Страница 1 из 1
нет пинга на модем
Добавлено: 2009-03-23 8:20:54
Twister
Всем приветов!
Ситуация такая,есть машина 192.168.0.1 висит на fxp0 полключение к свичу,на этой машине есть второй интерфейс rl0 с ip-192.168.1.3 подключение к
ADSL с ip-192.168.1.1,так вот:инет есть в сети 192.168.0.0/24 всё нормально,на машине 192.168.0.1 крутится nat через ipfw,пинги ходят только до 192.168.0.1 и 192.168.1.3 а на модем пингов нет с узла 192.168.0.3 .В чом могут быть траблы ? ipfw полностью вырубал allow all from any to any.
Схемка такая:
Код: Выделить всё
|=======================================|
| Свич |
| |
|============================================|
| |
| |
|=================| |===============|
| PC1 | | | PC2 |
| fxp0-192.16.0.1 | | ip-192.168.0.3 |
| rl0-192.168.1.3 | |===============|
|=======|==========|
|
ADSL-192.168.1.1
Re: нет пинга на модем
Добавлено: 2009-03-23 9:58:41
zingel
нарисуй схему картинкой.
Re: нет пинга на модем
Добавлено: 2009-03-23 10:23:50
Kos
если модем может работать в режиме роутера, то проще воткнуть его в свич и пустить локалку в инет напрямую, без сервера. А потом уже в спокойной обстановке почитать про НАТ и про ipfw allow from any to any и понять, что Вы путаете теплое с мягким...
ну а если так уж неФтерпёж, тогда ipfw show в студию
Re: нет пинга на модем
Добавлено: 2009-03-23 12:08:55
Twister
ipfw+nat
Код: Выделить всё
#!/bin/sh
ipfw -q -f flush
cmd="ipfw -q add"
skip="skipto 500"
net="tun0"
lan="fxp0"
lan_in="192.168.0.0/24"
out_udp="53,123,4000,5190"
out_tcp="20,21,22,25,37,43,53,67,68,80,81,83,85,443,445,110,210,2802,5190,8080,3218,5999,8030"
$cmd 010 allow icmp from any to any icmptypes 0,8,11
$cmd 030 allow all from $lan_in to any via $lan
$cmd 050 allow all from any to any via lo0
$cmd 100 divert natd ip from not $lan_in to any in via $net
$cmd 101 check-state
$cmd 130 $skip udp from any to any $out_udp out via $net keep-state
$cmd 135 $skip tcp from any to any $out_tcp out via $net setup keep-state
$cmd 140 $skip icmp from any to any out via $net keep-state
$cmd 150 deny all from 192.168.0.0/24 to any in via $net
$cmd 155 deny all from 172.16.0.0/12 to any in via $net
$cmd 160 deny all from 10.0.0.0/8 to any in via $net
$cmd 165 deny all from 127.0.0.0/8 to any in via $net
$cmd 170 deny all from 0.0.0.0/8 to any in via $net
$cmd 175 deny all from 169.254.0.0/16 to any in via $net
$cmd 180 deny all from 192.0.2.0/24 to any in via $net
$cmd 185 deny all from 204.152.64.0/23 to any in via $net
$cmd 190 deny all from 224.0.0.0/3 to any in via $net
$cmd 210 deny tcp from any to any 137 in via $net
$cmd 215 deny tcp from any to any 138 in via $net
$cmd 220 deny tcp from any to any 139 in via $net
$cmd 225 deny tcp from any to any 445 in via $net
$cmd 230 deny all from any to any frag in via $net
$cmd 240 deny tcp from any to any established in via $net
$cmd 250 deny tcp from any to any 113 in via $net
$cmd 260 deny log all from any to any in via $net
$cmd 300 deny log all from any to any out via $net
$cmd 500 divert natd ip from $lan_in to any out via $net
$cmd 6000 allow ip from any to any
$cmd 6500 deny log all from any to any
Re: нет пинга на модем
Добавлено: 2009-03-23 12:18:55
zingel
а форвардинг включен?
а какую ошибку говорит
Re: нет пинга на модем
Добавлено: 2009-03-23 12:33:11
Kos
А что мешало взять за основу /etc/rc.firewall и подкорректировать под свои нужды? интересно велосипед изобрести?
покажите вывод
нет пинга на модем
Добавлено: 2009-03-23 13:35:05
Twister
sockstat |grep 8668
root natd 459 3 div4 *:8668 *:*
sysctl -a |grep forward
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
traceroute -Svni rl0 192.168.0.3
traceroute to 192.168.0.3 (192.168.0.3), 128 hops max, 40 byte packets
1 192.168.0.3 48 bytes to 192.168.1.3 0.418 ms 0.394 ms 0.331 ms (0% loss)
traceroute -Svni fxp0 192.168.0.3
traceroute to 192.168.0.3 (192.168.0.3), 128 hops max, 40 byte packets
1 192.168.0.3 48 bytes to 192.168.0.1 0.420 ms * 0.347 ms (33% loss) что-то здесь не так
Код: Выделить всё
00010 180 11880 allow icmp from any to any icmptypes 0,8,11
00030 2448443 2196335246 allow ip from 192.168.0.0/24 to any via fxp0
00050 120 6240 allow ip from any to any via lo0
00100 208654 293602707 divert 8668 ip from not 192.168.0.0/24 to any in via tun0
00101 0 0 check-state
00130 1655 238050 skipto 500 udp from any to any dst-port 7,53,123,4000,5190 out via tun0 keep-state
00135 552281 596951506 skipto 500 tcp from any to any dst-port 7,20,21,22,25,37,43,53,67,68,80,81,83,85,443,445,110,210,2802,5190,8080,3218,5999,8030 out via tun0 setup keep-state
00140 10 2208 skipto 500 icmp from any to any out via tun0 keep-state
00150 0 0 deny ip from 192.168.0.0/24 to any in via tun0
00155 0 0 deny ip from 172.16.0.0/12 to any in via tun0
00160 0 0 deny ip from 10.0.0.0/8 to any in via tun0
00165 0 0 deny ip from 127.0.0.0/8 to any in via tun0
00170 0 0 deny ip from 0.0.0.0/8 to any in via tun0
00175 0 0 deny ip from 169.254.0.0/16 to any in via tun0
00180 0 0 deny ip from 192.0.2.0/24 to any in via tun0
00185 0 0 deny ip from 204.152.64.0/23 to any in via tun0
00190 0 0 deny ip from 224.0.0.0/3 to any in via tun0
00210 0 0 deny tcp from any to any dst-port 137 in via tun0
00215 0 0 deny tcp from any to any dst-port 138 in via tun0
00220 117 5680 deny tcp from any to any dst-port 139 in via tun0
00225 317 15476 deny tcp from any to any dst-port 445 in via tun0
00230 0 0 deny ip from any to any frag in via tun0
00240 177 45252 deny tcp from any to any established in via tun0
00250 0 0 deny tcp from any to any dst-port 113 in via tun0
00260 1083 75019 deny log ip from any to any in via tun0
00300 783 49101 deny log ip from any to any out via tun0
00500 140026 10271304 divert 8668 ip from 192.168.0.0/24 to any out via tun0
06000 553946 597191764 allow ip from any to any
06500 0 0 deny log logamount 5 ip from any to any
65535 0 0 allow ip from any to any
Re: нет пинга на модем
Добавлено: 2009-03-23 13:36:36
zingel
Код: Выделить всё
$cmd 010 allow icmp from any to any icmptypes 0,8,11
а почему так, поясните.
Re: нет пинга на модем
Добавлено: 2009-03-23 14:42:54
PriestRomeo
Тривиально в модем не заглядывал может случайно вырубили ICMP?
нет пинга на модем
Добавлено: 2009-03-23 14:51:52
Twister
zingel
а почему так, поясните.
Просто так захотел,хотя в нутри сети можно allow all по icmp поставить,что я и делал,эффект тоже,пингов нет на мопед
гуды капать х.з %
http://ru.wikipedia.org/wiki/ICMP
Re: нет пинга на модем
Добавлено: 2009-03-23 16:04:09
zingel
а сам модем что говорит на это?
нет пинга на модем
Добавлено: 2009-03-23 17:52:56
Twister
Модем только сетевуху пингует к каторой приконнекчен (192.168.1.3)
там в настройках тоже всё номально с icmp ,разрешены.
Что-то в модеме наверное всё-таки,сейчас в техподдержку "zyxel" отпишу до кучи.
Re: нет пинга на модем
Добавлено: 2009-03-23 18:00:59
zingel
ngrep && tcpdump для начала
Re: нет пинга на модем
Добавлено: 2009-03-23 22:03:53
Rita
Twister писал(а):Модем только сетевуху пингует к каторой приконнекчен (192.168.1.3)
там в настройках тоже всё номально с icmp ,разрешены.
Что-то в модеме наверное всё-таки,сейчас в техподдержку "zyxel" отпишу до кучи.
1. Почему бы не сделать сначала на РС1 allow all from any to any?
2. Причем тут настройки если сетевая пингуется модемом?
3. И что с маршрутами на РС1?
Re: нет пинга на модем
Добавлено: 2009-03-24 1:57:29
paradox
мммда
если
на PC1 вырубить весь фаер и поставить allow all from any to any
и пингонуть модем?
ситуацию можно изучать если пинга не будет
в противном случае
вам лучше самому разобраться