ipfw nat (https)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Hobaz
проходил мимо
Сообщения: 2
Зарегистрирован: 2016-04-19 10:05:37
Откуда: Ukraine/Odessa
Контактная информация:

ipfw nat (https)

Непрочитанное сообщение Hobaz » 2016-04-19 10:20:46

Добрый день, впервые пишу вопрос так как столкнулся с проблемой прогрузки сайтов https авторизацией на них.

В примере три таблицы маршрутизации, обратите внимание на fib 0 и 1 так как вопрос именно по ним.

Код: Выделить всё

Routing tables (default)

Internet:
Destination        Gateway            Flags      Netif Expire
default            195.104.100.29      UGS         em0

Routing tables (fib: 1)

Internet:
Destination        Gateway            Flags      Netif Expire
default            195.104.100.29      UGS         em0
Routing tables (fib: 2)

Internet:
Destination        Gateway            Flags      Netif Expire
default            195.140.30.101     UGS         ng0
Заворачивая трафик в default gateway (fib 0) я столкнулся с проблемой прогрузки https страниц авторизацией на сайтах, ipfw

Код: Выделить всё

~# ipfw list
00100 allow ip from any to any via lo0
00200 allow ip from any to any via em3
00300 nat 1 ip from any to any via em0
00400 nat 2 ip from any to any via ng0
65535 deny ip from any to any

~# ipfw nat show config
ipfw nat 2 config if ng0 log deny_in same_ports reset
ipfw nat 1 config if em0 log deny_in same_ports reset
Но как только я установил в правилах setfib завернул трафик в (fib 1) все нормально заработало

Код: Выделить всё

00100 setfib 1 ip from any to any in recv em3
00200 allow ip from any to any via lo0
00300 allow ip from any to any via em3
00400 nat 1 ip from any to any via em0
00500 nat 2 ip from any to any via ng0
65535 deny ip from any to any
Объясните пожалуйста почему нормально не работает на default route (fib 0) ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

ipfw nat (https)

Непрочитанное сообщение dekloper » 2016-04-21 16:11:40

сложно сказать.. tcpdump в руки и смотреть где чо не долетает.. до сервера..
хотя, если сервер вами не контролируется, вы, как клиент, врят ли увидите аномалии..
ну, или смоделировать подконтрольный сервер для анализа аномалий с двух сторон..

можно предположить, что нетграф второго интерфейса что-то "ломает" в системе..
попробовать без него, с одним провайдером в 0-ом фибе..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
Hobaz
проходил мимо
Сообщения: 2
Зарегистрирован: 2016-04-19 10:05:37
Откуда: Ukraine/Odessa
Контактная информация:

ipfw nat (https)

Непрочитанное сообщение Hobaz » 2016-04-22 0:32:50

Спасибо за ответ, обязательно на трафик посмотрю.

Тут я уже выдвинул две версии

Первая появилась после беседы с техническим отделом провайдера, техник рассказывал что они сталкивались с проблемами сетевых карт а точнее с драйвером, в частности с двухпортовыми Intel.
На сервере я использую две EXPI9402PTBLK карточки.

Вторая появилась после прочтения поста на просторах интернета, там говорится что нужно опускать MTU если вы используете PPPoE, GPON или другие технологии для доступа в интернет.
Интерфейс em0 у меня смотрит на абонентский GPON который работает как мост (модель Huawei HG8010).

Опять я беседовал с техническим отделом провайдера, интересовался какое MTU стоит с их стороны, меня заверили что при 1500 у меня должно все работать нормально, но для экспериментов предложили опустить до ~1462.