forum.lissyara.su

Пока противник рисует карты наступления, мы меняем ландшафты, причём вручную
https://forum.lissyara.su/

routing

https://forum.lissyara.su/viewtopic.php?f=8&t=2683

Страница 1 из 1

routing

Добавлено: 2007-02-15 14:40:21
dikens3
Есть сет.интерфейс и смотрит в инет:

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (10baseT/UTP)
        status: active
В IPFW первым правилом стоит: (Т.е. фиксируем все входящие от 212.92.160.82)

Код: Выделить всё

${fwcmd} add count log icmp from 212.92.160.82 to any
На 212.92.160.82 делаем пинг 82.208.77.66
в логах всё ОК:

Код: Выделить всё

Feb 15 14:26:23 gateway kernel: ipfw: 100 Count ICMP:8.0 212.92.160.82 82.208.77.66 in via rl0
Если делать ping на 82.208.77.70 к примеру, то тишина и ничего в логах нет.

После прописывания alias 82.208.77.70, то нормально всё работает.
Собственно не могу понять где собака порылась. Что нужно сделать, чтобы пакеты для 82.208.77.70 нормально доходили без alias'ов всяких.

Добавлено: 2007-02-15 14:58:42
Alex Keda
82.208.77.70 - это что?
я так понимаю - ты пытаешься пинговать несуществующий адрес в своей же сети.
с машины ничего и не уходит - в локальной сети используется arp - нет мака - некуда слать пакеты.

Добавлено: 2007-02-15 15:01:57
dikens3
lissyara писал(а):82.208.77.70 - это что?
я так понимаю - ты пытаешься пинговать несуществующий адрес в своей же сети.
с машины ничего и не уходит - в локальной сети используется arp - нет мака - некуда слать пакеты.
Так это выглядит:

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (10baseT/UTP)
        status: active

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.x.x netmask 0xffffff00 broadcast 192.168.x.255
        ether 00:a0:c9:93:87:ca
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.73 netmask 0xfffffff8 broadcast 82.208.77.79
        ether 00:d0:43:7a:ca:ea
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
Пинг на 82.208.77.73 тоже не проходит. :-( Изнутри всё нормально, снаружи, ну никак. Может модем мутит?
Gateway_enable="YES" :-)

Добавлено: 2007-02-15 16:55:08
Alex Keda
73 это уже не в твоей подсети...

Добавлено: 2007-02-15 17:22:44
dikens3
lissyara писал(а):73 это уже не в твоей подсети...
Вобщем эту проблему решил, новая появилась. (Точнее не в этом было дело)
Ужос нах.
Есть в сети 82.208.77.76
На него нормально ходят и всё путём. Только время от времени (раз в 5 минут) пропадает связь с инетом. Пинг DNS серверов не проходит.
В то же время на него можно зайти из локалки, всё вроде нормально работает. Только с инетом проблемы.
Лечиться перезапуском /etc/netstart, Буду пока дальше копать. Не думаю что дело в сетевухе, т.к. она нормально пингует всё остальное. Самбу поставил, скачал ГИГовый файл, а пинг DNS сервер(внешний) не проходит.

Лок.сеть - Шлюз - инет (работает всегда)
Лок.сеть - Шлюз - DMZ (WEB, MAIL и т.п.) тоже всегда работает

ИНЕТ - ШЛЮЗ - DMZ
DMZ - ШЛЮЗ - ИНЕТ как описал выше.

Добавлено: 2007-02-15 20:29:51
dikens3
Как тогда сделать так, чтобы пинговался 82.208.77.73 ?

Добавлено: 2007-02-15 22:47:02
Alex Keda

Код: Выделить всё

inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
лениво пеерводить 16-ти ричную маску в цивильный вид, но что можно сказать точно
твой диапазон минимум от 66 до 71
это то, что ты можешь увидеть внутри своей внешней сети, без посторонней помощи.
всё остальное - через гейт провайдера.
=========
кстати - с какой стати ты пытаешься повесить себе этот IP - тебе пров разрешил?
если да - за данными к нему. может тебе дали ещё одну подсеть, может расширили существующую (если раньше это был не твой IP)
если он всегда был твой - утебя неверно забита маска сети и бродкаст.

Добавлено: 2007-02-16 15:56:33
dikens3
OC: FreeBSD 5.5.
Диапазон адресов:
195.28.77.64/28

на шлюзе 3 интерфейса:
rl0 - смотрит в инет
xl0 - DMZ (195.28.77.74-195.28.77.78 --- WEB + MAIL сервера)
fxp0 - LAN

rl0 - xl0 Мост

Настроил при помощи if_bridge.

Код: Выделить всё

rl0: flags=18943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 195.28.77.66 netmask 0xfffffff8 broadcast 195.28.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=18843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=48<VLAN_MTU,POLLING>
        inet 192.168.10.1 netmask 0xffffff00 broadcast 192.168.10.255
        ether 00:a0:c9:93:87:ca
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
xl0: flags=18943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,POLLING> mtu 1500
        options=49<RXCSUM,VLAN_MTU,POLLING>
        inet 195.28.77.73 netmask 0xfffffff8 broadcast 195.28.77.79
        ether 00:10:5a:0f:90:3e
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
bridge0: flags=8043<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        ether ac:de:48:49:8e:a7
        priority 32768 hellotime 2 fwddelay 15 maxage 20
        member: rl0 flags=3<LEARNING,DISCOVER>
        member: xl0 flags=3<LEARNING,DISCOVER>
Как ещё можно организовать DMZ и где почитать?

P.S. Раскопал БАГ. Все компы в зоне DMZ нормально работают несколько минут, после чего отказываются работать через интерфейсы связанные МОСТОМ. Появилось вчера. :-(

Ищу другие варианты. Срочно. Обновление не помогает.

Ещё раз повторю:
1. Доступ из(в) локалки в DMZ есть всегда.
2. Доступ DMZ в инет тоже всегда.
3. Доступ из инета (пакеты вообще не приходят, хотя и были отправлены. Даже ответы на PING) непостоянный. Лечится не перезапуском ШЛЮЗА(на нём мост настроен), а перезапуском /etc/netstart на компах в DMZ зоне. (Дал бог не Windows хоть)
После перезапуска 5-6 минут нормально инет работает, потом опять глюки.

На всех компах в DMZ зоне необходимо перезапускать /etc/netstart

Добавлено: 2007-02-16 16:08:47
Alex Keda
непонял...

Добавлено: 2007-02-16 16:42:38
dikens3
lissyara писал(а):непонял...
Я тоже.
Может пакеты попадают с ошибками, и поэтому их TCPDUMP не фиксирует.
Чем посмотреть общую статистику принятых и т.п. Забыл блин.

Опиши что понял?

Добавлено: 2007-02-16 18:08:08
Alex Keda
netstat

Добавлено: 2007-02-22 12:12:07
dikens3

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.66 netmask 0xfffffff8 broadcast 82.208.77.71
        ether 00:c1:28:00:f1:35
        media: Ethernet autoselect (10baseT/UTP)
        status: active

fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.x.x netmask 0xffffff00 broadcast 192.168.x.255
        ether 00:a0:c9:93:87:ca
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

fxp1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 82.208.77.73 netmask 0xfffffff8 broadcast 82.208.77.79
        ether 00:d0:43:7a:ca:ea
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
Есть некий IP-ROUTING, ни разу не делал.
Как вариант необходимо сообщить прову, что мой диапазон адресов теперь разделён, т.е выданный 82.208.77.64/28 (82.208.77.64/240)
разделен на 2-е подсети:
82.208.77.64/29 (248)
82.208.77.72/29 (248)
Пров пропишет нужные маршруты и всё должно работать. Делал кто? Может я что не так понял?

Добавлено: 2007-02-22 14:12:35
Alex Keda
а у тебя чё-то не рабоает?

Добавлено: 2007-02-22 14:40:01
dikens3
lissyara писал(а):а у тебя чё-то не рабоает?
82.208.77.64/29 (248)
82.208.77.72/29 (248)
Интерфейсы в режиме моста. Нужно Мост убрать и сделать через IP-ROUTING :-)

P.S. Не работают входящие arp пакеты на шлюзе через 5 минут после работы.
Могу нарисовать схему, вместе поржём.

Добавлено: 2007-02-22 15:05:45
Alex Keda
давай.
заодно подумаем :))

Добавлено: 2007-02-22 15:20:26
dikens3
Дано:
1. Пункты A,Б,В,Г рисунок тут.
2. Интерфейсы fxp0,fxp1 на шлюзе в режиме моста. (т.е. с внешней стороны никто не догадывается, что есть какое-то разделение на подсети)

Что имеем:
1. Центральный маршрутизатор А имеет 100% постоянную связь со всеми узлами (Пунктами Б,В,Г) всегда, без каких либо ошибок и т.п.
2. Пользователи из пункта Б имеют 100% связь с пунктами (А,В,Г).
3. Исходящий траффик из пункта В 100% проходит в пункт Г, а вот входящий перестаёт приходить с интервалом в 5-6 минут.
TCPDUMP не фисирует ничего, абсолютный нуль. Из пункта Г в пункт В трафика как-будто нет.
4. Из пункта Г в пункт В абсолютно нормально приходят запросы arp на неиспользованные IP-Адреса. Т.е. 82.208.77.74 к примеру.

И самый прикольный момент:
Лечится перезапуском /etc/netstart на компьютерах в пункте В. (В нём /etc/rc.d/netif start это исправляет)
(Напоминаю, что пункт В имеет 100% связь в этом момент с пунктами А,Б + исх. Г.)

P.S. Мост нормально работал месяц и такой вот баг по хз какой причине. Делал много чего.

Добавлено: 2007-02-26 12:29:02
dikens3
Кто что думает? Или у всех тоже самое мнение, а ХЗ?

Добавлено: 2007-02-26 17:46:53
-|LSV|-
роут из "В" в сеть 77,64/29 есть?

Добавлено: 2007-02-26 18:12:28
dikens3
-|LSV|- писал(а):роут из "В" в сеть 77,64/29 есть?
Есть везде, кроме внешних IP.

Очень странно, послал письмо прову, чтобы сделал IP-Роутинг. Сегодня в 11-45 пришёл ответ, что типа сделают.
И нюанс, с 10-43 инет работает стабильно. Как вариант, мог пров такую Х-ню замутить?
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/