traceroute на шлюзе!

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

traceroute на шлюзе!

Непрочитанное сообщение Zhan » 2010-01-22 7:26:49

все здравствуйте!
поиск по форуму не дал чего то похожего.
проблема в следующем.
есть шлюз на FreeBSD

Код: Выделить всё

 uname -r
8.0-RELEASE
в ядре:
IPFIREWALL
IPFIREWALL_FORWARD
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=100
IPDIVERT


в фаере есть правило:

Код: Выделить всё

03000     34     2792 allow icmp from any to any
Проблема в следующем:
с самого шлюза ping есть:

Код: Выделить всё

ns# ping mail.ru
PING mail.ru (217.69.128.41): 56 data bytes
64 bytes from 217.69.128.41: icmp_seq=0 ttl=110 time=402.670 ms
64 bytes from 217.69.128.41: icmp_seq=1 ttl=110 time=358.403 ms
64 bytes from 217.69.128.41: icmp_seq=2 ttl=110 time=259.857 ms
64 bytes from 217.69.128.41: icmp_seq=3 ttl=110 time=213.220 ms
^C
--- mail.ru ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 213.220/308.538/402.670/75.503 ms

а traceroute выдает только звездочки!!!

Код: Выделить всё

ns# traceroute mail.ru
traceroute: Warning: mail.ru has multiple addresses; using 217.69.128.43
traceroute to mail.ru (217.69.128.43), 64 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  *
с локалки (через этот же шлюз) есть и ping и tracert!!! C:\Documents and Settings\zhan>ping mail.ru

Обмен пакетами с mail.ru [217.69.128.42] по 32 байт:

Ответ от 217.69.128.42: число байт=32 время=260мс TTL=109
Ответ от 217.69.128.42: число байт=32 время=241мс TTL=109
Ответ от 217.69.128.42: число байт=32 время=469мс TTL=109
Ответ от 217.69.128.42: число байт=32 время=452мс TTL=109

Статистика Ping для 217.69.128.42:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),[/code]

Код: Выделить всё

C:\Documents and Settings\zhan>tracert mail.ru

Трассировка маршрута к mail.ru [217.69.128.42]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.0.1
  2   189 ms   165 ms   241 ms  alma-agr-1.online.kz [88.204.228.1]
  3   331 ms   640 ms   856 ms  alma-core-l2-6.online.kz [92.47.150.21]
  4   379 ms  2017 ms   220 ms  alma-core-l1-6.online.kz [92.47.145.13]
  5   185 ms   116 ms   194 ms  akto-core-l1-1.online.kz [92.47.145.2]
^C
и еще пните в нужном направлении :oops:
КАК все же включить логи IPFW ??? и где они должны появиться???
Последний раз редактировалось Zhan 2010-01-22 7:41:45, всего редактировалось 1 раз.
Знания, которые не пополняются ежедневно, убывают с каждым днем.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: traceroute на шлюзе!

Непрочитанное сообщение Zhan » 2010-01-22 7:28:08

кстати таких шлюзов у меня 3!
в разных местах. и на некоторых стоит frebsd 7.2 - и проблема такая же. :(
Знания, которые не пополняются ежедневно, убывают с каждым днем.

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: traceroute на шлюзе!

Непрочитанное сообщение Kos » 2010-01-22 12:28:42

кроме icmp traceroute ещё и udp использует.
Приведите фаервол к состоянию:

Код: Выделить всё

allow all from any to any
а потом уже ищите ошибки.

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: traceroute на шлюзе!

Непрочитанное сообщение Zhan » 2010-01-22 12:42:24

а какой нимено порт udp ???
и если фаер перевести в OPEN, то как искать ошибки???
Знания, которые не пополняются ежедневно, убывают с каждым днем.

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: traceroute на шлюзе!

Непрочитанное сообщение Kos » 2010-01-22 19:55:51

Zhan писал(а):а какой нимено порт udp ???
man traceroute гласит:
-p Protocol specific. For UDP and TCP, sets the base port number used in probes (default is 33434).

для того чтобы включить логи в ipfw нужно к правилу, по которому хотите видеть лог, дописать параметр log например

Код: Выделить всё

ipfw add allow log all from any to me 22
логи по-умолчанию пишутся в /var/log/security
Zhan писал(а):и если фаер перевести в OPEN, то как искать ошибки???
а что Вы считаете ошибками?

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: traceroute на шлюзе!

Непрочитанное сообщение Zhan » 2010-01-24 16:43:15

Спасибо Kos за подсказку про логи и за пинок в нужном направлении по поводу трассировки! :smile:
Действительно traceroute использует udp , в частности он посылает udp-пакеты на произвольный порт. а у меня в фаере только 53 и 123 udp открыты.
соответственно добавил правило перед deny all:
allow udp from any to any out via ${oif}
и все замечательно заработало.

Тема на этом закрыта.
Знания, которые не пополняются ежедневно, убывают с каждым днем.