge0'

lan_net='192.168.10.130/23'

$cmd -q flush

# NAT to TTK
$cmd table 4 flush
$cmd table 4 add $lan_net

$cmd add 00100 allow all from any to any via lo0
$cmd add 00200 deny all from any to 127.0.0.1/8
$cmd add 00300 deny all from 127.0.0.1/8 to any

$cmd add 10010 allow ip from $lan_net to $lan_net via $lan_if

$cmd add 21010 allow ip from any to $lan_net out xmit $lan_if
$cmd add 21020 allow ip from $lan_net to any in recv $lan_if

$cmd add 22020 allow ip from me to any via $ttk_if keep-state

$cmd nat 200 config log if $ttk_if deny_in same_ports reset

$cmd add 50010 nat 200 ip from any to me via $ttk_if
$cmd add 50100 nat 200 ip from table\(4\) to any via $ttk_if

$cmd add 65534 deny log ip from any to any
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

immortal
мл. сержант
Сообщения: 110
Зарегистрирован: 2011-11-10 6:11:34

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение immortal » 2013-04-19 10:10:16

Ну у меня файр настроен практически в точности как у Вас! Только НАТ демоном... Вот и интересно в чем принципиальная затыка в настройках между провами??

Ну я естественно покурю в сторону ядерного ната и все перенастрою завтра вечером (седня нет возможности вырубать боевой сервак у бухов отчетность :))

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение dmtr » 2013-04-19 13:14:04

а вот это вы чего

Код: Выделить всё

################## NAT & Redirects ################ 
        ${FwCMD} add divert 8668 all from any to ${IpOut} in recv ${LanOut} 
на нат заворачиваете только трафик который приходит на внешний интерфейс из интернета?
добавьте перед ним правило

Код: Выделить всё

${FwCMD} add divert natd all from ${NetIn}/${NetMask} to any out via ${LanOut}
This game has no name. It will never be the same.

immortal
мл. сержант
Сообщения: 110
Зарегистрирован: 2011-11-10 6:11:34

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение immortal » 2013-04-22 4:02:01

dmtr писал(а):а вот это вы чего

Код: Выделить всё

################## NAT & Redirects ################ 
        ${FwCMD} add divert 8668 all from any to ${IpOut} in recv ${LanOut} 
на нат заворачиваете только трафик который приходит на внешний интерфейс из интернета?
добавьте перед ним правило

Код: Выделить всё

${FwCMD} add divert natd all from ${NetIn}/${NetMask} to any out via ${LanOut}
Добавлял, таже песня :( Нет пингов... Но я еще раз все таки попробую его прописать, и все перепроверить, где то ошибся...

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение dmtr » 2013-04-22 10:16:24

для диагностики можно запустить пинг с локальной машины на внешку, и tcpdump-ом на шлюзе вычислить на каком интерфейсе не приходят / не уходят пакеты.
This game has no name. It will never be the same.

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Зашел в тупик! Нужна помощь!!

Непрочитанное сообщение vadim64 » 2013-04-22 10:58:48

Код: Выделить всё

ipfw show
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.