Имеем FreeBSD 7.1
с роутера пингуется внешняя и внутренняя сеть
из внутренней сети не видно внешнюю, но пингуются оба ip роутера
походу какая-то проблема с nat (((Господа, есть мысли?
router# ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
ether 00:13:46:ec:b6:63
inet 91.197.xxx.xxx netmask 0xfffffe00 broadcast 91.197.xxx.xxx
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:13:20:28:96:17
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204router# more /etc/rc.conf
[cut все что не относится к делу]
gateway_enable="YES"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
pf_flags=""
pflog_enable="YES"
pf_rules="/etc/pf.conf"
pflog_logfile="/var/log/pflog"
pflog_flags=""
defaultrouter="91.197.xxx.xxx"Упрощенный до предела pf
router# more /etc/pf.conf
ext_if = "vr0"
int_if = "fxp0"
lo_if = "lo0"nat on $ext_if from !($ext_if) to any -> ($ext_if)
pass in on $ext_if proto tcp from any to $ext_if port 22
pass from { lo, $int_if:network } to any keep state
добавляем в pf.confrdr pass on $ext_if proto tcp from any to ($ext_if) port 3389 tag RDP -> 192.168.0.5 port 3389
nat on $int_if tagged RDP -> 192.168.0.1на внешнем интерфейсе запускаем tshark
router# tshark -i vr0 -V port 3389
Capturing on vr0Из внешней сети делаем:
[root@router /etc]# telnet 91.197.xxx.xxx 3389
Trying 91.197.213.4...
telnet: connect to address 91.197.xxx.xxx: Connection refused
telnet: Unable to connect to remote hostи видим что думает по этому поводу tshark:
Frame 1 (74 bytes on wire, 74 bytes captured)
Arrival Time: Apr 4, 2009 11:28:02.196371000
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 74 bytes
Capture Length: 74 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:tcp]
Ethernet II, Src: Cisco_d2:fd:01 (00:1c:58:d2:fd:01), Dst: D-Link_ec:b6:63 (00:13:46:ec:b6:63)
Destination: D-Link_ec:b6:63 (00:13:46:ec:b6:63)
Address: D-Link_ec:b6:63 (00:13:46:ec:b6:63)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: Cisco_d2:fd:01 (00:1c:58:d2:fd:01)
Address: Cisco_d2:fd:01 (00:1c:58:d2:fd:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol, Src: 81.222.xxx.xxx (81.222.xxx.xxx), Dst: 91.197.xxx.xxx (91.197.xxx.xxx)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 60
Identification: 0xd733 (55091)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 57
Protocol: TCP (0x06)
Header checksum: 0xfcbc [correct]
[Good: True]
[Bad : False]
Source: 81.222.xxx.xxx (81.222.xxx.xxx)
Destination: 91.197.xxx.xxx (91.197.xxx.xxx)
Transmission Control Protocol, Src Port: 53536 (53536), Dst Port: ms-wbt-server (3389), Seq: 0, Len: 0
Source port: 53536 (53536)
Destination port: ms-wbt-server (3389)
Sequence number: 0 (relative sequence number)
Header length: 40 bytes
Flags: 0x02 (SYN)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Window size: 65535
Checksum: 0x8b53 [correct]
[Good Checksum: True]
[Bad Checksum: False]
Options: (20 bytes)
Maximum segment size: 1420 bytes
NOP
Window scale: 3 (multiply by 8)
SACK permitted
Timestamps: TSval 5572585, TSecr 0Frame 2 (60 bytes on wire, 60 bytes captured)
Arrival Time: Apr 4, 2009 11:28:02.196395000
[Time delta from previous captured frame: 0.000024000 seconds]
[Time delta from previous displayed frame: 0.000024000 seconds]
[Time since reference or first frame: 0.000024000 seconds]
Frame Number: 2
Frame Length: 60 bytes
Capture Length: 60 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:tcp]
Ethernet II, Src: D-Link_ec:b6:63 (00:13:46:ec:b6:63), Dst: Cisco_d2:fd:01 (00:1c:58:d2:fd:01)
Destination: Cisco_d2:fd:01 (00:1c:58:d2:fd:01)
Address: Cisco_d2:fd:01 (00:1c:58:d2:fd:01)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Source: D-Link_ec:b6:63 (00:13:46:ec:b6:63)
Address: D-Link_ec:b6:63 (00:13:46:ec:b6:63)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Trailer: 000000000000
Internet Protocol, Src: 91.197.xxx.xxx (91.197.xxx.xxx), Dst: 81.222.xxx.xxx (81.222.xxx.xxx)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 40
Identification: 0xac86 (44166)
Flags: 0x04 (Don't Fragment)
0... = Reserved bit: Not set
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: TCP (0x06)
Header checksum: 0x207e [correct]
[Good: True]
[Bad : False]
Source: 91.197.xxx.xxx (91.197.xxx.xxx)
Destination: 81.222.xxx.xxx (81.222.xxx.xxx)
Transmission Control Protocol, Src Port: ms-wbt-server (3389), Dst Port: 53536 (53536), Seq: 1, Ack: 1, Len: 0
Source port: ms-wbt-server (3389)
Destination port: 53536 (53536)
Sequence number: 1 (relative sequence number)
Acknowledgement number: 1 (relative ack number)
Acknowledgement number: 1 (relative ack number)
Header length: 20 bytes
Flags: 0x14 (RST, ACK)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .1.. = Reset: Set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 0
Checksum: 0xfb34 [correct]
[Good Checksum: True]
[Bad Checksum: False]
[SEQ/ACK analysis]
[This is an ACK to the segment in frame: 1]
[The RTT to ACK the segment was: 0.000024000 seconds]На внутреннем интерфейсе tshark молчит.
Все оказалось прозаично, господа:
в запарках забыл в rc.conf pf_enable="YES"
Спасибо всем за участие! )
set skip on lo_ifnat on $ext_if from $int_if:network to !$int_if -> ($ext_if)
block
pass out quick
pass in on $ext_if proto tcp from any to $ext_if port 22
pass in on $int_if from $int_if:network
>set skip on lo_if
>
>nat on $ext_if from $int_if:network to !$int_if -> ($ext_if)
>block
>pass out quick
>pass in on $ext_if proto tcp from any to $ext_if port 22
>
>pass in on $int_if from $int_if:networkк сожалению ничего не изменилось
>к сожалению ничего не изменилосьc этими правилами пингуйте какой-нить сервер и покажите вывод pfctl -vsn, pfctl -vsn, pfctl -vss
>>к сожалению ничего не изменилось
>
>c этими правилами пингуйте какой-нить сервер и покажите вывод pfctl -vsn, pfctl
>-vsn, pfctl -vssмне недоступна внутренняя сеть ((
пинговать с роутера думаю нет смысла.кстати:
еще более странно....
на внешнем интерфейсе
Internet Protocol, Src: 192.168.0.5 (192.168.0.5), Dst: 195.242.2.2 (195.242.2.2)
Version: 4
Header length: 20 bytesэто походу винда из внутренней сети куда-то ломится
что странно, разве при прохождении через NAT 192.168.0.5 не должен меняться на ip роутера?
>пинговать с роутера думаю нет смысла.я тоже так думаю... я имел ввиду пингоните с внутренней машины, и покажите после вывод всех команд
>>пинговать с роутера думаю нет смысла.
>
>я тоже так думаю... я имел ввиду пингоните с внутренней машины, и
>покажите после вывод всех команду меня нет доступа на внутр. машину. Только на роутер.
Вывод pfctl -vsn я показал -- внутренняя машина ломится обновить винду -- думаю, что это даже лучше чем пингануть.
если она точно ломилась, то покажите вывод !всех! команд
>если она точно ломилась, то покажите вывод !всех! командrouter# pfctl -vsn
No ALTQ support in kernel
ALTQ related functions disabled
nat on vr0 inet from 192.168.0.0/24 to ! 192.168.0.1 -> (vr0) round-robin
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3429 ]
router# pfctl -vss
No ALTQ support in kernel
ALTQ related functions disabled
>>если она точно ломилась, то покажите вывод !всех! командсори мой тупняк pfctl -vsr вместо второго n
>>>если она точно ломилась, то покажите вывод !всех! команд
>
>сори мой тупняк pfctl -vsr вместо второго nrouter# pfctl -vsr
No ALTQ support in kernel
ALTQ related functions disabled
block drop all
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3429 ]
pass out quick all flags S/SA keep state
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3429 ]
pass in on vr0 inet proto tcp from any to 91.197.213.4 port = ssh flags S/SA keep state
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3429 ]
pass in on fxp0 inet from 192.168.0.0/24 to any flags S/SA keep state
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3429 ]
ого, судя по этому в pf вообще ниодин пакет не попал... может стоит отключить router в rc.conf?
kldstat |grep pf
что говорит?
>ого, судя по этому в pf вообще ниодин пакет не попал... может
>стоит отключить router в rc.conf?
>kldstat |grep pf
>что говорит?router# more /etc/rc.conf | grep rout
hostname="router.broker.ru"
#router="/sbin/routed"
#router_enable="YES"
#router_flags="-q"
#defaultrouter="91.197.212.1"
#defaultrouter="91.197.212.1"
#defaultrouter="192.168.0.1"
defaultrouter="91.197.212.1"
router#
router# kldstat |grep pf
3 1 0xc310f000 3000 pflog.ko
4 1 0xc3112000 33000 pf.ko
>>к сожалению ничего не изменилось
>
>c этими правилами пингуйте какой-нить сервер и покажите вывод pfctl -vsn, pfctl
>-vsn, pfctl -vssrouter# pfctl -vsn
No ALTQ support in kernel
ALTQ related functions disabled
nat on vr0 inet from 192.168.0.0/24 to ! 192.168.0.1 -> (vr0) round-robin
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3186 ]
nat on fxp0 inet all tagged RDP -> 192.168.0.1
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3186 ]
rdr pass on vr0 inet proto tcp from any to (vr0) port = rdp tag RDP -> 192.168.0.5 port 3389
[ Evaluations: 0 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 3186 ]
>[оверквотинг удален]
> Packets: 0
>Bytes: 0
> States: 0 ]
> [ Inserted: uid 0 pid 3186 ]
>rdr pass on vr0 inet proto tcp from any to (vr0) port = rdp tag RDP -> 192.168.0.5 port 3389
> [ Evaluations: 0
> Packets: 0
>Bytes: 0
> States: 0 ]
> [ Inserted: uid 0 pid 3186 ]Опции в rc.conf:
gateway_enable="YES" #
добавь и будет тебе счастье
>Опции в rc.conf:
>gateway_enable="YES" #
>
>добавь и будет тебе счастьеЧетвертого апреля отписался о том, что в запарке забыл gateway_enable="YES" и закрыл тему
Но все равно большое спасибо за участие.