ping: sendto: Operation not permitted

[xelp]

всем привет. нужна помощь
была уже такая тема, хотел писать туда, но она уже закрыта, ответа там не нашел

есть

Код: Выделить всё

FreeBSD gate 8.0-RELEASE FreeBSD 8.0-RELEASE #4: Wed Mar 16 15:33:31 MSK 2011     admin@gate:/usr/obj/usr/src/sys/gate  i386

инет через pppoe
проблема: после установления соединения (после обрыва), нет инета. пинг не ходит
ping: sendto: Operation not permitted
проблема решается руками pfctl -f /etc/pf.conf или ребутом серва
но не могу понять ПОЧЕМУ и как от этого избавиться

вот текущие правила и -sa когда инет работает

Код: Выделить всё

nat on tun0 inet from 192.168.0.0/24 to any -> x.x.x.x

scrub in on tun0 all fragment reassemble
block drop log all
pass out on tun0 inet proto udp from any to any port = domain keep state
pass out on tun0 inet proto udp from x.x.x.x to any port = bootps keep state
pass out on tun0 inet proto icmp from x.x.x.x to any keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = http flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = 8080 flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = https flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = imaps flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = smtps flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = submission flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = smtp flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = pop3 flags S/SA keep state
pass out on tun0 inet proto tcp from x.x.x.x to any port = aol flags S/SA keep state
block drop out on tun0 inet proto tcp from x.x.x.x to <vk>

INFO:
Status: Enabled for 3 days 02:06:33           Debug: Urgent

State Table                          Total             Rate
  current entries                      173
  searches                         2016428            7.6/s
  inserts                            26848            0.1/s
  removals                           26675            0.1/s
Counters
  match                              55603            0.2/s
  bad-offset                             0            0.0/s
  fragment                               0            0.0/s
  short                                  0            0.0/s
  normalize                              0            0.0/s
  memory                                 0            0.0/s
  bad-timestamp                          0            0.0/s
  congestion                             0            0.0/s
  ip-option                              0            0.0/s
  proto-cksum                            2            0.0/s
  state-mismatch                        49            0.0/s
  state-insert                           0            0.0/s
  state-limit                            0            0.0/s
  src-limit                              0            0.0/s
  synproxy                               0            0.0/s

TIMEOUTS:
tcp.first                   120s
tcp.opening                  30s
tcp.established           86400s
tcp.closing                 900s
tcp.finwait                  45s
tcp.closed                   90s
tcp.tsdiff                   30s
udp.first                    60s
udp.single                   30s
udp.multiple                 60s
icmp.first                   20s
icmp.error                   10s
other.first                  60s
other.single                 30s
other.multiple               60s
frag                         30s
interval                     10s
adaptive.start             6000 states
adaptive.end              12000 states
src.track                     0s

LIMITS:
states        hard limit    10000
src-nodes     hard limit    10000
frags         hard limit     5000
tables        hard limit     1000
table-entries hard limit   200000

TABLES:
vk

OS FINGERPRINTS:
696 fingerprints loaded

вот когда не работает (правила те же)

Код: Выделить всё

State Table                          Total             Rate
  current entries                        2
  searches                         1791361            6.9/s
  inserts                            20553            0.1/s
  removals                           20551            0.1/s
Counters
  match                              48802            0.2/s
  bad-offset                             0            0.0/s
  fragment                               0            0.0/s
  short                                  0            0.0/s
  normalize                              0            0.0/s
  memory                                 0            0.0/s
  bad-timestamp                          0            0.0/s
  congestion                             0            0.0/s
  ip-option                              0            0.0/s
  proto-cksum                            2            0.0/s
  state-mismatch                        26            0.0/s
  state-insert                           0            0.0/s
  state-limit                            0            0.0/s
  src-limit                              0            0.0/s
  synproxy                               0            0.0/s

TIMEOUTS:
tcp.first                   120s
tcp.opening                  30s
tcp.established           86400s
tcp.closing                 900s
tcp.finwait                  45s
tcp.closed                   90s
tcp.tsdiff                   30s
udp.first                    60s
udp.single                   30s
udp.multiple                 60s
icmp.first                   20s
icmp.error                   10s
other.first                  60s
other.single                 30s
other.multiple               60s
frag                         30s
interval                     10s
adaptive.start             6000 states
adaptive.end              12000 states
src.track                     0s

LIMITS:
states        hard limit    10000
src-nodes     hard limit    10000
frags         hard limit     5000
tables        hard limit     1000
table-entries hard limit   200000

TABLES:
vk

OS FINGERPRINTS:
696 fingerprints loaded

в таблице vk ипы вконтакте, если это важно
сеть маленькая, меньше 10 компов

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[skeletor]

Видимо в момент обрыва интерфейс tun0 пропадает и оно его не находит. В итоге блочится всё.

[Гость]

не, после дозвона tun0 виден в ifconfig и имеет адрес. тут явно чета другое...

[hedgehog]

когда применяются правила, у интерфейса еще нет айпишника. да и в этом случае даже интерфейса нету. нуна скриптом дергать правила после получения айпишника на интерфейсе, в mpd5 это проще всего сделать так:

Код: Выделить всё

        set iface up-script /usr/local/etc/mpd5/beeline-up.sh
        set iface down-script /usr/local/etc/mpd5/beeline-down.sh

как в pppd - не знаю.
# pfctl -sr можно посмотреть все активные правила pf и все станет ясно

[Гость]

а почему тогда с ipfw все работает? автоматом после разрыва связи. правила он не перегружает, и все работает.
а на пф вот такое... не понимаю

[Гость]

и кстати в догонку.
когда в rc.conf нет synchronous_dhclient="YES", то при загрузке компа правила не применяются, именно потому что еще адреса нет, как пишет Ежик
понятно, инета нет. ОДНАКО! мне ведь пинг не пишет Operation not permitted. согласны? пишет просто timeout

так что, остаюсь при своем, че тута другое

[hedgehog]

и кстати в догонку.
когда в rc.conf нет synchronous_dhclient="YES", то при загрузке компа правила не применяются, именно потому что еще адреса нет, как пишет Ежик
понятно, инета нет. ОДНАКО! мне ведь пинг не пишет Operation not permitted. согласны? пишет просто timeout

так что, остаюсь при своем, че тута другое

после переподключения айпишник меняется? все же посмотрите правила pfctl -sr когда "все пропало"

[Гость]

правила остаются!

[Гость]

проверил ип. меняется по ходу дела. утром, когда постил был другой, чем сейчас. пойду добавлю скобки в правила, погляжу че будет

[xelpagain]

снова я. ип сменился, инет работает (пока)
думаю, проблема решена. добавил скобки в правила фильтра
спасибо Ежику, пнул в правильном направлении

[hedgehog]

спасибо Ежику, пнул в правильном направлении

а я по глупости решил, что скобки работают только в nat правилах

[xelplogoog]

а я их почему в правилах не указал изначально? потому что дома у другого прова дхцп каг бы тоже есть, но там всегда выдается одинаковый адрес вот никогда скобки и не юзал...