forum.lissyara.su

Пока противник рисует карты наступления, мы меняем ландшафты, причём вручную
https://forum.lissyara.su/

Jail никакой сетки кроме пингов

https://forum.lissyara.su/viewtopic.php?f=8&t=21055

Страница 2 из 2

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 8:29:20
chillivilli
Не с маской все ок -

Код: Выделить всё

ifconfig_em1="inet 192.168.1.248 netmask 255.255.255.0"
ifconfig_em1_alias0="inet 192.168.1.185 netmask 255.255.255.255"
т.к из одной сетки они

ifconfig в клетке:

Код: Выделить всё

www# ifconfig
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:b8
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
igb1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:b9
        media: Ethernet autoselect
        status: no carrier
igb2: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:bc
        media: Ethernet autoselect
        status: no carrier
igb3: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:bd
        media: Ethernet autoselect
        status: no carrier
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:15:17:82:6b:90
        media: Ethernet autoselect
        status: no carrier
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:15:17:82:6b:91
        inet 192.168.1.185 netmask 0xffffffff broadcast 192.168.1.185
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=0<> metric 0 mtu 33160

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 11:09:24
reLax

Код: Выделить всё

inet 192.168.1.185 netmask 0xffffffff broadcast 192.168.1.185
Ну это скажем так не все ок. Маска подсети 192.168.1.0/24 должна быть 255.255.255.0, а у вас 255.255.255.255 в em1_alias0. Поэтому broadcast у вас не такой какой должен быть по идее (192.168.1.255), а 192.168.0.185. Но не в этом наверное все-равно проблема...

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 12:05:12
chillivilli
если на интерфейс вешается алиас из той же сети что и основной ип - маска = /32
Итак сегодня включил отключенный когда-то натд - все отлично заработало! ПРоблема в ядерном нате. В чем конкретно пока не понял, сейчас докачается снепшот - буду переключать обратно и смотреть более конкретно..

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 13:21:18
chillivilli
:st: :st: :st: :st: ято ядреный, что натд, все конфии идентичны, в первом случае нет инета в клетке, во втором есть....что же ты будешь делать....причем пакеты через ядерный нат ходят :

правила до запуска в клетке ping ya.ru

Код: Выделить всё

00030  72  6800 allow ip from any to any via lo0
00040   0     0 nat 1232 ip from 192.168.1.0/24 to any out via em0
00050 245 19126 nat 1232 ip from any to xx.xx.xx.xx in via em0
00100 456 95424 allow ip from any to any
00110   0     0 allow ip from any to any
65535   0     0 allow ip from any to any
из клетки делаем:

Код: Выделить всё

www# ping ya.ru
PING ya.ru (77.88.21.8): 56 data bytes
64 bytes from 77.88.21.8: icmp_seq=0 ttl=60 time=9.732 ms
64 bytes from 77.88.21.8: icmp_seq=1 ttl=60 time=9.761 ms
в материнской смотрим:

Код: Выделить всё

00030  116  10308 allow ip from any to any via lo0
00040    2    168 nat 1232 ip from 192.168.1.0/24 to any out via em0
00050  759  54186 nat 1232 ip from any to xx.xx.xx.xx in via em0
00100 2493 320430 allow ip from any to any
00110    0      0 allow ip from any to any
65535    0      0 allow ip from any to any
причем как таковой ядерный нат работает, не работает только из клетки... :st: :st: :st: :st: :-o

определил, что пакеты из клетки уходят, но вот в случае http - нужна установка сессии - как следствие не работает, т.к не приходят входящие пакеты, вернее приходят, но не попадают в клетку

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 14:53:12
princeps
похоже в случае с ядерным натом схема прохождения пакетов другая.
Хотя у меня вот ядерный нат - и ничего, работает инет в клетке.

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 15:05:40
chillivilli
так да, у меня есть шлюз 32 битный правда, но там клетка и тоже ядреный нат - правила один в один с этим - там работает - тут нет...

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 16:43:34
princeps
у меня тоже 32-й шлюз. Может это косяк 64-битной системы?

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 19:25:27
chillivilli
все, склонировал рейд, все снес.. Сейчас поднимаю заного - посмотрим что получится....

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-23 22:59:28
chillivilli
отлично.. поднял все с нуля- в кернел нат нет инета, натд - все ок..

не поднимал кеширующий днс. так теперь даже хосты не резолвятся из клетки через ядерный нат - через натд - резолвятся.. афигеть..

как предположение - може быть я неверно собираю джейл? может его надо как-то спецово собирать?
блин.. у кого работает под амд64 клетка через ядерный нат?

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-24 19:58:41
terminus

Код: Выделить всё

www# ifconfig
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=13b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,TSO4>
        ether 00:1b:21:31:d4:b8
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
Вот так попробуйте сделать:

Код: Выделить всё

# ifconfig igb0 -rxcsum -txcsum -tso
заработает после этого нат из клетки?

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-25 0:52:47
chillivilli
ДА!!! оно действительно заработало после этих команд :Yahoo!:
в вашей статье есть замека об этом, только сейчас заметил:
"- Библиотека libalias, на которой основан ipfw nat, плохо дружит с функциями аппаратного ускорения расчета контрольных сумм и управления потоками, которые доступны на некотроых сетевых адаптерах. Рекомендуется выключать tcp segmentation offloading (TSO), а так же rxcsum и txcsum на том сетевом адаптере где работает нат."
Опять вы меня выручаете.

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-25 15:10:49
terminus
Если есть время и желание - поиграйтесь с этими настройками и определите какая именно из них приводит к проблеме. В мануале на libalias пишут, что надо отключать -tso, но у меня на одном из em пришлось выключать еще и -rxcsum -txcsum. :pardon:

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-25 16:01:06
Вася
А что-нибудь вроде allow icmp from any to any есть ?

Re: Jail никакой сетки кроме пингов

Добавлено: 2009-10-27 10:14:55
chillivilli
из трех параметров, помогает вот этот - ifconfig igb0 -rxcsum как на 4 портовой igb так и на 2 портовых em ках..

tso, как ни странноо роли не играет
Часовой пояс: UTC+03:00
Страница 2 из 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/