PF reply-to и зависания Freebsd

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
GremL1N
проходил мимо

PF reply-to и зависания Freebsd

Непрочитанное сообщение GremL1N » 2011-10-27 4:27:12

Понадобилось мне значит с фряхи пускать пинги на два узла по разным интерфейсам. Для этого решил использовать PF. Но обнаружилось страное.
в конфиге прописал правила

Код: Выделить всё

 pass out reply-to $ext1_if proto icmp to $gw1
 pass out reply-to $ext2_if proto icmp to $gw2
попробовал запустить пинг. и фря замерзла. ни ssh ни основная консоль не реагировали никак. только ребут с кнопки помог.
добавил правила

Код: Выделить всё

pass out route-to $ext1_if proto icmp to $gw1
pass out route-to $ext2_if proto icmp to $gw2
и все стало работать как надо.
Внимание вопрос. нормальное ли это поведение? в интернетах обычно в конфигах пишут только reply-to. И достаточно ли в случае icmp отсавить только правила route-to?
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: PF reply-to и зависания Freebsd

Непрочитанное сообщение skeletor » 2011-10-28 10:17:31

Вообще-то у меня работает вот так

Код: Выделить всё

pass in on $int2 reply-to ($int2 $gw2) from any to ($int2) keep state
pass in on $int1 reply-to ($int1 $gw1) from any to ($int1) keep state
Вернуться к началу
GremL1N
проходил мимо

Re: PF reply-to и зависания Freebsd

Непрочитанное сообщение GremL1N » 2011-10-31 3:06:15

Код: Выделить всё

    pass [b]out[/b] reply-to $ext1_if proto icmp to $gw1
    pass [b]out[/b] reply-to $ext2_if proto icmp to $gw2
надо поправить out на in.

Код: Выделить всё

    pass [b]in [/b]reply-to $ext1_if proto icmp to $gw1
    pass [b]in [/b] reply-to $ext2_if proto icmp to $gw2
Вернуться к началу
GremL1N
проходил мимо

Re: PF reply-to и зависания Freebsd

Непрочитанное сообщение GremL1N » 2011-10-31 3:08:17

И к слову. keep state в полседних версия писать не надо он по умолчанию применяется ко всем прваилам
Вернуться к началу
johny87
ефрейтор
Сообщения: 65
Зарегистрирован: 2010-01-21 11:56:12

Re: PF reply-to и зависания Freebsd

Непрочитанное сообщение johny87 » 2012-11-07 22:25:32

Помогите, не знаю куда копать уже.

Есть типичный сервер с двумя выходами в инет.
Прописал правило reply-to для второго (не дефолтного) интерфейса :

Код: Выделить всё

pass in on $extif2 reply-to ($extif2 $gw2) from any to ($extif2)
Но коннекты не идут, tcpdump выдает следующее :

Код: Выделить всё

01:22:39.482747 IP ipskotorogozapros.33637 > myip.22: Flags [S], seq 3362160914, win 5840, options [mss 1400,sackOK,TS val 905425424 ecr 0,nop,wscale 7],
length 0
01:22:39.482804 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905425424], length 0
01:22:39.503691 IP myip.22 > ipskotorogozapros.33623: Flags [S.], seq 448300741, ack 2108291023, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val 5
80204345 ecr 905423178], length 0
01:22:39.512707 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:22:42.482688 IP ipskotorogozapros.33637 > myip.22: Flags [S], seq 3362160914, win 5840, options [mss 1400,sackOK,TS val 905426174 ecr 0,nop,wscale 7],
length 0
01:22:42.482722 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:22:42.512642 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:22:45.484737 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:22:45.512458 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:22:51.488795 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:22:51.511806 IP myip.22 > ipskotorogozapros.33623: Flags [S.], seq 448300741, ack 2108291023, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val 5
80204345 ecr 905423178], length 0
01:22:51.517446 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:23:03.496909 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:23:03.527043 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
Получается пакеты принимает и отправляет на нужный интерфейс, но шлюз провайдера сообщает что "ICMP host unreachable". С чего вдруг ?????
Вернуться к началу
johny87
ефрейтор
Сообщения: 65
Зарегистрирован: 2010-01-21 11:56:12

Re: PF reply-to и зависания Freebsd

Непрочитанное сообщение johny87 » 2012-11-07 23:00:58

Или это провайдер блокирует ?
Вернуться к началу