pf nat openbsd 4.7 неработает

[radjiv]

Проблема следующая. Инет от прова статика. шлюз прекрасно все пингует. Задача дать доступ рабочим станциям в инет. Вот мой конфиг.

Код: Выделить всё

# Описываем интерфейсы
ext_if="re0"
int_if="vr0"
 
match out on $ext_if from 192.168.1.0/24 nat-to ($ext_if)
match in on $ext_if to ($ext_if) rdr-to 192.168.0.1

#block in on $int_if

# Прокидываем 25 порт снаружи на сервер внутри сети
 #match in on $ext_if proto tcp to port 25 rdr-to 192.168.1.11 port 25
# Прокидываем 80 порт снаружи на сервер внутри сети
match in on $ext_if proto tcp to port 80 rdr-to 192.168.1.11 port 80

# Разрешаем машине с адресом 192.168.64.250 любые соединения
#pass in quick on $int_if from 192.168.1.11 to any

# Разрешаем любые соединения по 53 порту для подсети 192.168.64.0/24
#pass in quick on $int_if proto tcp from 192.168.1.0/24 to any port 53 keep state
#pass in quick on $int_if proto udp from 192.168.1.0/24 to any port 53 keep state

# Разрешаем компам внутри "широкой" 192.168.0.0/16 подсети обмениваться любыми пакетами
#pass in quick on $int_if from 192.168.1.0/16 to 192.168.1.0/16 keep state
#pass out quick on $int_if from 192.168.1.0/16 to 192.168.1.0/16 keep state

Таблица маршрутизации.

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags   Refs      Use   Mtu  Prio Iface
default            84.253.86.153      GS         8     4179     -     8 re0
84.253.86.152/30   link#1             C          2        0     -     4 re0
84.253.86.153      00:0f:23:93:0f:1b  HLc        1        0     -     4 re0
84.253.86.155      link#1             HLc        1       48     -     4 re0
127/8              127.0.0.1          UGRS       0        0 33200     8 lo0
127.0.0.1          127.0.0.1          UH         2      165 33200     4 lo0
192.168.1/24       link#2             UC         3        0     -     4 vr0
192.168.1.1        00:26:5a:06:2f:65  UHLc       1       56     -     4 lo0
192.168.1.11       00:1f:d0:c9:02:8f  UHLc       2      238     -     4 vr0
192.168.1.255      link#2             UHLc       2       47     -     4 vr0
192.168.2/24       link#3             C          1        0     -     4 vr1
192.168.2.255      link#3             HLc        2       47     -     4 vr1
224/4              127.0.0.1          URS        0        0 33200     8 lo0

Internet6:
Destination                        Gateway                        Flags   Refs      Use   Mtu  Prio Iface
::/104                             ::1                            UGRS       0        0     -     8 lo0
::/96                              ::1                            UGRS       0        0     -     8 lo0
::1                                ::1                            UH        14        0 33200     4 lo0
::127.0.0.0/104                    ::1                            UGRS       0        0     -     8 lo0
::224.0.0.0/100                    ::1                            UGRS       0        0     -     8 lo0
::255.0.0.0/104                    ::1                            UGRS       0        0     -     8 lo0
::ffff:0.0.0.0/96                  ::1                            UGRS       0        0     -     8 lo0
2002::/24                          ::1                            UGRS       0        0     -     8 lo0
2002:7f00::/24                     ::1                            UGRS       0        0     -     8 lo0
2002:e000::/20                     ::1                            UGRS       0        0     -     8 lo0
2002:ff00::/24                     ::1                            UGRS       0        0     -     8 lo0
fe80::/10                          ::1                            UGRS       0        0     -     8 lo0
fe80::%re0/64                      link#1                         C          0        0     -     4 re0
fe80::226:18ff:fed3:9c1a%re0       00:26:18:d3:9c:1a              UHL        0        0     -     4 lo0
fe80::%vr0/64                      link#2                         UC         0        0     -     4 vr0
fe80::226:5aff:fe06:2f65%vr0       00:26:5a:06:2f:65              UHL        0        0     -     4 lo0
fe80::%vr1/64                      link#3                         C          0        0     -     4 vr1
fe80::226:5aff:fe06:2dee%vr1       00:26:5a:06:2d:ee              HL         0        0     -     4 lo0
fe80::%lo0/64                      fe80::1%lo0                    U          0        0     -     4 lo0
fe80::1%lo0                        link#5                         UHL        0        0     -     4 lo0
fec0::/10                          ::1                            UGRS       0        0     -     8 lo0
ff01::/16                          ::1                            UGRS       0        0     -     8 lo0
ff01::%re0/32                      link#1                         C          0        0     -     4 re0
ff01::%vr0/32                      link#2                         UC         0        0     -     4 vr0
ff01::%vr1/32                      link#3                         C          0        0     -     4 vr1
ff01::%lo0/32                      ::1                            UC         0        0     -     4 lo0
ff02::/16                          ::1                            UGRS       0        0     -     8 lo0
ff02::%re0/32                      link#1                         C          0        0     -     4 re0
ff02::%vr0/32                      link#2                         UC         0        0     -     4 vr0
ff02::%vr1/32                      link#3                         C          0        0     -     4 vr1
ff02::%lo0/32                      ::1                            UC         0        0     -     4 lo0

С локальных машин пинг не идет. точнее ситуация такова. локальные машины доменное имя яндекс и его ип видят а вот пинг не проходит. внешний интерфейс шлюза рабочие станции пингуют.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[BlackCat]

Попробуйте убрать правило:

Код: Выделить всё

match in on $ext_if to ($ext_if) rdr-to 192.168.0.1

И поясните зачем оно вам?

[radjiv]

пока результат ноль. официальный ман по пф утверждает так должно быть.

[BlackCat]

Это правило:

Код: Выделить всё

match in on $ext_if to ($ext_if) rdr-to 192.168.0.1

заворачивает (меняет IP-адрес назначения) для всех входящих пакетов на внешнем интерфейсе на 192.168.0.1. Вот я интересуюсь зачем вам такой трюк.
=====
Попробуйте вот такую конфигурацию:

Код: Выделить всё

# Interfaces
ext_if="re0"

# NAT rule
match out on $ext_if from !($ext_if) nat-to ($ext_if)

# Allow all traffic
pass all

=====
Покажите вывод:

Код: Выделить всё

# sysctl net.inet.ip.forwarding

[radjiv]

Пока неработает. Есть вариант определить куда пакеты ломятся.

Код: Выделить всё

sysctl net.inet.ip.forwarding
net.inet.ip.forwarding=1

[BlackCat]

Есть вариант определить куда пакеты ломятся.

Если это вопрос, то ответ:

Код: Выделить всё

tcpdump -i <interface>

или

Код: Выделить всё

tcpdump -i <interface> icmp

что бы ловить только ICMP-пакеты.
=====
Запустите ping на клиентской машине и покажите вывод tcpdump на внутреннем и внешнем интерфейсах. А так-же

Код: Выделить всё

pfctl -s rules

что бы понять, какие именно правила загружены в pf.

[radjiv]

Вот данные. что вы спрашивали.

Код: Выделить всё

bash-4.0# pfctl -f /etc/pf.conf
bash-4.0# ping ya.ru
PING ya.ru (93.158.134.3): 56 data bytes
64 bytes from 93.158.134.3: icmp_seq=0 ttl=61 time=3.282 ms
64 bytes from 93.158.134.3: icmp_seq=1 ttl=61 time=3.275 ms
--- ya.ru ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 3.275/3.278/3.282/0.057 ms
bash-4.0# tcpdump -i re0
tcpdump: listening on re0, link-type EN10MB
18:12:18.929882 192.168.1.11 > 195.128.60.37: icmp: echo request
18:12:19.056186 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:19.059109 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:19.898560 c154-86.ntt.ru.36250 > 195.28.32.3.domain: 61753+ PTR? 37.60.128.195.in-addr.arpa. (44)
18:12:20.068325 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:20.072131 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:20.116597 c154-86.ntt.ru.16279 > 195.28.32.3.domain: 49724+ AAAA? 127.0.0.1. (27)
18:12:20.118990 195.28.32.3.domain > c154-86.ntt.ru.16279: 49724 NXDomain* 0/1/0 (102)
18:12:20.119211 c154-86.ntt.ru.4614 > 195.28.32.3.domain: 55809+ AAAA? 127.0.0.1.fullstreets.ru. (42)
18:12:20.121258 195.28.32.3.domain > c154-86.ntt.ru.4614: 55809 NXDomain* 0/1/0 (100)
18:12:20.121440 c154-86.ntt.ru.29804 > 195.28.32.3.domain: 52576+ AAAA? 127.0.0.1. (27)
18:12:20.123605 195.28.32.3.domain > c154-86.ntt.ru.29804: 52576 NXDomain* 0/1/0 (102)
18:12:20.123678 c154-86.ntt.ru.13374 > 195.28.32.3.domain: 48840+ AAAA? 127.0.0.1.fullstreets.ru. (42)
18:12:20.125740 195.28.32.3.domain > c154-86.ntt.ru.13374: 48840 NXDomain* 0/1/0 (100)
18:12:20.405203 195.28.32.3.domain > c154-86.ntt.ru.36250: 61753 NXDomain* 0/1/0 (94)
18:12:20.405566 c154-86.ntt.ru.7269 > 195.28.32.3.domain: 54835+ PTR? 154.86.253.84.in-addr.arpa. (44)
18:12:20.407742 195.28.32.3.domain > c154-86.ntt.ru.7269: 54835* 1/2/2 PTR c154-86.ntt.ru. (139)
18:12:21.080532 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:21.083540 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:22.093822 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:22.097747 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:22.428435 76.11.126.99.61975 > c154-86.ntt.ru.18939: udp 103
18:12:22.428466 c154-86.ntt.ru > 76.11.126.99: icmp: c154-86.ntt.ru udp port 18939 unreachable
18:12:23.104841 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:23.107875 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:24.117000 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:24.120363 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:24.430097 192.168.1.11 > 195.128.60.37: icmp: echo request
18:12:25.129255 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:25.132382 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
18:12:26.141054 c154-86.ntt.ru > 77.88.21.3: icmp: echo request
18:12:26.144477 77.88.21.3 > c154-86.ntt.ru: icmp: echo reply
^C
32 packets received by filter
0 packets dropped by kernel
You have new mail in /var/mail/root
bash-4.0# tcpdump -i vr0
tcpdump: listening on vr0, link-type EN10MB
18:12:37.230061 192.168.1.1.ssh > 192.168.1.11.1089: P 424954369:424954453(84) ack 1838470197 win 17520 (DF) [tos 0x10]
18:12:37.230641 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 84 win 65535 (DF)
18:12:37.277337 192.168.1.1.ssh > 192.168.1.11.1079: P 2158184528:2158184628(100) ack 2080860177 win 17520 (DF) [tos 0x8]
18:12:37.397694 192.168.1.11.1079 > 192.168.1.1.ssh: . ack 100 win 64835 (DF)
18:12:38.289382 192.168.1.1.ssh > 192.168.1.11.1079: P 100:200(100) ack 1 win 17520 (DF) [tos 0x8]
18:12:38.299438 192.168.1.1.ssh > 192.168.1.11.1089: P 84:248(164) ack 1 win 17520 (DF) [tos 0x10]
18:12:38.299473 192.168.1.1.ssh > 192.168.1.11.1089: P 248:492(244) ack 1 win 17520 (DF) [tos 0x10]
18:12:38.299501 192.168.1.1.ssh > 192.168.1.11.1089: P 492:720(228) ack 1 win 17520 (DF) [tos 0x10]
18:12:38.300079 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 492 win 65127 (DF)
18:12:38.491471 192.168.1.11.1079 > 192.168.1.1.ssh: . ack 200 win 64735 (DF)
18:12:38.491485 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 720 win 64899 (DF)
18:12:39.298546 192.168.1.1.ssh > 192.168.1.11.1089: P 720:1300(580) ack 1 win 17520 (DF) [tos 0x10]
18:12:39.301586 192.168.1.1.ssh > 192.168.1.11.1079: P 200:300(100) ack 1 win 17520 (DF) [tos 0x8]
18:12:39.475872 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 1300 win 64319 (DF)
18:12:39.475886 192.168.1.11.1079 > 192.168.1.1.ssh: . ack 300 win 64635 (DF)
18:12:40.300552 192.168.1.1.ssh > 192.168.1.11.1089: P 1300:1544(244) ack 1 win 17520 (DF) [tos 0x10]
18:12:40.300608 192.168.1.1.ssh > 192.168.1.11.1089: P 1544:1756(212) ack 1 win 17520 (DF) [tos 0x10]
18:12:40.301214 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 1756 win 65535 (DF)
18:12:40.313441 192.168.1.1.ssh > 192.168.1.11.1079: P 300:400(100) ack 1 win 17520 (DF) [tos 0x8]
18:12:40.460271 192.168.1.11.1079 > 192.168.1.1.ssh: . ack 400 win 64535 (DF)
18:12:40.929074 192.168.1.11 > 195.128.60.37: icmp: echo request
18:12:41.302696 192.168.1.1.ssh > 192.168.1.11.1089: P 1756:2000(244) ack 1 win 17520 (DF) [tos 0x10]
18:12:41.302761 192.168.1.1.ssh > 192.168.1.11.1089: P 2000:2308(308) ack 1 win 17520 (DF) [tos 0x10]
18:12:41.303376 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 2308 win 64983 (DF)
18:12:41.305158 192.168.1.1.ssh > 192.168.1.11.1089: P 2308:2424(116) ack 1 win 17520 (DF) [tos 0x10]
18:12:41.325984 192.168.1.1.ssh > 192.168.1.11.1079: P 400:500(100) ack 1 win 17520 (DF) [tos 0x8]
18:12:41.444669 192.168.1.11.1079 > 192.168.1.1.ssh: . ack 500 win 64435 (DF)
18:12:41.444684 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 2424 win 64867 (DF)
18:12:42.304824 192.168.1.1.ssh > 192.168.1.11.1089: P 2424:2572(148) ack 1 win 17520 (DF) [tos 0x10]
18:12:42.304885 192.168.1.1.ssh > 192.168.1.11.1089: P 2572:2896(324) ack 1 win 17520 (DF) [tos 0x10]
18:12:42.304916 192.168.1.1.ssh > 192.168.1.11.1089: P 2896:3124(228) ack 1 win 17520 (DF) [tos 0x10]
18:12:42.304942 192.168.1.1.ssh > 192.168.1.11.1089: P 3124:3256(132) ack 1 win 17520 (DF) [tos 0x10]
18:12:42.305460 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 2896 win 64395 (DF)
18:12:42.305481 192.168.1.11.1089 > 192.168.1.1.ssh: . ack 3256 win 65535 (DF)
18:12:42.338224 192.168.1.1.ssh > 192.168.1.11.1079: P 500:600(100) ack 1 win 17520 (DF) [tos 0x8]
18:12:42.538442 192.168.1.11.1079 > 192.168.1.1.ssh: . ack 600 win 64335 (DF)
^C
46 packets received by filter
0 packets dropped by kernel
bash-4.0# pfctl -s rules
match out on re0 inet from 192.168.1.0/24 to any nat-to (re0) round-robin
bash-4.0# ^C
bash-4.0# ping 195.128.60.37
PING 195.128.60.37 (195.128.60.37): 56 data bytes
64 bytes from 195.128.60.37: icmp_seq=0 ttl=60 time=3.777 ms
64 bytes from 195.128.60.37: icmp_seq=1 ttl=60 time=5.983 ms
64 bytes from 195.128.60.37: icmp_seq=2 ttl=60 time=3.657 ms
--- 195.128.60.37 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 3.657/4.472/5.983/1.070 ms

[radjiv]

мой конфиг на 19.40 по москве.

Код: Выделить всё

match out on $ext_if inet from $int_if:network to any nat-to ($ext_if:0)

результат ноль.

[BlackCat]

radjiv, проверьте ещё раз все настройки.
=====
Вот так это должно работать, для справки. Интерфейсы: rl1 - внутренняя сеть, pppoe0 - интернет.
Настройка сети:

Код: Выделить всё

#ifconfig rl1
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:40:f4:b2:73:fa
        priority: 0
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet 192.168.10.254 netmask 0xffffff00 broadcast 192.168.10.255

Код: Выделить всё

#ifconfig pppoe0
pppoe0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1492
        priority: 0
        dev: rl0 state: session
        sid: 0x82 PADI retries: 0 PADR retries: 0 time: 10d 23:26:39
        sppp: phase network authproto chap authname "xxxxx"
        groups: pppoe egress
        inet 109.x.y.41 --> x.x.x.x netmask 0xffffffff

Трафик на интерфейсах, обратите внимание на строку запуска tcpdump - так меньше хлама на экране и проще разбираться.
Внутренний интерфейс:

Код: Выделить всё

#tcpdump -n -t -vv -i rl1 icmp
tcpdump: listening on rl1, link-type EN10MB
192.168.10.17 > 93.158.134.3: icmp: echo request (id:0200 seq:3584) (ttl 128, id 13769, len 60)
93.158.134.3 > 192.168.10.17: icmp: echo reply (id:0200 seq:3584) (ttl 58, id 32169, len 60)
192.168.10.17 > 93.158.134.3: icmp: echo request (id:0200 seq:3840) (ttl 128, id 13774, len 60)
93.158.134.3 > 192.168.10.17: icmp: echo reply (id:0200 seq:3840) (ttl 58, id 32170, len 60)
192.168.10.17 > 93.158.134.3: icmp: echo request (id:0200 seq:4096) (ttl 128, id 13781, len 60)
93.158.134.3 > 192.168.10.17: icmp: echo reply (id:0200 seq:4096) (ttl 58, id 32171, len 60)
192.168.10.17 > 93.158.134.3: icmp: echo request (id:0200 seq:4352) (ttl 128, id 13785, len 60)
93.158.134.3 > 192.168.10.17: icmp: echo reply (id:0200 seq:4352) (ttl 58, id 32172, len 60)
^C
178 packets received by filter
0 packets dropped by kernel

В тот же момент на внешнем интерфейсе:

Код: Выделить всё

#tcpdump -n -t -vv -i pppoe0 icmp
tcpdump: listening on pppoe0, link-type PPP_ETHER
109.x.y.41 > 93.158.134.3: icmp: echo request (id:0200 seq:3584) (ttl 127, id 13769, len 60)
93.158.134.3 > 109.x.y.41: icmp: echo reply (id:0200 seq:3584) (ttl 59, id 32169, len 60)
109.x.y.41 > 93.158.134.3: icmp: echo request (id:0200 seq:3840) (ttl 127, id 13774, len 60)
93.158.134.3 > 109.x.y.41: icmp: echo reply (id:0200 seq:3840) (ttl 59, id 32170, len 60)
109.x.y.41 > 93.158.134.3: icmp: echo request (id:0200 seq:4096) (ttl 127, id 13781, len 60)
93.158.134.3 > 109.x.y.41: icmp: echo reply (id:0200 seq:4096) (ttl 59, id 32171, len 60)
109.x.y.41 > 93.158.134.3: icmp: echo request (id:0200 seq:4352) (ttl 127, id 13785, len 60)
93.158.134.3 > 109.x.y.41: icmp: echo reply (id:0200 seq:4352) (ttl 59, id 32172, len 60)
^C
452 packets received by filter
0 packets dropped by kernel

Вывод команды ping:

Код: Выделить всё

C:\>ping 93.158.134.3

Обмен пакетами с 93.158.134.3 по 32 байт:

Ответ от 93.158.134.3: число байт=32 время=13мс TTL=58
Ответ от 93.158.134.3: число байт=32 время=11мс TTL=58
Ответ от 93.158.134.3: число байт=32 время=11мс TTL=58
Ответ от 93.158.134.3: число байт=32 время=12мс TTL=58

Статистика Ping для 93.158.134.3:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 11мсек, Максимальное = 13 мсек, Среднее = 11 мсек

ping был специально запущен с определённым IP-адресом, так проще повторять.
=====
Если ничего не поможет, приведите ещё раз вывод tcpdump, только с флагами, как показано выше.

[radjiv]

Вот вывод комманды.

Код: Выделить всё

 tcpdump -n -t -vv -i re0 icmp
tcpdump: listening on re0, link-type EN10MB
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:1024) (ttl 127, id 2321, len 60, bad cksum 0! differs by 7157)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:1280) (ttl 127, id 2323, len 60, bad cksum 0! differs by 7155)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:1536) (ttl 127, id 2325, len 60, bad cksum 0! differs by 7153)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:1792) (ttl 127, id 2327, len 60, bad cksum 0! differs by 7151)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:2048) (ttl 127, id 2329, len 60, bad cksum 0! differs by 714f)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:2304) (ttl 127, id 2331, len 60, bad cksum 0! differs by 714d)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:2560) (ttl 127, id 2333, len 60, bad cksum 0! differs by 714b)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:2816) (ttl 127, id 2335, len 60, bad cksum 0! differs by 7149)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:3072) (ttl 127, id 2337, len 60, bad cksum 0! differs by 7147)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:3328) (ttl 127, id 2339, len 60, bad cksum 0! differs by 7145)
84.253.86.154 > 90.44.128.66: icmp: 84.253.86.154 udp port 53253 unreachable for 90.44.128.66.8325 > 84.253.86.154.53253: udp 62 (ttl 115, id 21228, len 90) (ttl 255, id 45412, len 56, bad cksum 0! differs by 845a)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:3584) (ttl 127, id 2342, len 60, bad cksum 0! differs by 7142)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:3840) (ttl 127, id 2344, len 60, bad cksum 0! differs by 7140)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:4096) (ttl 127, id 2346, len 60, bad cksum 0! differs by 713e)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:4352) (ttl 127, id 2348, len 60, bad cksum 0! differs by 713c)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:4608) (ttl 127, id 2350, len 60, bad cksum 0! differs by 713a)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:4864) (ttl 127, id 2352, len 60, bad cksum 0! differs by 7138)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:5120) (ttl 127, id 2354, len 60, bad cksum 0! differs by 7136)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:5376) (ttl 127, id 2356, len 60, bad cksum 0! differs by 7134)
192.168.1.11 > 195.128.60.37: icmp: echo request (id:0200 seq:5632) (ttl 127, id 2358, len 60, bad cksum 0! differs by 7132)
84.253.86.154 > 95.104.109.213: icmp: 84.253.86.154 udp port 12716 unreachable for 95.104.109.213.36901 > 84.253.86.154.12716: udp 30 (ttl 118, id 32645, len 58) (ttl 255, id 57695, len 56, bad cksum 0! differs by 6190)
^C
23 packets received by filter
0 packets dropped by kernel

[BlackCat]

radjiv, не поверите, но NAT у вас действительно не работает :-)
Попробуйте установить вот такую конфигурацию:

Код: Выделить всё

# Interfaces
ext_if="re0"

# NAT rule
match out log on $ext_if from any to any nat-to ($ext_if)

# Allow all traffic
pass all

А потом запустить tcpdump на интерфейсе pflog0:

Код: Выделить всё

tcpdump -n -i pflog0

Это должно показать, какие пакеты попадают под правило.

[BlackCat]

Покажите вывод

Код: Выделить всё

ifconfig -a

есть ещё одна догадка.

[radjiv]

Вот вывод комманд.

Код: Выделить всё

# tcpdump -n -i pflog0
tcpdump: listening on pflog0, link-type PFLOG
^C
0 packets received by filter
0 packets dropped by kernel
# pfctl -e
pfctl: pf already enabled


ifconfig -a
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33200
        priority: 0
        groups: lo
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:26:18:d3:9c:1a
        priority: 0
        groups: egress
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet 84.253.86.154 netmask 0xfffffffc broadcast 84.253.86.155
        inet6 fe80::226:18ff:fed3:9c1a%re0 prefixlen 64 scopeid 0x1
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:26:5a:06:2f:65
        priority: 0
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::226:5aff:fe06:2f65%vr0 prefixlen 64 scopeid 0x2
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:26:5a:06:2d:ee
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet 192.168.0.192 netmask 0xffffff00 broadcast 192.168.0.255
        inet6 fe80::226:5aff:fe06:2dee%vr1 prefixlen 64 scopeid 0x3
enc0: flags=0<> mtu 1536
        priority: 0
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33200
        priority: 0
        groups: pflog



pfctl -s rules
block drop all
pass out inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
pass out inet6 proto ipv6-icmp all icmp6-type routersol keep state
pass out proto tcp from any to any port = domain flags S/SA keep state
pass out proto udp from any to any port = domain keep state
pass out inet proto icmp all icmp-type echoreq keep state
pass in inet6 proto ipv6-icmp all icmp6-type neighbradv keep state
pass in inet6 proto ipv6-icmp all icmp6-type routeradv keep state
pass in proto tcp from any to any port = ssh flags S/SA keep state
pass on lo0 all flags S/SA keep state
pass proto carp all keep state (no-sync)

[BlackCat]

Вот вывод комманд.

Код: Выделить всё

pfctl -s rules
block drop all
pass out inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
pass out inet6 proto ipv6-icmp all icmp6-type routersol keep state
pass out proto tcp from any to any port = domain flags S/SA keep state
pass out proto udp from any to any port = domain keep state
pass out inet proto icmp all icmp-type echoreq keep state
pass in inet6 proto ipv6-icmp all icmp6-type neighbradv keep state
pass in inet6 proto ipv6-icmp all icmp6-type routeradv keep state
pass in proto tcp from any to any port = ssh flags S/SA keep state
pass on lo0 all flags S/SA keep state
pass proto carp all keep state (no-sync)

У вас нет правила, которое будет пропускать трафик клиентов из внутренней сети, а так-же отсутствует правило для включения NAT.

[radjiv]

МОЙ КОНФИГ

Код: Выделить всё

# Interfaces
ext_if="re0"

# NAT rule
match out log on $ext_if from any to any nat-to ($ext_if)

# Allow all traffic
pass all

точнее конфиг ваш.

[Проходил мимо]

По-моему, вы тупите.
С этим конфигом у меня получается

Код: Выделить всё

%uname -sr
OpenBSD 4.7
%sudo cat /etc/pf2.conf
# Interfaces
ext_if="re0"

# NAT rule
match out log on $ext_if from any to any nat-to ($ext_if)

# Allow all traffic
pass all

%sudo pfctl -s rules
match out log on re0 all nat-to (re0) round-robin
pass all flags S/SA keep state

Смотрите, что за правила вы запускаете.

[radjiv]

пройденный этап. неработает. сообщество пользователей опенбсд сказало что надо в баг репорт тео писать.

[BlackCat]

пройденный этап. неработает. сообщество пользователей опенбсд сказало что надо в баг репорт тео писать.

И что вы напишите в отчёте?
=====

МОЙ КОНФИГ

То, что вы привели, как конфигурационный файл, мягко говоря, не соответствует выводу

Код: Выделить всё

pfctl -s rules

приведённому вами двумя сообщениями выше.

[radjiv]

да вот честно сам удивился. по сути ниче не изменилось. а вывод кошмар.

[BlackCat]

да вот честно сам удивился. по сути ниче не изменилось. а вывод кошмар.

Это вы о чём?