Страница 1 из 2
ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 9:51:21
Kolerts
Доброго времени суток, уважаемые, помогите настроить инет в клетке:
Код: Выделить всё
# jexec 1 csh
www# cd /usr/ports/databases/mysql51-server;make install
=> mysql-5.1.61.tar.gz doesn't seem to exist in /var/ports/distfiles/.
=> Attempting to fetch ftp://ftp.fi.muni.cz/pub/mysql/Downloads/MySQL-5.1/mysql- 5.1.61.tar.gz
fetch: ftp://ftp.fi.muni.cz/pub/mysql/Downloads/MySQL-5.1/mysql-5.1.61.tar.gz: Protocol not supported
=> Attempting to fetch http://mysql.mirrors.cybercity.dk/Downloads/MySQL-5.1/mysql-5.1.61.tar.gz
fetch: http://mysql.mirrors.cybercity.dk/Downloads/MySQL-5.1/mysql-5.1.61.tar.gz: No route to host
www# ping ftp.fi.muni.cz
PING odysseus.fi.muni.cz (147.251.48.205): 56 data bytes
64 bytes from 147.251.48.205: icmp_seq=0 ttl=53 time=73.951 ms
64 bytes from 147.251.48.205: icmp_seq=1 ttl=53 time=73.312 ms
64 bytes from 147.251.48.205: icmp_seq=2 ttl=53 time=73.133 ms
64 bytes from 147.251.48.205: icmp_seq=3 ttl=53 time=73.246 ms
ifconfig
Код: Выделить всё
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:00:23:b1:1d:48
inet YY.YY.1.7 netmask 0xffffff00 broadcast XX.XX.1.255
inet YY.YY.2.10 netmask 0xffffff00 broadcast YY.YY.2.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fwe0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 02:0c:f3:bd:bd:1e
ch 1 dma -1
fwip0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
lladdr 0.c.f1.0.0.bd.bd.1e.a.2.ff.f3.0.0.0.0
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether 00:0c:f1:bd:bd:1e
inet XX.XX.XX.19 netmask 0xfffffff8 broadcast XX.XX.XX.23
media: Ethernet autoselect (100baseTX <half-duplex>)
status: active
:
rc.conf:
Код: Выделить всё
hostname="xxx.org.ua"
defaultrouter="X.X.X.17"
ifconfig_fxp0="inet X.X.X.19/29"
ifconfig_rl0="inet Y.Y.1.7 netmask 255.255.255.0"
ifconfig_rl0_alias0="inet Y.Y.2.10 netmask 255.255.255.0"
ezjail_enable="YES"
gateway_enable="YES"
sshd_enable="YES"
ntpdate_enable="YES"
ntpd_enable="YES"
ipnat_enable="NO"
ipnat_rules="/etc/ipnat.rules"
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_type="/etc/ipfw"
rinetd_enable=NO
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-u bind -c /etc/namedb/named.conf"
rc.resolv
Код: Выделить всё
domain xxx.org.ua
nameserver 127.0.0.1
search userserver.local
domain userserver.local
ipfw
Код: Выделить всё
add 1040 allow ip from any to any via rl0
add 1044 deny all from any to 127.0.0.0/8
add 1048 deny ip from 127.0.0.0/8 to any
# Запрещаем частные сети на внешнем интерфейса
add 10101 deny log ip from any to 192.168.0.0/16 in recv fxp0
add 10102 deny log ip from 192.168.0.0/16 to any in recv fxp0
add 10103 deny log ip from any to 172.16.0.0/12 in recv fxp0
add 10104 deny log ip from 172.16.0.0/12 to any in recv fxp0
add 10110 deny log ip from any to 169.254.0.0/16 in recv fxp0
add 10120 deny log ip from 169.254.0.0/16 to any in recv fxp0
# Incoming Pings
add 10135 allow icmp from any to me icmptypes 8 in recv rl0
#add 10135 allow icmp from any to me icmptypes 8 in recv rl1
add 10138 allow icmp from any to me icmptypes 8 in recv fxp0
# Настройка NAT
nat 1 config log if fxp0 reset same_ports deny_in
add 10162 nat 1 ip from any to any via fxp0
#Deny all
add 65534 deny log all from any to any
sysctl.conf
Код: Выделить всё
security.jail.allow_raw_sockets=1
security.jail.chflags_allowed=1
:
rc.conf
Код: Выделить всё
network_interfaces=""
cron_flags="$cron_flags -J 15"
syslogd_flags="-ss"
sshd_enable="YES"
named_enable="NO"
resolv.conf
Код: Выделить всё
search userserver.local
domain userserver.local
пробовал через ipnat пускать тажа херь..
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 10:31:53
manefesto
выруби фаер и пробуй
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 10:34:18
Kolerts
пробовал, не помогает
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 11:07:23
dmtr
а если с хост системы сделать
Код: Выделить всё
# cd /usr/ports/databases/mysql51-server;make fetch
качает?
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 11:15:28
Kolerts
с хоста всё норм
может ли проблема крыться в криво настроенном named?
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 11:24:43
dmtr
а он криво настроен?
судя по
Код: Выделить всё
www# ping ftp.fi.muni.cz
PING odysseus.fi.muni.cz (147.251.48.205): 56 data bytes
64 bytes from 147.251.48.205: icmp_seq=0 ttl=53 time=73.951 ms
64 bytes from 147.251.48.205: icmp_seq=1 ttl=53 time=73.312 ms
64 bytes from 147.251.48.205: icmp_seq=2 ttl=53 time=73.133 ms
64 bytes from 147.251.48.205: icmp_seq=3 ttl=53 time=73.246 ms
нормально резолвит
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 11:28:52
dmtr
а чо джайл в другой подсети?
Код: Выделить всё
inet YY.YY.1.7 netmask 0xffffff00 broadcast XX.XX.1.255
inet YY.YY.2.10 netmask 0xffffff00 broadcast YY.YY.2.255
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 11:30:17
dmtr
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 11:43:31
Kolerts
dmtr писал(а):а чо джайл в другой подсети?
делал чтоб с параллельной системой конфликта не было( 1.7 знал точно что свободный, а за остальные не уверен), но если это принципиально, сделаю в тойже..
Код: Выделить всё
www# traceroute ftp.fi.muni.cz
traceroute to odysseus.fi.muni.cz (147.251.48.205), 64 hops max, 40 byte packets
1 194.54.153.17 (194.54.153.17) 1.417 ms 6.863 ms 7.843 ms
2 194.44.6.37 (194.44.6.37) 23.337 ms 27.088 ms 27.456 ms
3 194.44.212.254 (194.44.212.254) 31.475 ms 33.633 ms 28.595 ms
4 ams-ix-2.cesnet.cz (195.69.146.37) 75.495 ms 74.059 ms 79.876 ms
5 r98-bm.cesnet.cz (195.113.157.66) 79.399 ms 78.879 ms 79.552 ms
6 c-ics.bb10.muni.cz (195.178.87.2) 79.500 ms 78.850 ms 79.771 ms
7 ics.bb10.muni.cz (147.251.244.10) 79.498 ms 79.142 ms 79.960 ms
8 ares2-240.fi.muni.cz (147.251.240.11) 75.945 ms 76.272 ms 74.818 ms
9 * * *
10 * *
......
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:01:23
Kolerts
переместил jail на YY.YY.1.10 - без изменений
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:04:54
dmtr
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:08:42
Kolerts
молчит
Код: Выделить всё
www# fetch http://www.ru/
fetch: http://www.ru/: Operation timed out
на хосте
Код: Выделить всё
shelf# fetch http://www.ru/
fetch.out 100% of 741 B 648 kBps
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:21:29
dmtr
странно что с таким resolv.conf
Код: Выделить всё
search userserver.local
domain userserver.local
он вообще что-то резолвит
покажите в джайле
будет видно какой сервер он спрашивает
добавьте в джайле в resolv.conf
на YY.YY.1.7 я так понимаю работает DNS локальный?
и пробуйте
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:26:48
Kolerts
Код: Выделить всё
www# nslookup www.ru
;; reply from unexpected source: YY.YY.1.10#53, expected 127.0.0.1#53
;; reply from unexpected source: YY.YY.1.10#53, expected 127.0.0.1#53
;; reply from unexpected source: YY.YY.1.10#53, expected 127.0.0.1#53
;; connection timed out; no servers could be reached
на YY.YY.1.7 я так понимаю работает DNS локальный?
всё верно
без изменений
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:29:27
Kolerts
после добавления nameserver YY.YY.1.7
Код: Выделить всё
www# nslookup www.ru
Server: YY.YY.1.7
Address: YY.YY.1.7#53
Non-authoritative answer:
Name: www.ru
Address: 194.87.0.50
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:37:04
dmtr
так а
после добавления nameserver YY.YY.1.7
что выдает
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:43:02
Kolerts
Kolerts писал(а):
без изменений
я имел ввиду, что это после изменений
всё также молчит до таймаута
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 12:49:19
Kolerts
я так понимаю
это всётаки изза кривого named?
может привести конфиги зон?
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 13:00:46
dmtr
Kolerts писал(а):я так понимаю
это из-за того что сервер не отвечает за эту зону
я вот так и не понял почему вот это работало без DNS-a
Код: Выделить всё
www# ping ftp.fi.muni.cz
PING odysseus.fi.muni.cz (147.251.48.205): 56 data bytes
64 bytes from 147.251.48.205: icmp_seq=0 ttl=53 time=73.951 ms
64 bytes from 147.251.48.205: icmp_seq=1 ttl=53 time=73.312 ms
64 bytes from 147.251.48.205: icmp_seq=2 ttl=53 time=73.133 ms
64 bytes from 147.251.48.205: icmp_seq=3 ttl=53 time=73.246 ms
он не должен был распознать ip... проверьте, плиз
при закоменченом
чтобы посмотреть ктоже ему резолвит имя
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 13:09:41
Kolerts
Код: Выделить всё
www# nslookup ftp.fi.muni.cz
;; reply from unexpected source: YY.YY.1.10#53, expected 127.0.0.1#53
;; reply from unexpected source: YY.YY.1.10#53, expected 127.0.0.1#53
;; reply from unexpected source: YY.YY.1.10#53, expected 127.0.0.1#53
;; connection timed out; no servers could be reached
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 13:12:05
dmtr
на пинг работает?
кстати если проблема была в named, на который вы грешите, на хост системе теже проблемы были бы
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 13:16:02
manefesto
пропиши в клетке
resolv.conf
nameserver 8.8.8.8
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 13:50:20
Kolerts
на пинг работает?
да
кстати если проблема была в named, на который вы грешите, на хост системе теже проблемы были бы
тоже так думал..
пропиши в клетке
resolv.conf
перестаёт пинг идти, если не секрет а что это за 8.8.8.8?
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 15:40:39
Shuba
Kolerts писал(а):перестаёт пинг идти, если не секрет а что это за 8.8.8.8?
Гугловский DNS, очень легко запоминается.
Re: ezjail пинг есть а инета в клетке нет
Добавлено: 2012-03-02 17:03:17
Kolerts
Ну где же вы гуру? есть ещё предложения как победить этого демона?