forum.lissyara.su

Добавлено: **2010-01-22 7:26:49**

все здравствуйте!
поиск по форуму не дал чего то похожего.
проблема в следующем.
есть шлюз на FreeBSD

 uname -r
8.0-RELEASE

в ядре:
IPFIREWALL
IPFIREWALL_FORWARD
IPFIREWALL_VERBOSE
IPFIREWALL_VERBOSE_LIMIT=100
IPDIVERT

в фаере есть правило:

Код: Выделить всё

03000     34     2792 allow icmp from any to any

Проблема в следующем:
с самого шлюза ping есть:

Код: Выделить всё

ns# ping mail.ru
PING mail.ru (217.69.128.41): 56 data bytes
64 bytes from 217.69.128.41: icmp_seq=0 ttl=110 time=402.670 ms
64 bytes from 217.69.128.41: icmp_seq=1 ttl=110 time=358.403 ms
64 bytes from 217.69.128.41: icmp_seq=2 ttl=110 time=259.857 ms
64 bytes from 217.69.128.41: icmp_seq=3 ttl=110 time=213.220 ms
^C
--- mail.ru ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 213.220/308.538/402.670/75.503 ms

а traceroute выдает только звездочки!!!

Код: Выделить всё

ns# traceroute mail.ru
traceroute: Warning: mail.ru has multiple addresses; using 217.69.128.43
traceroute to mail.ru (217.69.128.43), 64 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  *

с локалки (через этот же шлюз) есть и ping и tracert!!!

Код: Выделить всё

C:\Documents and Settings\zhan>ping mail.ru

Обмен пакетами с mail.ru [217.69.128.42] по 32 байт:

Ответ от 217.69.128.42: число байт=32 время=260мс TTL=109
Ответ от 217.69.128.42: число байт=32 время=241мс TTL=109
Ответ от 217.69.128.42: число байт=32 время=469мс TTL=109
Ответ от 217.69.128.42: число байт=32 время=452мс TTL=109

Статистика Ping для 217.69.128.42:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),[/code]

Код: Выделить всё

C:\Documents and Settings\zhan>tracert mail.ru

Трассировка маршрута к mail.ru [217.69.128.42]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.0.1
  2   189 ms   165 ms   241 ms  alma-agr-1.online.kz [88.204.228.1]
  3   331 ms   640 ms   856 ms  alma-core-l2-6.online.kz [92.47.150.21]
  4   379 ms  2017 ms   220 ms  alma-core-l1-6.online.kz [92.47.145.13]
  5   185 ms   116 ms   194 ms  akto-core-l1-1.online.kz [92.47.145.2]
^C

и еще пните в нужном направлении

КАК все же включить логи IPFW ??? и где они должны появиться???

Добавлено: **2010-01-22 7:28:08**

кстати таких шлюзов у меня 3!
в разных местах. и на некоторых стоит frebsd 7.2 - и проблема такая же.

Добавлено: **2010-01-22 12:28:42**

кроме icmp traceroute ещё и udp использует.
Приведите фаервол к состоянию:

Код: Выделить всё

allow all from any to any

а потом уже ищите ошибки.

Добавлено: **2010-01-22 12:42:24**

а какой нимено порт udp ???
и если фаер перевести в OPEN, то как искать ошибки???

Добавлено: **2010-01-22 19:55:51**

Zhan писал(а):а какой нимено порт udp ???

man traceroute гласит:
-p Protocol specific. For UDP and TCP, sets the base port number used in probes (default is 33434).

для того чтобы включить логи в ipfw нужно к правилу, по которому хотите видеть лог, дописать параметр log например

Код: Выделить всё

ipfw add allow log all from any to me 22

логи по-умолчанию пишутся в /var/log/security

Zhan писал(а):и если фаер перевести в OPEN, то как искать ошибки???

а что Вы считаете ошибками?

Добавлено: **2010-01-24 16:43:15**

Спасибо Kos за подсказку про логи и за пинок в нужном направлении по поводу трассировки!

Действительно traceroute использует udp , в частности он посылает udp-пакеты на произвольный порт. а у меня в фаере только 53 и 123 udp открыты.
соответственно добавил правило перед deny all:
allow udp from any to any out via ${oif}
и все замечательно заработало.

Тема на этом закрыта.

forum.lissyara.su

traceroute на шлюзе!

traceroute на шлюзе!

Re: traceroute на шлюзе!

Re: traceroute на шлюзе!

Re: traceroute на шлюзе!

Re: traceroute на шлюзе!

Re: traceroute на шлюзе!