IPFW NAT Теряются пакеты

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Doctor_Dark
проходил мимо
Сообщения: 1
Зарегистрирован: 2020-07-30 21:18:47

IPFW NAT Теряются пакеты

Непрочитанное сообщение Doctor_Dark » 2020-07-30 21:36:43

Доброго времени суток, уважаемым форумчанам.
Есть сервер с несколькими интерфейсами
ifconfig:

Код: Выделить всё

vlan4021: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=80002<TXCSUM,LINKSTATE>
	ether c0:25:e9:1e:73:cd
	inet 172.16.0.1 netmask 0xfffffffc broadcast 172.16.0.3 
	inet 10.0.1.1 netmask 0xffffff00 broadcast 10.0.1.255 
	inet 192.168.88.1 netmask 0xffffff00 broadcast 192.168.88.255 
	groups: vlan 
	vlan: 4021 vlanpcp: 0 parent interface: re1
	media: Ethernet 1000baseT <full-duplex>
	status: active
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
vlan4094: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=80002<TXCSUM,LINKSTATE>
	ether c0:25:e9:1e:73:cd
	inet 10.1.1.1 netmask 0xffffff00 broadcast 10.1.1.255 
	groups: vlan 
	vlan: 4094 vlanpcp: 0 parent interface: re1
	media: Ethernet 1000baseT <full-duplex>
	status: active

vlan4021-10: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=28<VLAN_MTU,JUMBO_MTU>
	ether c0:25:e9:1e:73:cd
	inet 10.1.2.1 netmask 0xffffff00 broadcast 10.1.2.255 
	inet6 fe80::c225:e9ff:fe1e:73cd%vlan4021-10 prefixlen 64 tentative scopeid 0xa 
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active
	nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

netstat -r:

Код: Выделить всё

default            XXXXX US         XXX
10.0.0.0/8         172.16.0.2         UGS    vlan4021
10.0.1.0/24        link#6             U      vlan4021
10.0.1.1           link#6             UHS         lo0
10.1.1.0/24        link#7             U      vlan4094
10.1.1.1           link#7             UHS         lo0
10.1.2.0/24        link#10            U      vlan4021
10.1.2.1           link#10            UHS         lo0
10.2.2.1           link#9             UHS         lo0
localhost          link#3             UH          lo0
172.16.0.0/30      link#6             U      vlan4021
172.16.0.1         link#6             UHS         lo0
ipfw list:

Код: Выделить всё

00100 check-state :default
00500 allow tcp from any to any via vlan4094
00600 allow udp from any to any via vlan4094
00700 allow icmp from any to any via vlan4094
01000 allow ip from any to any via lo0
01600 nat 2 ip from any to 10.0.1.0/24 via vlan4021
01700 nat 3 ip from any to 10.0.0.0/8 via vlan4021
01800 allow log logamount 50 ip from 10.0.0.0/8 to any via vlan4021
01900 allow ip from any to any via vlan4021-10 keep-state :default
ipfw nat show config

Код: Выделить всё

ipfw nat 2 config ip 10.0.1.1 deny_in same_ports reset
ipfw nat 3 config ip 172.16.0.1 log same_ports
при таком конфиге в сетку 10.0.1.0/24 пакеты бегают отовсюду, нат работает.
а вот в сетку 10.0.0.0/8 из сети 10.1.1.0/24 доступа нет. Причём tcpdump говорит, что ответы на ip 172.16.0.1 приходят. А вот на интерфейсе vlan4021 их уже нет. Прошу помощи с моей проблемой и заранее благодарю!)
Интерфейс vlan4021-10 - qinq с помощью ng. При этом с самого сервера все сетки доступны и нат работает

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/