Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
korpse
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2009-11-21 15:39:02
Непрочитанное сообщение
korpse » 2009-11-21 15:57:58
Доброго времени суток. Не могу найти адекватный поисковый запрос, поэтому решил спросить здесь.
Есть система FreeBSD 8.0-PRERELEASE. Есть маршрут до подсети, в которой находится сервер 194.85.80.27. При этом сервер не пингуется (это же относится ко всем айпишникам этой подсети, и не только этой). Если же добавить маршрут до хоста 194.85.80.27, то всё становится хорошо. В rc.conf стоит gateway_enable="YES" и включен IPFW с разрешающими правилами.
Как по-нормальному сделать доступ ко всей подсети?
Код: Выделить всё
# ping 194.85.80.27
PING 194.85.80.27 (194.85.80.27): 56 data bytes
^C
--- 194.85.80.27 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
10.0.0.0/8 10.55.114.1 UGS 0 0 rl0
10.55.114.0/23 link#2 U 2 300 rl0
10.55.115.80 link#2 UHS 0 0 lo0
81.5.64.0/20 10.55.114.1 UGS 0 0 rl0
81.5.88.0/22 10.55.114.1 UGS 0 0 rl0
127.0.0.1 link#4 UH 0 0 lo0
172.16.0.0/12 10.55.114.1 UGS 0 0 rl0
192.168.0.0/16 10.55.114.1 UGS 0 0 rl0
192.168.1.0/24 link#1 U 0 0 re0
192.168.1.1 link#1 UHS 0 0 lo0
192.188.189.0/24 10.55.114.1 UGS 0 0 rl0
193.125.142.0/23 10.55.114.1 UGS 0 0 rl0
194.85.80.0/22 10.55.114.1 UGS 2 3 rl0
# route add -host 194.85.80.27 10.55.114.1
add host 194.85.80.27: gateway 10.55.114.1
# ping 194.85.80.27
PING 194.85.80.27 (194.85.80.27): 56 data bytes
64 bytes from 194.85.80.27: icmp_seq=0 ttl=63 time=0.219 ms
64 bytes from 194.85.80.27: icmp_seq=1 ttl=63 time=0.204 ms
^C
--- 194.85.80.27 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.204/0.211/0.219/0.008 ms
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
10.0.0.0/8 10.55.114.1 UGS 0 0 rl0
10.55.114.0/23 link#2 U 2 441 rl0
10.55.115.80 link#2 UHS 0 0 lo0
81.5.64.0/20 10.55.114.1 UGS 0 0 rl0
81.5.88.0/22 10.55.114.1 UGS 0 0 rl0
127.0.0.1 link#4 UH 0 0 lo0
172.16.0.0/12 10.55.114.1 UGS 0 0 rl0
192.168.0.0/16 10.55.114.1 UGS 0 0 rl0
192.168.1.0/24 link#1 U 0 0 re0
192.168.1.1 link#1 UHS 0 0 lo0
192.188.189.0/24 10.55.114.1 UGS 0 0 rl0
193.125.142.0/23 10.55.114.1 UGS 0 0 rl0
194.85.80.0/22 10.55.114.1 UGS 0 3 rl0
194.85.80.27 10.55.114.1 UGHS 1 2 rl0
# uname -a
FreeBSD xxxx.yyyy 8.0-PRERELEASE FreeBSD 8.0-PRERELEASE #0: Sat Nov 21 08:22:11 MSK 2009 root@xxxx.yyyy:/usr/obj/usr/src/sys/MY03 i386
# ipfw list
00002 allow ip from any to any
65535 allow ip from any to any
korpse
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
---nebo--- » 2009-11-21 16:21:38
странно, странно
адрес сервака 194.85.80.27 попадает в путь
судя по выводу netstat -nr, у вас для каждой сети шлюзом стоит 10.55.114.1, может вам стоит прописать шлюз по умолчанию.
...участки под застройку в живописном месте Интернет
---nebo---
-
korpse
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2009-11-21 15:39:02
Непрочитанное сообщение
korpse » 2009-11-21 16:27:56
Прописывание шлюза по умолчанию не помогает. Вот что сейчас:
Код: Выделить всё
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.55.114.1 UGS 0 0 rl0
10.0.0.0/8 10.55.114.1 UGS 0 0 rl0
10.55.114.0/23 link#2 U 2 111 rl0
10.55.115.80 link#2 UHS 0 0 lo0
81.5.64.0/20 10.55.114.1 UGS 0 0 rl0
81.5.88.0/22 10.55.114.1 UGS 0 0 rl0
127.0.0.1 link#4 UH 0 0 lo0
172.16.0.0/12 10.55.114.1 UGS 0 0 rl0
192.168.0.0/16 10.55.114.1 UGS 0 0 rl0
192.168.1.0/24 link#1 U 0 0 re0
192.168.1.1 link#1 UHS 0 0 lo0
192.188.189.0/24 10.55.114.1 UGS 0 0 rl0
193.125.142.0/23 10.55.114.1 UGS 0 0 rl0
194.85.80.0/22 10.55.114.1 UGS 2 13 rl0
korpse
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
---nebo--- » 2009-11-21 16:35:00
мистика,
если НИ один маршрут не подходит, то пакет засылается на Default Gateway, а у вас и с прописаным шлюзом по умолчанию не работает.
Покажите еще /etc/rc.conf
...участки под застройку в живописном месте Интернет
---nebo---
-
korpse
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2009-11-21 15:39:02
Непрочитанное сообщение
korpse » 2009-11-21 16:42:57
rc.conf
Код: Выделить всё
hostname="xxxx.yyyy"
iface_ext="rl0"
iface_int="re0"
iface_ext_gw="10.55.114.1"
font8x14="cp866-8x14"
font8x16="cp866-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
keymap="ru.koi8-r"
keyrate="fast"
mousechar_start="3"
saver="star"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
apache22_enable="YES"
firewall_enable="YES"
firewall_script="/etc/_net/net.up"
firewall_quiet="NO"
firewall_logging="YES"
firewall_type="closed"
ifconfig_re0="inet 192.168.1.1 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0="inet 10.55.115.80 10.55.114.1 netmask 255.255.254.0"
к re0 физически ничего не подключено.
На всякий случай ещё конфиг ядра скину. Он отличается от GENERIC добавлением строк
Код: Выделить всё
options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
options IPFIREWALL_NAT # ipfw kernel nat support
options DUMMYNET
options IPDIVERT #divert sockets
options LIBALIAS
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
и удалением кучи устройств, а также IPv6
/etc/_net/net.up:
Код: Выделить всё
#!/bin/sh
echo "..setting routes"
. /etc/_net/routes > /dev/null
echo "..setting nameservers"
. /etc/_net/resolv
echo "..setting firewall"
. /etc/_net/firewall
/etc/_net/routes:
Код: Выделить всё
#!/bin/sh
. /etc/rc.conf
gw=${iface_ext_gw}
route="/sbin/route"
$route flush
#$route add -host 194.85.80.27 $gw
$route add -net 192.188.189.0 $gw 255.255.255.0 # 1
$route add -net 10.0.0.0 $gw 255.0.0.0 # 2
$route add -net 172.16.0.0 $gw 255.240.0.0 # 3
$route add -net 192.168.0.0 $gw 255.255.0.0 # 4
$route add -net 81.5.64.0 $gw 255.255.240.0 # 5+patch
$route add -net 81.5.88.0 $gw 255.255.252.0 # 6
$route add -net 193.125.142.0 $gw 255.255.254.0 # 7
$route add -net 194.85.80.0 $gw 255.255.252.0 # 8
$route add default $gw
/etc/_net/firewall:
Код: Выделить всё
#!/bin/sh
. /etc/rc.conf
int_if=${iface_int}
ext_if=${iface_ext}
fw="/sbin/ipfw"
add="/sbin/ipfw -q add"
$fw -q -f flush
$add 002 allow all from any to any
korpse
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
---nebo--- » 2009-11-21 18:23:37
Код: Выделить всё
ifconfig_re0="inet 192.168.1.1 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0="inet 10.55.115.80 10.55.114.1 netmask 255.255.254.0"
такими записями у вас получилось что-то типа HANDBOOK 14.10.3.1.
1. /etc/_net/routes - убираете вообще(или просто не запускайте его, он вам не нужен)
2. Вот это
Код: Выделить всё
ifconfig_re0="inet 192.168.1.1 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0="inet 10.55.115.80 10.55.114.1 netmask 255.255.254.0"
правите до вида
Код: Выделить всё
ifconfig_re0="inet 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0="inet 10.55.115.80 netmask 255.255.254.0"
defaultrouter="10.55.114.1"
...участки под застройку в живописном месте Интернет
---nebo---
-
korpse
- проходил мимо
- Сообщения: 5
- Зарегистрирован: 2009-11-21 15:39:02
Непрочитанное сообщение
korpse » 2009-11-22 13:42:54
Это, конечно, работает. Но как быть, если нужны маршруты до конкретных подсетей? Ведь если включить впн, то пакеты пойдут через него, и до старых серверов мне не достучаться.
korpse
-
---nebo---
- старшина
- Сообщения: 424
- Зарегистрирован: 2008-11-01 21:06:23
- Откуда: Киев
-
Контактная информация:
Непрочитанное сообщение
---nebo--- » 2009-11-22 22:19:26
korpse писал(а):Это, конечно, работает. Но как быть, если нужны маршруты до конкретных подсетей? Ведь если включить впн, то пакеты пойдут через него, и до старых серверов мне не достучаться.
да, при подключении по ВПН, ваш шлюз по умолчанию изменится. Тогда, как вы и делали раньше, пропишите их статически, только
не нужно делать в /etc/rc.conf что-то нечто такого:
Код: Выделить всё
ifconfig_re0="inet 192.168.1.1 192.168.1.1 netmask 255.255.255.0"
ifconfig_rl0="inet 10.55.115.80 10.55.114.1 netmask 255.255.254.0"
...участки под застройку в живописном месте Интернет
---nebo---