freebsd7.2 исчез инет.

[Spook1680]

естественно, что после

Код: Выделить всё

ipfw -f flush

инет пошёл - ты сбросил все правила, естественно, что нет у клиентов, так как ты и правила NAT (divert) сбросил..
попробуй убрать из rc.firewall

• ${fwcmd} add 400 deny ip from 192.168.0.0/16 to any in via ${oif}

и перезагрузи правила

Код: Выделить всё

/etc/rc.firewall

Старнно но проблема осталась!
Не помогло.
Вроде кретичного ничего в настройках не вижу.
Единственное что последнее добовлял это правила для почты и плюс правил конфиг по синхронизации времени, но опять же да же если я с синхрой времени напартачил какое отнашение все это может иметь к тому что пользователи не могу инет получить. Чудиса.
Где еще можно порыть??

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hranitel_y2k]

Второй раз проверяю ваши днс сервера, первый вообще не пашет сейчас,а второй пашет но с перебоями... Вчера, когда у вас были проблемы,ваши днс не отвечали,а когда у вас "все заработало" и они отвечать начали.
Поставьте эти днс, не пожалеете: 156.154.70.1 and 156.154.71.1

Код: Выделить всё

> server 87.245.190.122
Default Server:  ns4.comcor.ru
Address:  87.245.190.122

> www.mail.ru
Server:  ns4.comcor.ru
Address:  87.245.190.122

*** ns4.comcor.ru can't find www.mail.ru: Query refused
> server 62.117.76.20
Default Server:  [62.117.76.20]
Address:  62.117.76.20

> www.mail.ru
Server:  [62.117.76.20]
Address:  62.117.76.20

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to [62.117.76.20] timed-out

И, пожалуйста,вывод команды: ping 74.125.87.103 . Вы так и не выложили его в теме.

[Spook1680]

Второй раз проверяю ваши днс сервера, первый вообще не пашет сейчас,а второй пашет но с перебоями... Вчера, когда у вас были проблемы,ваши днс не отвечали,а когда у вас "все заработало" и они отвечать начали.
Поставьте эти днс, не пожалеете: 156.154.70.1 and 156.154.71.1

Код: Выделить всё

> server 87.245.190.122
Default Server:  ns4.comcor.ru
Address:  87.245.190.122

> www.mail.ru
Server:  ns4.comcor.ru
Address:  87.245.190.122

*** ns4.comcor.ru can't find www.mail.ru: Query refused
> server 62.117.76.20
Default Server:  [62.117.76.20]
Address:  62.117.76.20

> www.mail.ru
Server:  [62.117.76.20]
Address:  62.117.76.20

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Request to [62.117.76.20] timed-out

И, пожалуйста,вывод команды: ping 74.125.87.103 . Вы так и не выложили его в теме.

[root@pcbsd]/usr/local/etc(137)# ping 74.125.87.103
PING 74.125.87.103 (74.125.87.103): 56 data bytes
64 bytes from 74.125.87.103: icmp_seq=0 ttl=54 time=76.101 ms
64 bytes from 74.125.87.103: icmp_seq=1 ttl=54 time=75.810 ms
64 bytes from 74.125.87.103: icmp_seq=2 ttl=54 time=76.287 ms
64 bytes from 74.125.87.103: icmp_seq=3 ttl=54 time=76.048 ms

Странно, но думаю наверно где-то траблы с фаэрволом, тесты делал, почему-то работает инет когда правила фаэрола не загружены, а стоит только грузануть /etc/netstart правила вступают в действия и все, инета нет не на серваке не у пользователей.

[termsl]

а отключить Openvpn, может он какие маршруты под себя перестраивает....

[termsl]

проверь

• ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${oif}

наверное должно быть

• ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${iif}

и

• ${fwcmd} add 700 divert natd all from any to ${oip} in via ${oif}

на

• • ${fwcmd} add 700 divert natd all from any to ${iip} in via ${oif}

[hranitel_y2k]

Странно, но думаю наверно где-то траблы с фаэрволом, тесты делал, почему-то работает инет когда правила фаэрола не загружены, а стоит только грузануть /etc/netstart правила вступают в действия и все, инета нет не на серваке не у пользователей.

Инет у вас есть, раз пинг идет.

Если это фаир, то начните с дефолтового "simple" и понемногу усложняйте настройки. А еще у вас очень много мусора в rc.conf ,и не понятно что у Вас работает,а что выключено...

И если можно, вывод команды: ping www.google.com

[Spook1680]

проверь

• ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${oif}

наверное должно быть

• ${fwcmd} add 500 divert natd all from table\(1\) to any out via ${iif}

и

• ${fwcmd} add 700 divert natd all from any to ${oip} in via ${oif}

на

• • ${fwcmd} add 700 divert natd all from any to ${iip} in via ${oif}

Ок. попробую проверить openvpn но не думаю что из-за него.
Службу останавливал, результат не изменился.
А вот правила фаэрвола верны, ну покрайне мере эти два)) это точно.
Я их еще раньше неоднократно проверял.

[termsl]

сорри с натом, разобрался куда какой интерфейс у тебя смотрит....

как вариант - добавить к каждому запрещающему правилу log и смотреть в логах на каком этапе рубится.
да и преобразование тоже в живую посмотреть - остановить natd и запустить его в verbose:

Код: Выделить всё

natd -n интерфейс -p 8668 -s -m -verbose

[Spook1680]

сорри с натом, разобрался куда какой интерфейс у тебя смотрит....

как вариант - добавить к каждому запрещающему правилу log и смотреть в логах на каком этапе рубится.
да и преобразование тоже в живую посмотреть - остановить natd и запустить его в verbose:

Код: Выделить всё

natd -n интерфейс -p 8668 -s -m -verbose

ок я попробую. Тока вот неделал так )) как log к каждому правилу подцепить ну запрещенному. После правила продел и путь лога, ну и файл для него создать?

[termsl]

после allow или deny сделать приставку log:

Код: Выделить всё

${FwCMD} add deny log ip from any to бла-бла бла

насчет настройки файла для лога сам не разбирался с конкретным указанием, но по умолчанию льет в /var/log/security примерно в таком виде:

• Mar 25 15:28:59 gate kernel: ipfw: 4400 Deny TCP 83.239.183.39:62989 123.123.123.123:80 in via xl0
  Mar 25 15:29:05 gate kernel: ipfw: 4400 Deny TCP 95.209.243.79:1940 123.123.123.123:49090 in via xl0
  Mar 25 15:29:11 gate kernel: ipfw: 4400 Deny UDP 95.209.243.79:57106 123.123.123.123:49090 in via xl0
  Mar 25 15:34:02 gate kernel: ipfw: 4400 Deny TCP 81.66.1.16:3453 123.123.123.123:135 in via xl0
  Mar 25 15:34:35 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0
  Mar 25 15:34:35 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0
  Mar 25 15:46:36 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0
  Mar 25 15:46:36 gate kernel: ipfw: 4400 Deny UDP 81.95.143.243:138 123.123.123.123:138 in via xl0

[ADRE]

а чё с мак? адресом

[Spook1680]

а чё с мак? адресом

А что не так? Где ошибку мог допустить.

[nops]

Как вариант попробуй:
ipfw add 10 allow ip from any to any

Этим ты отключишь свой фаер. если в /etc/rc.conf стоит строчка gateway_enable="YES" то инет должен появится везде, и у тебя и на клиентах.
Если появился и на серваке и на клиентах, то смотри фаервол, если только на серваке, то смотри ещё и нат.

Приведу свой пример, как у меня работает.
правила фаера выше, в них особо дописывать и нечего, раз ве что открываются порты для биллинга.
Биллинг создаёт динамические правила в фаерволе, для клиентов Это бог с ним, эти правила ты и сам напишешь с rc.firewall

У тебя используется natd, я использую pf

Код: Выделить всё

[root@novour /usr/local/etc]# cat /etc/rc.conf | grep pf
pf_enable="YES"
[root@novour /usr/local/etc]#

У тебя pf закоментирован полностью.
далее:

Код: Выделить всё

[root@novour /usr/local/etc]# cat /etc/pf.conf
set limit states 128000
set optimization aggressive
nat pass on re0 from 192.168.0.0/16 to any -> re0
[root@novour /usr/local/etc]#

и всё. Далее запускаем pf как демона:

Код: Выделить всё

pfctl -d

и наслаждаемся.
Только не забываем прописывать правила в фаервол, чтобы юзвери могли лазить в инет