freebsd7.2 исчез инет.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение Spook1680 » 2010-03-26 12:02:04

termsl писал(а):естественно, что после

Код: Выделить всё

ipfw -f flush
инет пошёл - ты сбросил все правила, естественно, что нет у клиентов, так как ты и правила NAT (divert) сбросил..
попробуй убрать из rc.firewall
  • ${fwcmd} add 400 deny ip from 192.168.0.0/16 to any in via ${oif}
и перезагрузи правила

Код: Выделить всё

/etc/rc.firewall
Старнно но проблема осталась!
Не помогло.
Вроде кретичного ничего в настройках не вижу.
Единственное что последнее добовлял это правила для почты и плюс правил конфиг по синхронизации времени, но опять же да же если я с синхрой времени напартачил какое отнашение все это может иметь к тому что пользователи не могу инет получить. Чудиса.
Где еще можно порыть??
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение hranitel_y2k » 2010-03-26 13:49:35

Второй раз проверяю ваши днс сервера, первый вообще не пашет сейчас,а второй пашет но с перебоями... Вчера, когда у вас были проблемы,ваши днс не отвечали,а когда у вас "все заработало" и они отвечать начали.
Поставьте эти днс, не пожалеете: 156.154.70.1 and 156.154.71.1

Код: Выделить всё

> server 87.245.190.122
Default Server:  ns4.comcor.ru
Address:  87.245.190.122

> www.mail.ru
Server:  ns4.comcor.ru
Address:  87.245.190.122

*** ns4.comcor.ru can't find www.mail.ru: Query refused
> server 62.117.76.20
Default Server:  [62.117.76.20]
Address:  62.117.76.20

> www.mail.ru
Server:  [62.117.76.20]
Address:  62.117.76.20

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to [62.117.76.20] timed-out
И, пожалуйста,вывод команды: ping 74.125.87.103 . Вы так и не выложили его в теме.
Все гениальное - просто!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение Spook1680 » 2010-03-26 13:59:46

hranitel_y2k писал(а):Второй раз проверяю ваши днс сервера, первый вообще не пашет сейчас,а второй пашет но с перебоями... Вчера, когда у вас были проблемы,ваши днс не отвечали,а когда у вас "все заработало" и они отвечать начали.
Поставьте эти днс, не пожалеете: 156.154.70.1 and 156.154.71.1

Код: Выделить всё

> server 87.245.190.122
Default Server:  ns4.comcor.ru
Address:  87.245.190.122

> www.mail.ru
Server:  ns4.comcor.ru
Address:  87.245.190.122

*** ns4.comcor.ru can't find www.mail.ru: Query refused
> server 62.117.76.20
Default Server:  [62.117.76.20]
Address:  62.117.76.20

> www.mail.ru
Server:  [62.117.76.20]
Address:  62.117.76.20

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to [62.117.76.20] timed-out
И, пожалуйста,вывод команды: ping 74.125.87.103 . Вы так и не выложили его в теме.
[root@pcbsd]/usr/local/etc(137)# ping 74.125.87.103
PING 74.125.87.103 (74.125.87.103): 56 data bytes
64 bytes from 74.125.87.103: icmp_seq=0 ttl=54 time=76.101 ms
64 bytes from 74.125.87.103: icmp_seq=1 ttl=54 time=75.810 ms
64 bytes from 74.125.87.103: icmp_seq=2 ttl=54 time=76.287 ms
64 bytes from 74.125.87.103: icmp_seq=3 ttl=54 time=76.048 ms
Странно, но думаю наверно где-то траблы с фаэрволом, тесты делал, почему-то работает инет когда правила фаэрола не загружены, а стоит только грузануть /etc/netstart правила вступают в действия и все, инета нет не на серваке не у пользователей.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
termsl
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-04-10 23:26:41
Откуда: Moscow

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение termsl » 2010-03-26 14:18:27

а отключить Openvpn, может он какие маршруты под себя перестраивает....

Аватара пользователя
termsl
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-04-10 23:26:41
Откуда: Moscow

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение termsl » 2010-03-26 14:23:35

проверь
  • ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${oif}
наверное должно быть
  • ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${iif}
и
  • ${fwcmd} add 700 divert natd all from any to ${oip} in via ${oif}
на
    • ${fwcmd} add 700 divert natd all from any to ${iip} in via ${oif}

hranitel_y2k
сержант
Сообщения: 154
Зарегистрирован: 2007-12-10 21:04:35

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение hranitel_y2k » 2010-03-26 14:33:45

Spook1680 писал(а): Странно, но думаю наверно где-то траблы с фаэрволом, тесты делал, почему-то работает инет когда правила фаэрола не загружены, а стоит только грузануть /etc/netstart правила вступают в действия и все, инета нет не на серваке не у пользователей.
Инет у вас есть, раз пинг идет.

Если это фаир, то начните с дефолтового "simple" и понемногу усложняйте настройки. А еще у вас очень много мусора в rc.conf ,и не понятно что у Вас работает,а что выключено...

И если можно, вывод команды: ping www.google.com
Последний раз редактировалось hranitel_y2k 2010-03-26 15:04:45, всего редактировалось 1 раз.
Все гениальное - просто!

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение Spook1680 » 2010-03-26 15:02:04

termsl писал(а):проверь
  • ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${oif}
наверное должно быть
  • ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${iif}
и
  • ${fwcmd} add 700 divert natd all from any to ${oip} in via ${oif}
на
    • ${fwcmd} add 700 divert natd all from any to ${iip} in via ${oif}
Ок. попробую проверить openvpn но не думаю что из-за него.
Службу останавливал, результат не изменился.
А вот правила фаэрвола верны, ну покрайне мере эти два)) это точно.
Я их еще раньше неоднократно проверял.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
termsl
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-04-10 23:26:41
Откуда: Moscow

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение termsl » 2010-03-26 15:11:31

сорри с натом, разобрался куда какой интерфейс у тебя смотрит....

как вариант - добавить к каждому запрещающему правилу log и смотреть в логах на каком этапе рубится.
да и преобразование тоже в живую посмотреть - остановить natd и запустить его в verbose:

Код: Выделить всё

natd -n интерфейс -p 8668 -s -m -verbose

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение Spook1680 » 2010-03-26 15:24:46

termsl писал(а):сорри с натом, разобрался куда какой интерфейс у тебя смотрит....

как вариант - добавить к каждому запрещающему правилу log и смотреть в логах на каком этапе рубится.
да и преобразование тоже в живую посмотреть - остановить natd и запустить его в verbose:

Код: Выделить всё

natd -n интерфейс -p 8668 -s -m -verbose

:good: ок я попробую. Тока вот неделал так )) как log к каждому правилу подцепить ну запрещенному. После правила продел и путь лога, ну и файл для него создать?
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
termsl
мл. сержант
Сообщения: 121
Зарегистрирован: 2007-04-10 23:26:41
Откуда: Moscow

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение termsl » 2010-03-26 18:27:17

после allow или deny сделать приставку log:

Код: Выделить всё

${FwCMD} add deny log ip from any to бла-бла бла
насчет настройки файла для лога сам не разбирался с конкретным указанием, но по умолчанию льет в /var/log/security примерно в таком виде:
  • Mar 25 15:28:59 gate kernel: ipfw: 4400 Deny TCP 83.239.183.39:62989 123.123.123.123:80 in via xl0
    Mar 25 15:29:05 gate kernel: ipfw: 4400 Deny TCP 95.209.243.79:1940 123.123.123.123:49090 in via xl0
    Mar 25 15:29:11 gate kernel: ipfw: 4400 Deny UDP 95.209.243.79:57106 123.123.123.123:49090 in via xl0
    Mar 25 15:34:02 gate kernel: ipfw: 4400 Deny TCP 81.66.1.16:3453 123.123.123.123:135 in via xl0
    Mar 25 15:34:35 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0
    Mar 25 15:34:35 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0
    Mar 25 15:46:36 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0
    Mar 25 15:46:36 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение ADRE » 2010-03-27 18:36:53

а чё с мак? адресом
//del

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение Spook1680 » 2010-03-27 20:46:49

ADRE писал(а):а чё с мак? адресом
А что не так? Где ошибку мог допустить.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
nops
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-01-30 21:58:51
Контактная информация:

Re: freebsd7.2 исчез инет.

Непрочитанное сообщение nops » 2010-04-08 7:46:58

Как вариант попробуй:
ipfw add 10 allow ip from any to any

Этим ты отключишь свой фаер. если в /etc/rc.conf стоит строчка gateway_enable="YES" то инет должен появится везде, и у тебя и на клиентах.
Если появился и на серваке и на клиентах, то смотри фаервол, если только на серваке, то смотри ещё и нат.

Приведу свой пример, как у меня работает.
правила фаера выше, в них особо дописывать и нечего, раз ве что открываются порты для биллинга.
Биллинг создаёт динамические правила в фаерволе, для клиентов Это бог с ним, эти правила ты и сам напишешь с rc.firewall

У тебя используется natd, я использую pf

Код: Выделить всё

[root@novour /usr/local/etc]# cat /etc/rc.conf | grep pf
pf_enable="YES"
[root@novour /usr/local/etc]#
У тебя pf закоментирован полностью.
далее:

Код: Выделить всё

[root@novour /usr/local/etc]# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on re0 from 192.168.0.0/16 to any -> re0
[root@novour /usr/local/etc]#
и всё. Далее запускаем pf как демона:

Код: Выделить всё

pfctl -d
и наслаждаемся.
Только не забываем прописывать правила в фаервол, чтобы юзвери могли лазить в инет