forum.opennet.ru

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

из-за NATа не видно часть спйтов, solariz (ok), 26-Фев-09, (0) [смотреть все]

gt оверквотинг удален а если убрать ограничение по портам в правилах NAT и фил, reader (ok), 12:54 , 26-Фев-09, (1) //

Нет ограничений Все тупо пробрасывается через NAT , solariz (ok), 12:59 , 26-Фев-09, (2)

а ты дай такой телнет с локальной машины из под натасайт может быть виртуальным , Pahanivo (ok), 13:35 , 26-Фев-09, (3) //

С локальной машины telnet не прокатывает , solariz (ok), 14:11 , 26-Фев-09, (4) //

у меня через ADSL модем с NAT он тоже не открылся наверно нужно слушать интерфей, reader (ok), 15:05 , 26-Фев-09, (5) //

этот сайт открывается только из подсети моего провайдера, solariz (ok), 16:07 , 26-Фев-09, (6)

gt оверквотинг удален Не знаю как с pppoe но с pptp иногда бывает проблема с m, McLeod095 (??), 18:51 , 26-Фев-09, (7) //

Пробовал к сожалению не помогает , solariz (??), 21:21 , 26-Фев-09, (8)
gt оверквотинг удален и то и другое в конечном итоге под pppd крутится что от, LS (ok), 21:24 , 27-Фев-09, (12)

кстати вот с сервера router tshark -i rl0 -t a host 81 9 101 68Capturing on rl0, solariz (??), 21:23 , 26-Фев-09, (9) //

Чем делается pppoe Во фре рекомендуется mpd, версия рекомендуется 5 х, в конфиг, Leo (??), 09:13 , 27-Фев-09, (10) //

с помощью pppppp conf default set log Phase LCP ident user-ppp VERSION built C, solariz (??), 23:57 , 27-Фев-09, (17)

это с сервера , когда к сайту обращаетесь с сервера же или с клиента это с серве, reader (ok), 20:48 , 27-Фев-09, (11)
вывод-то по любому однин - запрос на соединение уходит, ответа нет я бы поискал , LS (ok), 22:28 , 27-Фев-09, (14) //

gt оверквотинг удален именно, поэтому и хочется видеть что творится при этом н, reader (ok), 23:44 , 27-Фев-09, (15) //

23 56 59 016026 192 168 0 3 - 81 9 101 68 TCP 53931 http SYN Seq 0 Win 81, solariz (ok), 00:06 , 28-Фев-09, (20)

если это действительно на rl0, то NAT похоже не отработал, по моему тут уже долж, reader (ok), 00:55 , 28-Фев-09, (26)

ага так оно и есть причем только для этого сайта а вот, например, пингуем ya, solariz (ok), 02:14 , 28-Фев-09, (27)

gt оверквотинг удален может все же правила pf pfctl -snpfctl -srа, через pfctl, reader (ok), 03:16 , 28-Фев-09, (28)

gt оверквотинг удален nat on pppoe_if proto tcp from int_if 24 to any port , LS (ok), 04:34 , 28-Фев-09, (31)

Вот, собственно, пакетфильтр в том виде, на котором все и тестируется router mo, solariz (??), 12:35 , 28-Фев-09, (32)

router pfctl -snnat-anchor ftp-proxy allno nat on ng0 inet proto tcp from 1, solariz (??), 12:39 , 28-Фев-09, (33)

gt оверквотинг удален однозначно не отработал если это ловится снифером на вы, LS (ok), 04:30 , 28-Фев-09, (30)

я просто линуксоид так что мне ориентироваться в названиях интерфейсов и правил, LS (ok), 04:26 , 28-Фев-09, (29)

а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует т, LS (ok), 22:21 , 27-Фев-09, (13) //

gt оверквотинг удален запись в rc confgateway_enable YES или через sysctlно п, reader (ok), 23:52 , 27-Фев-09, (16) //

gt оверквотинг удален я как я говорил уже - линухоид gateway_enable YES мне, LS (ok), 23:58 , 27-Фев-09, (18)
gt оверквотинг удален с виндового клиента ping -l 1406 -f сделайа потом ping -, LS (ok), 00:05 , 28-Фев-09, (19) //

gt оверквотинг удален ping -l 1460 -f тоесть - именно так у тебя MSS с клиента, LS (ok), 00:07 , 28-Фев-09, (21)

C Program Files Far ping -l 1406 -f media-portal ruОбмен пакетами с media-porta, solariz (ok), 00:09 , 28-Фев-09, (23)

gt оверквотинг удален ну и куда 1500 ставить если и тебя по логам с клиента MS, LS (ok), 00:27 , 28-Фев-09, (24)

объясняю в чем суть максимальный размер кадра ehternet 1518 байт когда твой се, LS (ok), 00:42 , 28-Фев-09, (25)

В моем случае - gateway_enable YES Другие сайты открываются , solariz (ok), 00:07 , 28-Фев-09, (22)

А вот пингуем media-portal ru c опущенным динамическим интерфейсом Er, solariz (??), 13:23 , 28-Фев-09, (34)
Итак, проблема решена Спасибо за помощь, друзья добавил в пакетфильтр строку n, solariz (??), 13:40 , 28-Фев-09, (35)

Сообщения [Сортировка по времени | RSS]

13. "из-за NATа не видно часть спйтов" +/–

Сообщение от LS (ok), 27-Фев-09, 22:21

>В pf.conf:
>[cut]
>nat on $pppoe_if proto tcp from $int_if/24 to any port $nat_allowed_tcp_ports -> ($pppoe_if)
>nat on $pppoe_if proto udp from $int_if/24 to any port $nat_allowed_udp_ports -> ($pppoe_if)
>[cut]
>
а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует? то есть пропуск пакетов. которые серверу не предназначены? или если нат, форвард автоматом идет? я линуксоид просто

Ответить | Правка | Наверх | Cообщить модератору

16. "из-за NATа не видно часть спйтов" +/–

Сообщение от reader (ok), 27-Фев-09, 23:52

>[оверквотинг удален]
>>В pf.conf:
>>[cut]
>>nat on $pppoe_if proto tcp from $int_if/24 to any port $nat_allowed_tcp_ports -> ($pppoe_if)
>>nat on $pppoe_if proto udp from $int_if/24 to any port $nat_allowed_udp_ports -> ($pppoe_if)
>>[cut]
>>
>
>а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует?
>то есть пропуск пакетов. которые серверу не предназначены? или если нат,
>форвард автоматом идет? я линуксоид просто
запись в rc.conf
gateway_enable="YES"
или через sysctl
но про это не спрашивал в надежде, что другие сайта открываются.

Ответить | Правка | Наверх | Cообщить модератору

18. "из-за NATа не видно часть спйтов" +/–

Сообщение от LS (ok), 27-Фев-09, 23:58

>[оверквотинг удален]
>>а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует?
>>то есть пропуск пакетов. которые серверу не предназначены? или если нат,
>>форвард автоматом идет? я линуксоид просто
>
>запись в rc.conf
>gateway_enable="YES"
>
>или через sysctl
>
>но про это не спрашивал в надежде, что другие сайта открываются.
я как я говорил уже - линухоид. gateway_enable="YES" мне не очем не говорит. просто в линухе есть такая штука, когда пакет адресован не серверу конкретно, то чтоб он прошел это надо разрешить. это и есть gateway_enable="YES" на фре?
то есть чтоб пакет прошел с одного интерфейса на другой, надо это явно разрешить.
а ну если с локальных машин открываются другие сайты - значит дело действитеьно не в этом.
тогда получается что у тебя и роут и все остальное вроде в порядке. и грещить остается действительно только на MSS.
сделай пинг, как я выше писал

Ответить | Правка | Наверх | Cообщить модератору

19. "из-за NATа не видно часть спйтов" +/–

Сообщение от LS (ok), 28-Фев-09, 00:05

>[оверквотинг удален]
>>а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует?
>>то есть пропуск пакетов. которые серверу не предназначены? или если нат,
>>форвард автоматом идет? я линуксоид просто
>
>запись в rc.conf
>gateway_enable="YES"
>
>или через sysctl
>
>но про это не спрашивал в надежде, что другие сайта открываются.
с виндового клиента ping -l 1406 -f сделай
а потом ping -l 500 -f

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

21. "из-за NATа не видно часть спйтов" +/–

Сообщение от LS (ok), 28-Фев-09, 00:07

>[оверквотинг удален]
>>>форвард автоматом идет? я линуксоид просто
>>
>>запись в rc.conf
>>gateway_enable="YES"
>>
>>или через sysctl
>>
>>но про это не спрашивал в надежде, что другие сайта открываются.
>
>с виндового клиента ping -l 1406 -f сделай
ping -l 1460 -f
тоесть - именно так у тебя MSS с клиента в логах...
>а потом ping -l 500 -f

Ответить | Правка | Наверх | Cообщить модератору

23. "из-за NATа не видно часть спйтов" +/–

Сообщение от solariz (ok), 28-Фев-09, 00:09

>>с виндового клиента ping -l 1406 -f сделай
>
>ping -l 1460 -f
>тоесть - именно так у тебя MSS с клиента в логах...
>
>>а потом ping -l 500 -f
C:\Program Files\Far>ping -l 1406 -f media-portal.ru
Обмен пакетами с media-portal.ru [81.9.101.68] с 1406 байтами данных:
Превышен интервал ожидания для запроса.
Статистика Ping для 81.9.101.68:
    Пакетов: отправлено = 1, получено = 0, потеряно = 1
    (100% потерь)
Control-C
^C
C:\Program Files\Far>ping -l 1500 -f media-portal.ru
Обмен пакетами с media-portal.ru [81.9.101.68] с 1500 байтами данных:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Статистика Ping для 81.9.101.68:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Ответить | Правка | Наверх | Cообщить модератору

24. "из-за NATа не видно часть спйтов" +/–

Сообщение от LS (ok), 28-Фев-09, 00:27

>[оверквотинг удален]
>Обмен пакетами с media-portal.ru [81.9.101.68] с 1500 байтами данных:
>Требуется фрагментация пакета, но установлен запрещающий флаг.
>Требуется фрагментация пакета, но установлен запрещающий флаг.
>Требуется фрагментация пакета, но установлен запрещающий флаг.
>Требуется фрагментация пакета, но установлен запрещающий флаг.
>
>Статистика Ping для 81.9.101.68:
>    Пакетов: отправлено = 4, получено = 0, потеряно
>= 4
>    (100% потерь)
ну и куда 1500 ставить если и тебя по логам с клиента MSS=1460 (я просто оипсался в посте - 1406 сказал)
пингуй с
l 1460
и
l 500
будет ясно - в этом проблема или нет. я же вроде в догонку пост слал, что 1460 надо. да почитай просто - механизм там прозрачный как две капли воды.

Ответить | Правка | Наверх | Cообщить модератору

25. "из-за NATа не видно часть спйтов" +/–

Сообщение от LS (ok), 28-Фев-09, 00:42

>пингуй с
>l 1460
>и
>l 500
>будет ясно - в этом проблема или нет. я же вроде в
>догонку пост слал, что 1460 надо. да почитай просто - механизм
>там прозрачный как две капли воды.
объясняю в чем суть. максимальный размер кадра ehternet 1518 байт. когда твой сервер подключается, который это соединение к прову делает, он видит, что он устанавливает соединение pppoe и сразу уменьшает максимальный объем полезной информации в пакете на величину заголовков/хвостов пакета ppp. потому что он знает об этом соединении. в результате объем кадра ethernet , который идет к прову не превышает допустимого размера.
теперь смотрим на твой виндовый клиент за сервером. он НИЧЕГО не знает про то, что ты его наружу выпускаешь по pppoe. он подключен к тебе по ethernet и считает (справедливо) что вполне может послать тебе кадр размером в 1518. теперь твой сервер делает nat, и запихивает пришедший кадр от клиента, обрамляя его заголовками/хвостами PPPOE. в резуьтате ты пытаешься своему прову но несущему протоколу ethernet передать кадр, который превышает допустимый по стандарту размер. как думаешь что пров сделает?
решение - в пакетном фильтре от всех клиентов ставить MSS-заголовки/хвосты_протокола_pppoe.
это решение только для твоего прова (скорей всего его и хватит). но сам понимаешь твой пров всем интернетом не рулит. и если кому-то в голову взбредет порезать максимальный размер пакета на своем узле, то через такой узел твои клиенты уже ни до чего не доберуться.
тут в работу ping для определения максимального размера пакетов, которые в этом направлении проходят, и ясно, что уже не ethernet, tcp/ip несущиц протоол и опять же  - просто ты к цели идешь (сайт посмотреть - тут никакой инкапсуляции не будет) или через другие протоколы (например ч/з vpn хочешь к такчке подцепиться - тут уж тогда вычитай заголовки хвосты сразу ppp+gre как минимум)
короче просто надо знать структуру пакетов сетевых протоколов. или иметь возможность ее в инете найти - там этого говна навалом ). счастливо

Ответить | Правка | Наверх | Cообщить модератору

22. "из-за NATа не видно часть спйтов" +/–

Сообщение от solariz (ok), 28-Фев-09, 00:07

>запись в rc.conf
>gateway_enable="YES"
>
>или через sysctl
>
>но про это не спрашивал в надежде, что другие сайта открываются.
В моем случае - gateway_enable="YES"
Другие сайты открываются.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

13. "из-за NATа не видно часть спйтов"	+/–
Сообщение от LS (ok), 27-Фев-09, 22:21
>В pf.conf: >[cut] >nat on $pppoe_if proto tcp from $int_if/24 to any port $nat_allowed_tcp_ports -> ($pppoe_if) >nat on $pppoe_if proto udp from $int_if/24 to any port $nat_allowed_udp_ports -> ($pppoe_if) >[cut] > а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует? то есть пропуск пакетов. которые серверу не предназначены? или если нат, форвард автоматом идет? я линуксоид просто
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от reader (ok), 27-Фев-09, 23:52
	>[оверквотинг удален] >>В pf.conf: >>[cut] >>nat on $pppoe_if proto tcp from $int_if/24 to any port $nat_allowed_tcp_ports -> ($pppoe_if) >>nat on $pppoe_if proto udp from $int_if/24 to any port $nat_allowed_udp_ports -> ($pppoe_if) >>[cut] >> > >а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует? >то есть пропуск пакетов. которые серверу не предназначены? или если нат, >форвард автоматом идет? я линуксоид просто запись в rc.conf gateway_enable="YES" или через sysctl но про это не спрашивал в надежде, что другие сайта открываются.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от LS (ok), 27-Фев-09, 23:58
	>[оверквотинг удален] >>а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует? >>то есть пропуск пакетов. которые серверу не предназначены? или если нат, >>форвард автоматом идет? я линуксоид просто > >запись в rc.conf >gateway_enable="YES" > >или через sysctl > >но про это не спрашивал в надежде, что другие сайта открываются. я как я говорил уже - линухоид. gateway_enable="YES" мне не очем не говорит. просто в линухе есть такая штука, когда пакет адресован не серверу конкретно, то чтоб он прошел это надо разрешить. это и есть gateway_enable="YES" на фре? то есть чтоб пакет прошел с одного интерфейса на другой, надо это явно разрешить. а ну если с локальных машин открываются другие сайты - значит дело действитеьно не в этом. тогда получается что у тебя и роут и все остальное вроде в порядке. и грещить остается действительно только на MSS. сделай пинг, как я выше писал
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от LS (ok), 28-Фев-09, 00:05
	>[оверквотинг удален] >>а стесняюсь спросить , такое понятие как форвардинг пакетов во фре существует? >>то есть пропуск пакетов. которые серверу не предназначены? или если нат, >>форвард автоматом идет? я линуксоид просто > >запись в rc.conf >gateway_enable="YES" > >или через sysctl > >но про это не спрашивал в надежде, что другие сайта открываются. с виндового клиента ping -l 1406 -f сделай а потом ping -l 500 -f
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	21. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от LS (ok), 28-Фев-09, 00:07
	>[оверквотинг удален] >>>форвард автоматом идет? я линуксоид просто >> >>запись в rc.conf >>gateway_enable="YES" >> >>или через sysctl >> >>но про это не спрашивал в надежде, что другие сайта открываются. > >с виндового клиента ping -l 1406 -f сделай ping -l 1460 -f тоесть - именно так у тебя MSS с клиента в логах... >а потом ping -l 500 -f
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от solariz (ok), 28-Фев-09, 00:09
	>>с виндового клиента ping -l 1406 -f сделай > >ping -l 1460 -f >тоесть - именно так у тебя MSS с клиента в логах... > >>а потом ping -l 500 -f C:\Program Files\Far>ping -l 1406 -f media-portal.ru Обмен пакетами с media-portal.ru [81.9.101.68] с 1406 байтами данных: Превышен интервал ожидания для запроса. Статистика Ping для 81.9.101.68: Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь) Control-C ^C C:\Program Files\Far>ping -l 1500 -f media-portal.ru Обмен пакетами с media-portal.ru [81.9.101.68] с 1500 байтами данных: Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Требуется фрагментация пакета, но установлен запрещающий флаг. Статистика Ping для 81.9.101.68: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от LS (ok), 28-Фев-09, 00:27
	>[оверквотинг удален] >Обмен пакетами с media-portal.ru [81.9.101.68] с 1500 байтами данных: >Требуется фрагментация пакета, но установлен запрещающий флаг. >Требуется фрагментация пакета, но установлен запрещающий флаг. >Требуется фрагментация пакета, но установлен запрещающий флаг. >Требуется фрагментация пакета, но установлен запрещающий флаг. > >Статистика Ping для 81.9.101.68: > Пакетов: отправлено = 4, получено = 0, потеряно >= 4 > (100% потерь) ну и куда 1500 ставить если и тебя по логам с клиента MSS=1460 (я просто оипсался в посте - 1406 сказал) пингуй с l 1460 и l 500 будет ясно - в этом проблема или нет. я же вроде в догонку пост слал, что 1460 надо. да почитай просто - механизм там прозрачный как две капли воды.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от LS (ok), 28-Фев-09, 00:42
	>пингуй с >l 1460 >и >l 500 >будет ясно - в этом проблема или нет. я же вроде в >догонку пост слал, что 1460 надо. да почитай просто - механизм >там прозрачный как две капли воды. объясняю в чем суть. максимальный размер кадра ehternet 1518 байт. когда твой сервер подключается, который это соединение к прову делает, он видит, что он устанавливает соединение pppoe и сразу уменьшает максимальный объем полезной информации в пакете на величину заголовков/хвостов пакета ppp. потому что он знает об этом соединении. в результате объем кадра ethernet , который идет к прову не превышает допустимого размера. теперь смотрим на твой виндовый клиент за сервером. он НИЧЕГО не знает про то, что ты его наружу выпускаешь по pppoe. он подключен к тебе по ethernet и считает (справедливо) что вполне может послать тебе кадр размером в 1518. теперь твой сервер делает nat, и запихивает пришедший кадр от клиента, обрамляя его заголовками/хвостами PPPOE. в резуьтате ты пытаешься своему прову но несущему протоколу ethernet передать кадр, который превышает допустимый по стандарту размер. как думаешь что пров сделает? решение - в пакетном фильтре от всех клиентов ставить MSS-заголовки/хвосты_протокола_pppoe. это решение только для твоего прова (скорей всего его и хватит). но сам понимаешь твой пров всем интернетом не рулит. и если кому-то в голову взбредет порезать максимальный размер пакета на своем узле, то через такой узел твои клиенты уже ни до чего не доберуться. тут в работу ping для определения максимального размера пакетов, которые в этом направлении проходят, и ясно, что уже не ethernet, tcp/ip несущиц протоол и опять же - просто ты к цели идешь (сайт посмотреть - тут никакой инкапсуляции не будет) или через другие протоколы (например ч/з vpn хочешь к такчке подцепиться - тут уж тогда вычитай заголовки хвосты сразу ppp+gre как минимум) короче просто надо знать структуру пакетов сетевых протоколов. или иметь возможность ее в инете найти - там этого говна навалом ). счастливо
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "из-за NATа не видно часть спйтов"	+/–
	Сообщение от solariz (ok), 28-Фев-09, 00:07
	>запись в rc.conf >gateway_enable="YES" > >или через sysctl > >но про это не спрашивал в надежде, что другие сайта открываются. В моем случае - gateway_enable="YES" Другие сайты открываются.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору