Страница 1 из 2
Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 14:51:05
Kolobrod
Дело так man не предлагать курить , все уже кончились.
Очень прошу помощи , так как уже сплю и вижу проблему, а именно НЕТ ПИНГА на одном из внешним интерфейсов.
Что есть:
Free BSD 7.0
ipfw собранный в ядре и включенный в
rc.conf
в
rc.conf включена опция
создан файл в
/etc/rc.local
Код: Выделить всё
rc.local:
natd -p 8668 -m -u -n xl0
natd -p 8778 -m -u -n xl1
допустим что
xl0 - 10.1.1.1 - первый внешний интерфейс
xl1 - 10.2.2.2 - второй внешний интерфейс
rl0 - 192.168.0.1 - внутренний
второй шлюз
10.2.2.100
добавлен ручками маршрут
через
trafshow видиться такая картина пинг приходит на 10.2.2.2, а начинает уходить через 10.1.1.1
блин , где копать , не могу воткнуться, все уже настроена , второй интерфейс именно 10.2.2.2 нужен для
mpd5, чтобы удаленный офис и склад приходили к нашей СУБД.
трассировка не доходит, звонил этому провайдеру, ни чего внятного сказать не смог, у них типа трассировка закрыта по соображением безопасности.
Большая просьба помочь, настроено все хорошо (
Squid + winbindd+rejiK+havp(clamav-freshclam)+lightsquid+mpd5+portsentry+sshit) все довел до ума (отдельное спасибо handbook в сообществе lissyara.
C FreeBSD пока недавно , но довольно успешно даеться, достаточно вдумчиво и хорошо настраиваеться, но этот подводный камень силы уже источил. Нет пинга , просьба помочь советами , где копать.
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 17:27:21
_kirill_
Kolobrod писал(а):
НЕТ ПИНГА на одном из внешним интерфейсов.
а гейт прова тоже не пингуете?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 17:45:08
alex3
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:11:27
Kolobrod
_kirill_ писал(а):Kolobrod писал(а):
НЕТ ПИНГА на одном из внешним интерфейсов.
а гейт прова тоже не пингуете?
гейт того прова пингуеться
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:17:08
Kolobrod
где sk0 - внутренний интерфейс
xl0 - внешний интрефейс 10.1.1.1
xl1 - внешний интрефейс 10.2.2.2 (который не пингуеться)
Код: Выделить всё
00100 0 0 check-state
00110 2714 91342 allow icmp from any to any icmptypes 0,1,3,8,11
00120 123 6888 deny log logamount 100 icmp from any to any in icmptypes 5,9,13,14,15,16,17
00130 818 1926910 allow ip from any to any via lo0
00131 0 0 allow udp from 0.0.0.0 2054 to 0.0.0.0
00140 0 0 deny not icmp from table(0) to me
00141 0 0 deny ip from table(0) to any
00150 0 0 deny ip from any to 127.0.0.0/8
00160 0 0 deny ip from 127.0.0.0/8 to any
00170 225 20100 deny log logamount 100 ip from me to any in recv xl0
00180 0 0 deny log logamount 100 ip from me to any in recv xl1
00190 0 0 deny ip from any to 10.0.0.0/8 in via xl0
00200 0 0 deny ip from any to 172.16.0.0/12 in via xl0
00210 2137 285319 deny ip from any to 192.168.0.0/16 in via xl0
00220 0 0 deny ip from any to 0.0.0.0/8 in via xl0
00230 0 0 deny ip from any to 169.254.0.0/16 in via xl0
00240 40 12080 deny ip from any to 240.0.0.0/4 in via xl0
00250 0 0 deny ip from 218.27.1.0/24 to any in via xl0
00260 0 0 deny ip from 218.27.1.194 to me
00270 0 0 deny ip from 201.234.208.176 to me
00280 0 0 deny ip from 60.32.10.164 to me
00290 0 0 deny icmp from any to any frag
00300 0 0 deny icmp from any to 255.255.255.255 in via xl0
00310 0 0 deny icmp from any to 255.255.255.255 out via xl0
00320 156 19448 fwd 127.0.0.1,3128 tcp from 192.168.100.0/24 to any dst-port 80 via xl0
00330 924 72288 divert 8668 ip from 192.168.100.0/24 to any out via xl0
00340 29 2262 divert 8668 ip from any to 10.1.1.1 in via xl0
00350 145 11310 divert 8778 ip from 192.168.100.0/24 to any out via xl1
00360 33 15506 divert 8778 log logamount 100 ip from any to 10.2.2.2 in via xl1
00370 0 0 deny ip from 10.0.0.0/8 to any out via xl0
00380 0 0 deny ip from 10.0.0.0/8 to any out via xl1
00390 0 0 deny ip from 172.16.0.0/12 to any out via xl0
00400 0 0 deny ip from 172.16.0.0/12 to any out via xl1
00410 0 0 deny ip from 192.168.0.0/16 to any out via xl0
00420 0 0 deny ip from 192.168.0.0/16 to any out via xl1
00430 0 0 deny ip from 0.0.0.0/8 to any out via xl0
00440 0 0 deny ip from 0.0.0.0/8 to any out via xl1
00450 0 0 deny ip from 169.254.0.0/16 to any out via xl0
00460 0 0 deny ip from 169.254.0.0/16 to any out via xl1
00470 0 0 deny ip from 224.0.0.0/4 to any out via xl0
00480 0 0 deny ip from 224.0.0.0/4 to any out via xl1
00490 0 0 deny ip from 240.0.0.0/4 to any out via xl0
00500 0 0 deny ip from 240.0.0.0/4 to any out via xl1
00510 9 404 allow tcp from me 1723 to any keep-state
00520 1 48 allow tcp from any to any dst-port 1723 in via xl1
00530 0 0 allow gre from any to any
00531 0 0 allow tcp from any 137,138,139,445,1433,1434 to any via xl1
00532 0 0 allow tcp from 192.168.100.191,192.168.100.192,192.168.100.193,192.168.100.194,192.168.100.195,192.168.100.196 to any dst-port 137,138,139,445,1433,1434
00540 3151 364123 allow ip from 10.1.1.1 to any out xmit xl0
00550 5 442 allow udp from any 53 to any via xl0
00560 0 0 allow udp from any to any dst-port 53 via xl0
00570 0 0 allow udp from any 53 to any via xl1
00580 0 0 allow udp from any to any dst-port 53 via xl1
00590 0 0 allow tcp from me 22 to any
00600 1026 84264 allow tcp from any to any dst-port 22 via xl0
00610 559 103245 allow tcp from any 443 to any via xl0
00620 328 15464 allow tcp from any to 10.1.1.1 dst-port 25 via xl0
00630 0 0 allow tcp from any to 10.1.1.1 dst-port 110 via xl0
00640 0 0 allow tcp from any to 10.1.1.1 dst-port 3310 via xl0
00650 0 0 allow tcp from 192.168.100.0/24 to any dst-port 5190 in via sk0 setup
00660 0 0 allow tcp from 192.168.100.0/24 to any dst-port 443 in via sk0 setup
00670 0 0 allow tcp from 192.168.100.0/24 to any dst-port 389 in via sk0
00680 0 0 allow tcp from 192.168.100.0/24 to any dst-port 3310 in via sk0
00690 0 0 allow tcp from any to 10.1.1.1 dst-port 1,11,15,79,119,143,540,635,1080,1524 via xl0
00700 0 0 allow tcp from any to 10.1.1.1dst-port 2000,5742,6667,8080,8085 via xl0
00710 0 0 allow udp from any to 10.1.1.1dst-port 1,7,9,69,161,635,640,641,700 via xl0
00720 13723 4751517 allow tcp from any to any via sk0
00730 3942 462562 allow udp from any to any via sk0
00740 726 966551 allow tcp from any to any established
00750 4568 630159 deny log logamount 100 ip from any to any
65535 0 0 deny ip from any to any
Код: Выделить всё
inetd_enable="YES"
linux_enable="YES"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
rpcbind_enable="YES"
sshd_enable="YES"
squid_enable="YES"
ntpdate_flags="ntp сервер"
ntpdate_enable="YES"
nfs_reserved_port_only="YES"
accounting_enable="YES"
tcp_extensions="NO"
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"
icmp_log_redirect="YES"
icmp_bmcastecho="NO"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_logging="YES"
natd_enable="YES"
winbindd_enable="YES"
winbindd_flags="-d 1"
saver="logo"
blanktime="1800"
clamav_freshclam_enable="YES"
havp_enable="YES"
apache22_enable="YES"
mpd_enable="YES"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866-8x16"
scrnmap="koi8-r2cp866"
keymap="ce.iso2"
keyrate="fast"
ifconfig_sk0="inet 192.168.100.178 netmask 255.255.255.0"
ifconfig_xl0="inet 10.1.1.1 netmask 255.255.255.224"
defaultrouter="10.1.1.100"
hostname="тут наше имя в домене"
gateway_enable="YES"
rwhod_enable="YES"
# -- sysinstall generated deltas -- # Thu Sep 25 16:25:12 2008
ifconfig_xl1="inet 10.2.2.2 netmask 255.255.255.248"
Код: Выделить всё
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.1.1.100 UGS 0 2884 xl0
127.0.0.1 127.0.0.1 UH 0 418 lo0
192.168.100.0/24 link#3 UC 0 0 sk0
192.168.100.1 00:18:44:b3:ae:be UHLW 1 380 sk0 1105
192.168.100.63 00:1b:32:c3:17:34 UHLW 1 812 sk0 1104
192.168.100.68 00:11:42:3a:2f:ed UHLW 1 6263 sk0 1181
192.168.100.255 ff:ff:ff:ff:ff:ff UHLWb 1 116 sk0
10.1.1.7/27 link#1 UC 0 0 xl0
10.1.1.100 00:04:9a:23:37:ff UHLW 2 90 xl0 1163
10.1.1.6 00:1c:f0:9e:99:65 UHLW 1 6 xl0 154
10.1.1.7 00:1c:f0:96:88:61 UHLW 1 6 xl0 155
10.1.1.8 00:1c:f3:9e:77:61 UHLW 1 6 xl0 157
10.1.1.1 00:e0:4c:47:66:7c UHLW 1 3 xl0 848 - внешний ип первого прова - тут все норм
10.1.1.9 ff:ff:ff:ff:ff:ff UHLWb 1 116 xl0
10.2.2.0/31 10.2.2.100 UGS 0 0 xl1
10.2.2.8/29 link#2 UC 0 0 xl1
10.2.2.5 00:0b:86:0d:55:ed UHLW 1 6 xl1 280
10.2.2.4 00:80:45:59:44:5c UHLW 1 18 xl1 1016
10.2.2.3 00:e0:4c:58:96:32 UHLW 1 3 xl1 856
10.2.2.2 00:10:3b:22:78:8c UHLW 1 3 lo0 - млять почему внешний ип того прова идет через loop
10.2.2.15 ff:ff:ff:ff:ff:ff UHLWb 1 116 xl1
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:42:52
_kirill_
а файервол пытались выключать?
айпи на самом деле серые?
что вообще нужно сделать? сделать доступ к сетке прова через второй ифейс?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:43:35
alex3
Код: Выделить всё
00330 924 72288 divert 8668 ip from 192.168.100.0/24 to any out via xl0
00340 29 2262 divert 8668 ip from any to 10.1.1.1 in via sk0
00350 145 11310 divert 8778 ip from 192.168.100.0/24 to any out via xl1
00360 33 15506 divert 8778 log logamount 100 ip from any to 10.2.2.2 in via xl1
по моему во второй строчке ошибка с названием интерфейсов. пингуете с какой сети?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:46:56
Kolobrod
alex3 писал(а):Код: Выделить всё
00330 924 72288 divert 8668 ip from 192.168.100.0/24 to any out via xl0
00340 29 2262 divert 8668 ip from any to 10.1.1.1 in via sk0
00350 145 11310 divert 8778 ip from 192.168.100.0/24 to any out via xl1
00360 33 15506 divert 8778 log logamount 100 ip from any to 10.2.2.2 in via xl1
по моему во второй строчке ошибка с названием интерфейсов. пингуете с какой сети?
по моему в первой строчке я заворачиваю траффик из внутренний на внешнюю карточку , а потом с внешнего ип на карточку внутренный сети, по моему логично - разве не так?
но это врядли относиться к моей проблеме
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:50:12
alex3
еще раз... дивертим трафик приходящий от любого на 10.1.1.1, если он входит через
внутренний интерфейс, так?
Код: Выделить всё
divert 8668 ip from any to 10.1.1.1 in via xl0
имелось в виду вот так?
отдельный вопрос: пингуете с какой сети?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 18:51:48
Kolobrod
_kirill_ писал(а):а файервол пытались выключать?
айпи на самом деле серые?
что вообще нужно сделать? сделать доступ к сетке прова через второй ифейс?
вообще если вы поняли из правил фаера и читали мою просьбу , то мне через 10.2.2.2 (xl1) нужно ввести пользователей с удаленных офисов в нашу СУБД, так вот все уже сделано , но где то грабли - нет пинга на 10.2.2.2
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:04:32
Kolobrod
alex3 писал(а):еще раз... дивертим трафик приходящий от любого на 10.1.1.1, если он входит через
внутренний интерфейс, так?
Код: Выделить всё
divert 8668 ip from any to 10.1.1.1 in via xl0
имелось в виду вот так?
отдельный вопрос: пингуете с какой сети?
возможно вы правы
в данный момент пингую через себя сидя дома сеть идет через vpn (ppp) нашего прова (домашнего), но допустим 10.2.2.2 не пинговался еще когда я с работы удаленно настраивал наш склад, там таже картина - шлюз того прова (10.2.2.100) пингуеться , сам адрес 10.2.2.2 не подает признаков жизни.
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:14:15
_kirill_
Kolobrod писал(а):alex3 писал(а):еще раз... дивертим трафик приходящий от любого на 10.1.1.1, если он входит через
внутренний интерфейс, так?
Код: Выделить всё
divert 8668 ip from any to 10.1.1.1 in via xl0
имелось в виду вот так?
отдельный вопрос: пингуете с какой сети?
возможно вы правы
в данный момент пингую через себя сидя дома сеть идет через vpn (ppp) нашего прова (домашнего), но допустим 10.2.2.2 не пинговался еще когда я с работы удаленно настраивал наш склад, там таже картина - шлюз того прова (10.2.2.100) пингуеться , сам адрес 10.2.2.2 не подает признаков жизни.
откуда пингуете 2.100? откуда пингуете 10.2.2.2? с самого сервера? сидя у себя дома через своего провайдера? например у меня тоже внешний айпи висит на lo0 и всё нормально работает
Код: Выделить всё
MGW# netstat -rn | grep 83.хх.хх.хх
83.хх.хх.хх 00:e0:e4:02:17:ac UHLW 1 1031401 lo0
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:19:44
Kolobrod
в данный момент сижу и пингую из дома через своего домашнего провайдера
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:29:34
_kirill_
Kolobrod писал(а):в данный момент сижу и пингую из дома через своего домашнего провайдера
попробуй добавить след. правило:
Код: Выделить всё
/sbin/ipfw add 1 fwd 10.2.2.100 all from 10.2.2.2 to any out xmit xl1
а ещё рекомендую юзать ipnat а не natd
Код: Выделить всё
/etc/rc.conf
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f /etc/ipnat.rules"
ipnat_flags=""
/etc/ipnat.rules
map xl0 192.168.0.0/16 -> 10.1.1.1/32
map xl1 192.168.0.0/16 -> 10.2.2.2/32
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:46:40
Kolobrod
спасибо за попытку, но краткое и емкое слово *уй - говорит нам о том что воз и ныне там
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:50:36
_kirill_
у вас серые айпи?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:54:37
Kolobrod
_kirill_ писал(а):у вас серые айпи?
просьба обьяснить "серые айпи"
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 19:56:15
Kolobrod
_kirill_ писал(а):Kolobrod писал(а):в данный момент сижу и пингую из дома через своего домашнего провайдера
попробуй добавить след. правило:
Код: Выделить всё
/sbin/ipfw add 1 fwd 10.2.2.100 all from 10.2.2.2 to any out xmit xl1
а ещё рекомендую юзать ipnat а не natd
Код: Выделить всё
/etc/rc.conf
ipnat_enable="YES"
ipnat_program="/sbin/ipnat -CF -f /etc/ipnat.rules"
ipnat_flags=""
/etc/ipnat.rules
map xl0 192.168.0.0/16 -> 10.1.1.1/32
map xl1 192.168.0.0/16 -> 10.2.2.2/32
и почему вы предположили что маски подсетей у меня одинаковы?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:02:00
_kirill_
Kolobrod писал(а):_kirill_ писал(а):у вас серые айпи?
просьба обьяснить "серые айпи"
серые это значит айпи из диапозонов 10.0.0.0, 192.168.0.0 и т.д... Есть диапозоны айпишнегов, которые используются только в локальных сетях. Вот я и спрашиваю, если у вас серый айпи, то вы его не сможете пинговать из инета. Просто ответьте, все что вы выше написали достоверно конфигурации, или вы на 10.1.1.1, 10.2.2.2 подменяли?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:02:57
Kolobrod
и еще разве ipnat работает в связке ipfw? я подразумевал ipnat+ipf
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:04:27
Kolobrod
да есстественно что 10.1.1.1 и 10.2.2.2 подмененные айпишники внешних интерфейсов, единственное что осталось не тронутым - это адреса внутренний сетки
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:05:23
_kirill_
Kolobrod писал(а):и еще разве ipnat работает в связке ipfw? я подразумевал ipnat+ipf
да
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:07:40
alex3
значит так... пинговаться этот интерфейс должен только с подсети 10.2.2.8/29
в остальных случаях echo request идет по дефолтному маршруту.
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:09:16
_kirill_
Kolobrod писал(а):да есстественно что 10.1.1.1 и 10.2.2.2 подмененные айпишники внешних интерфейсов, единственное что осталось не тронутым - это адреса внутренний сетки
так значит, у вас есть пинг на 10.2.2.100 с сервера? вы хотите чтобы удаленный офис коннектился на 10.2.2.2?
Re: Просьба помочь с настройкой двух внешних интерфейсов
Добавлено: 2008-09-28 20:11:19
Kolobrod
alex3 писал(а):значит так... пинговаться этот интерфейс должен только с подсети 10.2.2.8/29
в остальных случаях echo request идет по дефолтному маршруту.
так блин в этом и дело пингуя от себя дома и залев на фряху по ssh я вижу что пакет пинга доходит до 10.2.2.2 , но уходит через 10.1.1.1 - грабли вижу, где копать не могу понять (((