FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
SinClaus
рядовой
Сообщения: 40
Зарегистрирован: 2010-09-14 5:25:34
Откуда: Tomsk

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение SinClaus » 2018-01-19 11:20:48

После переезда на новый сервер с новой ОС (11.1) вдруг выяснилось, что на адреса сабинтерфейсов icmp приходят и уходят, а запросы по tcp (в частности по ssh) не проходят. Уточнение: первое - запросы приходят, но ответы на syn'ы обнаружить не удалось ни на одном интерфейсе, второе - такая ситуация только при коннекте через маршрутизатор на котором терминируются vlan, при запросе из той же vlan всё работает. Основные интерфейсы работают без проблем в любой ситуации.
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2420
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение skeletor » 2018-01-19 16:44:39

А что такое "сабинтерфейсы" в терминах FreeBSD?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
SinClaus
рядовой
Сообщения: 40
Зарегистрирован: 2010-09-14 5:25:34
Откуда: Tomsk

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение SinClaus » 2018-01-19 16:52:11

Код: Выделить всё

ifconfig_igb0="inet 192.168.17.221 netmask 255.255.255.0"
ifconfig_igb0_alias0="inet 192.168.17.223  netmask 255.255.255.0"
ifconfig_igb0_alias1="inet 192.168.17.225  netmask 255.255.255.0"
ifconfig_igb0_alias2="inet 192.168.17.227  netmask 255.255.255.0"
ifconfig_igb0_alias3="inet 192.168.17.254  netmask 255.255.255.0"
Комментировать нужно?
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

Аватара пользователя
skeletor
майор
Сообщения: 2420
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение skeletor » 2018-01-19 16:54:04

Это алиасы. Виной всему может быть файервол либо неправильная маршрутизация.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
SinClaus
рядовой
Сообщения: 40
Зарегистрирован: 2010-09-14 5:25:34
Откуда: Tomsk

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение SinClaus » 2018-01-19 17:11:32

Т.е. tcp сессия на основной интерфейс (если присмотреться - они из одной сети) работает, а из джайла, сидящего на сабинтерфейсе/алиасе ответы получают только находящиеся в одной сети (ой... неужели у джайла TTL равен двум??? :D ). Опять же это никак не объясняет то, что icmp проходят беспрепятственно из любой сети/vlan.
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении

Аватара пользователя
skeletor
майор
Сообщения: 2420
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение skeletor » 2018-01-19 17:40:29

Так у вас ещё и jail'ы? Почему сразу не сказали?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

guest
проходил мимо

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение guest » 2018-01-19 17:57:06

SinClaus писал(а):

Код: Выделить всё

ifconfig_igb0="inet 192.168.17.221 netmask 255.255.255.0"
ifconfig_igb0_alias0="inet 192.168.17.223  netmask 255.255.255.0"
ifconfig_igb0_alias1="inet 192.168.17.225  netmask 255.255.255.0"
ifconfig_igb0_alias2="inet 192.168.17.227  netmask 255.255.255.0"
ifconfig_igb0_alias3="inet 192.168.17.254  netmask 255.255.255.0"
Комментировать нужно?
man ifconfig

alias Establish an additional network address for this interface. This
is sometimes useful when changing network numbers, and one wishes
to accept packets addressed to the old interface. If the address
is on the same subnet as the first network address for this
interface, a non-conflicting netmask must be given. Usually
0xffffffff is most appropriate.

ifconfig_igb0_alias0="inet 192.168.17.223 netmask 255.255.255.255"

в остальном -> firewall & man jail

Аватара пользователя
skeletor
майор
Сообщения: 2420
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение skeletor » 2018-01-19 17:59:01

Начиная с 10-ки (а может и раньше) маска для алиаса может быть не только /32, а и той, которой принадлежит сам адрес. Так что отсыл с man'y здесь лишний.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
SinClaus
рядовой
Сообщения: 40
Зарегистрирован: 2010-09-14 5:25:34
Откуда: Tomsk

FreeBSD11 не отвечает на tcp запросы на сабинтерфейсах.

Непрочитанное сообщение SinClaus » 2018-01-19 18:15:03

Что характерно, из джайла (конкретного) ssh на хост в другой сети идёт без проблем, а обратно - т.е. с того хоста на интерфейс джайла - никак. ipfw не запускался ни на базовом хосте, ни на джайлах.

Отправлено спустя 11 минут 4 секунды:
Между нами, девочками, у меня и 8.2 прекрасно работала маска /24 на алиасах

Код: Выделить всё

ifconfig_igb1="inet 192.168.21.214  netmask 255.255.255.0"
ifconfig_igb1_alias0="inet 192.168.21.222  netmask 255.255.255.0"
ifconfig_igb1_alias1="inet 192.168.21.224  netmask 255.255.255.0"
ifconfig_igb1_alias2="inet 192.168.21.226  netmask 255.255.255.0"
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении