The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"FreeBSD natd trouble - грамотная идея нужна!"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 21-Сен-04, 19:57  (MSK)
Господа...

natd говорит failed to write packet back (No route to host) - в чём может быть проблема?

Месаги валятся часто, по несколько раз в минуту.
IP'ы все статические, две сети (внутренняя и внешняя) RFC1918.
Если ставить одну сеть реальную - эффект не пропадает.
В правилах может проблемы?

В ядро всё, что нужно вкомпилено.
divert-правило есть.

natd&firewall включены.

В rc.conf прописано всё по IP, в т.ч. defaultrouter.

Подскажите, пожалуйста, в чём дело.

Большая просьба - пользоваться другим софтом не предлагать. Нужно решить конкретную проблему с конкретным софтом - ipfw&natd.

Фря 4.3

В инете по этому поводу только догадки, а по сути - пустота.

Может, кто сталкивался и знает?

Буду крайне признателен!

Спасибо. :)

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от edwin emailИскать по авторуВ закладки(ok) on 22-Сен-04, 07:32  (MSK)
>natd говорит failed to write packet back (No route to host) -
>в чём может быть проблема?
>
>Месаги валятся часто, по несколько раз в минуту.
>IP'ы все статические, две сети (внутренняя и внешняя) RFC1918.
>Если ставить одну сеть реальную - эффект не пропадает.
>В правилах может проблемы?
1) Изучите правила.
2) Попробуйте запустив tcpdump выявить какие пакеты куда идут и главное откуда.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 22-Сен-04, 14:30  (MSK)
>1) Изучите правила.
>2) Попробуйте запустив tcpdump выявить какие пакеты куда идут и главное откуда.

Гм...
правила - стандартные из комплекта 4.3, rc.firewall, секция SIMPLE.
Т.е. дефолтовые правила, получается, не работают.
Пробовал и с двумя подсетями RFC1918, и с одной с реальными адресами - результат нулевой. Пробовал правила комментарить, чтобы RFC1918-адреса не резал, где попало. Тоже безрезультатно.

tcpdump'ом попробую, конечно, но ИМХО пакеты дальше машины не вылетают.

Спасибо.

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Antony Искать по авторуВ закладки on 22-Сен-04, 17:01  (MSK)
Вроде как есть ограничение на кол-во пакетов, генерируемых ядром в еденицу времени, такое бывает при flood-ping`e, или когда ломятся по udp (может и tcp) на один и тот-же порт.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Antony Искать по авторуВ закладки on 22-Сен-04, 17:19  (MSK)
Еще можно посмотреть есть-ли loopback и не зарезан-ли он firewall`ом, проверить кабель, хаб/свич/сетевую карточку.
Еще вот такая штука была http://www.freebsd.org/cgi/query-pr.cgi?pr=24683


  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 22-Сен-04, 21:09  (MSK)
>Еще можно посмотреть есть-ли loopback и не зарезан-ли он firewall`ом, проверить кабель,
>хаб/свич/сетевую карточку.
>Еще вот такая штука была http://www.freebsd.org/cgi/query-pr.cgi?pr=2468

Гхм...

Проблема была с named'ом...как только выключил его нафих, сразу всё ок стало. Разбираться с этим ещё предстоит.

Теперь новая проблема появилась.
Внутренняя сеть вся пингуется со всех сторон вдоль и поперёк. А вот когда пытаюсь пингануть хотя бы шлюз со фрёвой машины (реальный адрес) - гробовая тишина.
Т.е. налицо проблема с правилами - но где - понять не могу.

ipfw add pass icmp from any to any  - сказано и для divert-пакетов, и для не-divert.

сказано.
Не помогает.
Смущает вот что:
ИМХО нужно говорить диверт, только когда траффик идёт с внутренней подсети, так что ИМХО правило
ipfw add divert 8668 ip from any to any via ${extif} - неверно.

Вместо этого нужно ИМХО сказать:
ipfw add divert 8668 ip from ${inet}/${imask} to any via ${extif}
- я прав в предположениях?

Т.е. грубо говоря, мне так кажется, что если с фрёвой машины я пытаюсь пинговать, например, шлюз, то пакеты ТОЖЕ дивертятся на natd --> маскарадятся реальные IP, чего быть не должно, поэтому и не работает.

И, опять-таки,речь идёт о стандартном SIMPLE конфиге.

Спасибо!

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 22-Сен-04, 22:30  (MSK)
>>Еще можно посмотреть есть-ли loopback и не зарезан-ли он firewall`ом, проверить кабель,
>>хаб/свич/сетевую карточку.
>>Еще вот такая штука была http://www.freebsd.org/cgi/query-pr.cgi?pr=2468
>
>Гхм...
>
>Проблема была с named'ом...как только выключил его нафих, сразу всё ок стало.
>Разбираться с этим ещё предстоит.
>
>Теперь новая проблема появилась.
>Внутренняя сеть вся пингуется со всех сторон вдоль и поперёк. А вот
>когда пытаюсь пингануть хотя бы шлюз со фрёвой машины (реальный адрес)
>- гробовая тишина.
>Т.е. налицо проблема с правилами - но где - понять не могу.
>
>
>ipfw add pass icmp from any to any  - сказано и
>для divert-пакетов, и для не-divert.
>
>сказано.
>Не помогает.
>Смущает вот что:
>ИМХО нужно говорить диверт, только когда траффик идёт с внутренней подсети, так
>что ИМХО правило
>ipfw add divert 8668 ip from any to any via ${extif} -
>неверно.
>
>Вместо этого нужно ИМХО сказать:
>ipfw add divert 8668 ip from ${inet}/${imask} to any via ${extif}
>- я прав в предположениях?
>
>Т.е. грубо говоря, мне так кажется, что если с фрёвой машины я пытаюсь пинговать, например, шлюз, то пакеты ТОЖЕ дивертятся на natd --> маскарадятся реальные IP, чего быть не должно, поэтому и не работает.
>
>И, опять-таки,речь идёт о стандартном SIMPLE конфиге.
>
>Спасибо!
>
>Godhell.

Да...
Попробовал ИМХО все варианты уже.
Где-то грабли в правилах.
Ещё раз попробую ситуацию описать, может, более стройно получится. :)

На машине с фрёй внешний ип реальный.
На шлюзе тоже, соотетственно, реальный ип из той же подсети. :)
На машине с фрёй ещё есть внутренняя сетка с адресами 192.168.x.x.
По внутреннему интерфейсу всё замечательно.
Пинг фря<>шлюз не идёт ping: sendto: Host is down

Сообщения выглядят будто что-то не так с фаерволом...

divert сделан на ip в обе стороны from any to any.

Перетыкаю шнурок в другую машину - всё ок. Интерфейс физически работоспособный, проверял неоднократно...

Может, наступал кто на такие грабли? :)
Вроде всё просто, а не работает. %)

Я уже, чувствую, скоро начну шаманить с бубном...

Спасибо.

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Antony Искать по авторуВ закладки on 23-Сен-04, 11:48  (MSK)
>Да...
>Попробовал ИМХО все варианты уже.
>Где-то грабли в правилах.
>Ещё раз попробую ситуацию описать, может, более стройно получится. :)
>
>На машине с фрёй внешний ип реальный.
>На шлюзе тоже, соотетственно, реальный ип из той же подсети. :)
>На машине с фрёй ещё есть внутренняя сетка с адресами 192.168.x.x.
>По внутреннему интерфейсу всё замечательно.
>Пинг фря<>шлюз не идёт ping: sendto: Host is down
>
>Сообщения выглядят будто что-то не так с фаерволом...
>
>divert сделан на ip в обе стороны from any to any.
>
>Перетыкаю шнурок в другую машину - всё ок. Интерфейс физически работоспособный, проверял
>неоднократно...
>
>Может, наступал кто на такие грабли? :)
>Вроде всё просто, а не работает. %)
>
>Я уже, чувствую, скоро начну шаманить с бубном...
А если оставить только divert и allow ip from any to any ?
Проверь еше, все таки, netstat -r, сделай ifconfig down/up для этого интерфейса.
Может на шлюзе icmp режется?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 23-Сен-04, 19:50  (MSK)
>>Да...
>>Попробовал ИМХО все варианты уже.
>>Где-то грабли в правилах.
>>Ещё раз попробую ситуацию описать, может, более стройно получится. :)
>>
>>На машине с фрёй внешний ип реальный.
>>На шлюзе тоже, соотетственно, реальный ип из той же подсети. :)
>>На машине с фрёй ещё есть внутренняя сетка с адресами 192.168.x.x.
>>По внутреннему интерфейсу всё замечательно.
>>Пинг фря<>шлюз не идёт ping: sendto: Host is down
>>
>>Сообщения выглядят будто что-то не так с фаерволом...
>>
>>divert сделан на ip в обе стороны from any to any.
>>
>>Перетыкаю шнурок в другую машину - всё ок. Интерфейс физически работоспособный, проверял
>>неоднократно...
>>
>>Может, наступал кто на такие грабли? :)
>>Вроде всё просто, а не работает. %)
>>
>>Я уже, чувствую, скоро начну шаманить с бубном...
>А если оставить только divert и allow ip from any to any
>?
>Проверь еше, все таки, netstat -r, сделай ifconfig down/up для этого интерфейса.
>
>Может на шлюзе icmp режется?

Отчитываюсь по проделанному. :)))

1.Передёргивание интерфейса не помогает.
2.С роутингом всё нормально, проверил.
3.Правила поменял, не работает.
Итого, попытка была с такими правилами (порэзал всё, что можно):
00100 0 0 allow ip from any to any
00200 0 0 divert 8668 ip from any to any via ${название внешнего интерфейса}
00300 0 0 allow ip from any to any
65535 0 0 deny ip from any to any

Замечу, что в ядре дефолтная политика - DENY.

На шлюзе ICMP не режется, ибо с других машин на шлюз идут любые пакеты, в т.ч. ICMP с возвратом.

Ещё идеи? В морг? :)

Политику на ACCEPT менять не хочу, т.к. привык к DENY.

Спасибо!

BR, Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 23-Сен-04, 20:03  (MSK)
>>>Да...
>>>Попробовал ИМХО все варианты уже.
>>>Где-то грабли в правилах.
>>>Ещё раз попробую ситуацию описать, может, более стройно получится. :)
>>>
>>>На машине с фрёй внешний ип реальный.
>>>На шлюзе тоже, соотетственно, реальный ип из той же подсети. :)
>>>На машине с фрёй ещё есть внутренняя сетка с адресами 192.168.x.x.
>>>По внутреннему интерфейсу всё замечательно.
>>>Пинг фря<>шлюз не идёт ping: sendto: Host is down
>>>
>>>Сообщения выглядят будто что-то не так с фаерволом...
>>>
>>>divert сделан на ip в обе стороны from any to any.
>>>
>>>Перетыкаю шнурок в другую машину - всё ок. Интерфейс физически работоспособный, проверял
>>>неоднократно...
>>>
>>>Может, наступал кто на такие грабли? :)
>>>Вроде всё просто, а не работает. %)
>>>
>>>Я уже, чувствую, скоро начну шаманить с бубном...
>>А если оставить только divert и allow ip from any to any
>>?
>>Проверь еше, все таки, netstat -r, сделай ifconfig down/up для этого интерфейса.
>>
>>Может на шлюзе icmp режется?
>
>Отчитываюсь по проделанному. :)))
>
>1.Передёргивание интерфейса не помогает.
>2.С роутингом всё нормально, проверил.
>3.Правила поменял, не работает.
>Итого, попытка была с такими правилами (порэзал всё, что можно):
>00100 0 0 allow ip from any to any
>00200 0 0 divert 8668 ip from any to any via ${название
>внешнего интерфейса}
>00300 0 0 allow ip from any to any
>65535 0 0 deny ip from any to any
>
>Замечу, что в ядре дефолтная политика - DENY.
>
>На шлюзе ICMP не режется, ибо с других машин на шлюз идут
>любые пакеты, в т.ч. ICMP с возвратом.
>
>Ещё идеи? В морг? :)
>
>Политику на ACCEPT менять не хочу, т.к. привык к DENY.
>
>Спасибо!
>
>BR, Godhell.

Гм...
Провёл ещё один эксперимент.
1.Меняем тип на OPEN в rc.conf.
2.Пробуем пинговать.
3.Тишина. Только natd орёт следующее:
natd[159]: failed to write packet back (Host is down).

Тут же перетыкаю шнурок в другую машину (ессно, с теми же настройками :))) ) - всё работает.

Ничего не понимаю... %(

Спасибо.

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 23-Сен-04, 21:16  (MSK)
Мне тут что-то подумалось...
Можа я чего не того вкомпилячил в ядро? Или наоборот, вырвал оттуда чего...
Собсно, я там все явно лишние сетевые девайсы прибил, поставил три ed-карточки ISA...ну и фаервольные опции...
Что-то меня прям сомнение взяло...
Хотя, вроде, диверт есть, всё вроде работает, по внутренней сетке всё ходит радостно...каунтеры диверта работают...мда...а толку - ....

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от kamala emailИскать по авторуВ закладки on 24-Сен-04, 15:11  (MSK)
>Мне тут что-то подумалось...
>Можа я чего не того вкомпилячил в ядро? Или наоборот, вырвал оттуда
>чего...
>Собсно, я там все явно лишние сетевые девайсы прибил, поставил три ed-карточки
>ISA...ну и фаервольные опции...
>Что-то меня прям сомнение взяло...
>Хотя, вроде, диверт есть, всё вроде работает, по внутренней сетке всё ходит
>радостно...каунтеры диверта работают...мда...а толку - ....
>
>Godhell.

Какие маски на внутреннем и внешнем интерфейсе?
У меня была похожая трабла, сам шлюз в инет ходил а клиентов из внутренний сети не пускал как ни крути ipfw.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 24-Сен-04, 22:36  (MSK)
>>Мне тут что-то подумалось...
>>Можа я чего не того вкомпилячил в ядро? Или наоборот, вырвал оттуда
>>чего...
>>Собсно, я там все явно лишние сетевые девайсы прибил, поставил три ed-карточки
>>ISA...ну и фаервольные опции...
>>Что-то меня прям сомнение взяло...
>>Хотя, вроде, диверт есть, всё вроде работает, по внутренней сетке всё ходит
>>радостно...каунтеры диверта работают...мда...а толку - ....
>>
>>Godhell.
>
>Какие маски на внутреннем и внешнем интерфейсе?
>У меня была похожая трабла, сам шлюз в инет ходил а клиентов
>из внутренний сети не пускал как ни крути ipfw.

На внутреннем интерфейсе маска .0, на внешнем .224.
Обе маски правильные.
Ессно, внутренний интерфейс, как я уже писал, 192.168.х.х, а внешний - на реальных адресах.

Что-нить не так?

Самое интересное - даже когда ставишь OPEN, как уже грил, всё равно ноль эмоций! И это всё при том, что физически интерфейс абсолютно работоспособный и настроен правильно (я имею в виду rc.conf и роутинг).

Да...есть, пожалуй, ЕДИНСТВЕННАЯ особенность...
На внешнем интерфейсе я задаю lladdr, т.к. у меня канал этот по MAC'у фильтруется - блокирнёт. Может быть, с этим связано?Всё десять раз тестил, MAC меняется безо всяких глюков, в ARP всё правильно...Т.е. мне не кажется, что это может быть причиной сбоев ipfw.
Поправьте, пожалуйста, если неправ.

Спасибо.

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от kamala emailИскать по авторуВ закладки on 27-Сен-04, 11:03  (MSK)
>>>Мне тут что-то подумалось...
>>>Можа я чего не того вкомпилячил в ядро? Или наоборот, вырвал оттуда
>>>чего...
>>>Собсно, я там все явно лишние сетевые девайсы прибил, поставил три ed-карточки
>>>ISA...ну и фаервольные опции...
>>>Что-то меня прям сомнение взяло...
>>>Хотя, вроде, диверт есть, всё вроде работает, по внутренней сетке всё ходит
>>>радостно...каунтеры диверта работают...мда...а толку - ....
>>>
>>>Godhell.
>>
>>Какие маски на внутреннем и внешнем интерфейсе?
>>У меня была похожая трабла, сам шлюз в инет ходил а клиентов
>>из внутренний сети не пускал как ни крути ipfw.
>
>На внутреннем интерфейсе маска .0, на внешнем .224.
>Обе маски правильные.
>Ессно, внутренний интерфейс, как я уже писал, 192.168.х.х, а внешний - на
>реальных адресах.
>
>Что-нить не так?
>
>Самое интересное - даже когда ставишь OPEN, как уже грил, всё равно
>ноль эмоций! И это всё при том, что физически интерфейс абсолютно
>работоспособный и настроен правильно (я имею в виду rc.conf и роутинг).
>
>
>Да...есть, пожалуй, ЕДИНСТВЕННАЯ особенность...
>На внешнем интерфейсе я задаю lladdr, т.к. у меня канал этот по
>MAC'у фильтруется - блокирнёт. Может быть, с этим связано?Всё десять раз
>тестил, MAC меняется безо всяких глюков, в ARP всё правильно...Т.е. мне
>не кажется, что это может быть причиной сбоев ipfw.
>Поправьте, пожалуйста, если неправ.
>
>Спасибо.
>
>Godhell.

Если я правильно понял ты задаёшь новый мак-адрес через lladdr? На своём опыте я знаю что фря мак меняет  только на экране а сеть пропадаёт с новым маком, ставишь старый мак, сеть появляется. Насчёт мак-адресов рулит Linux-Slackware, могёт иметь три сетевые карты с адресами в одной маске к примеру: 192.168.0.1 192.168.0.2 192.168.0.3 маска 255.255.255.0 и мак-адреса менять скриптом как перчатки :) в отличии от фри. Так что Слака  идеальная ОС в этом плане :-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 27-Сен-04, 15:17  (MSK)
>>>>Мне тут что-то подумалось...
>>>>Можа я чего не того вкомпилячил в ядро? Или наоборот, вырвал оттуда
>>>>чего...
>>>>Собсно, я там все явно лишние сетевые девайсы прибил, поставил три ed-карточки
>>>>ISA...ну и фаервольные опции...
>>>>Что-то меня прям сомнение взяло...
>>>>Хотя, вроде, диверт есть, всё вроде работает, по внутренней сетке всё ходит
>>>>радостно...каунтеры диверта работают...мда...а толку - ....
>>>>
>>>>Godhell.
>>>
>>>Какие маски на внутреннем и внешнем интерфейсе?
>>>У меня была похожая трабла, сам шлюз в инет ходил а клиентов
>>>из внутренний сети не пускал как ни крути ipfw.
>>
>>На внутреннем интерфейсе маска .0, на внешнем .224.
>>Обе маски правильные.
>>Ессно, внутренний интерфейс, как я уже писал, 192.168.х.х, а внешний - на
>>реальных адресах.
>>
>>Что-нить не так?
>>
>>Самое интересное - даже когда ставишь OPEN, как уже грил, всё равно
>>ноль эмоций! И это всё при том, что физически интерфейс абсолютно
>>работоспособный и настроен правильно (я имею в виду rc.conf и роутинг).
>>
>>
>>Да...есть, пожалуй, ЕДИНСТВЕННАЯ особенность...
>>На внешнем интерфейсе я задаю lladdr, т.к. у меня канал этот по
>>MAC'у фильтруется - блокирнёт. Может быть, с этим связано?Всё десять раз
>>тестил, MAC меняется безо всяких глюков, в ARP всё правильно...Т.е. мне
>>не кажется, что это может быть причиной сбоев ipfw.
>>Поправьте, пожалуйста, если неправ.
>>
>>Спасибо.
>>
>>Godhell.
>
>Если я правильно понял ты задаёшь новый мак-адрес через lladdr? На своём
>опыте я знаю что фря мак меняет  только на экране
>а сеть пропадаёт с новым маком, ставишь старый мак, сеть появляется.
>Насчёт мак-адресов рулит Linux-Slackware, могёт иметь три сетевые карты с адресами
>в одной маске к примеру: 192.168.0.1 192.168.0.2 192.168.0.3 маска 255.255.255.0 и
>мак-адреса менять скриптом как перчатки :) в отличии от фри. Так
>что Слака  идеальная ОС в этом плане :-)

:) Ну, про Linux я в курсе. :) Хотя сам всю жизнь другие дистрибутивы использую. Ну да не в этом дело. :)

Насчёт маков - понял.
Попробую посмотреть ARP на удалённой машине.
Вообще, если предположить, что фря действительно мак меняет только на консоли, то всё вроде как становится на места.
Т.е. по этой теории (потому что ещё проверить надо будет) получается, что всё работает, но из-за мака происходит неприятность.
Что странно в этой связи: почему тогда на шлюзе хост тут же не блокируется? :-\ Т.е. я спокойно перетыкаю шнурок и всё работает.
По-любому буду всё это проверять.

Кстати, если всё так, нет ли патчика, который это фиксит?

Спасибо!

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от kamala emailИскать по авторуВ закладки on 27-Сен-04, 15:41  (MSK)
>>>>>Мне тут что-то подумалось...
>>>>>Можа я чего не того вкомпилячил в ядро? Или наоборот, вырвал оттуда
>>>>>чего...
>>>>>Собсно, я там все явно лишние сетевые девайсы прибил, поставил три ed-карточки
>>>>>ISA...ну и фаервольные опции...
>>>>>Что-то меня прям сомнение взяло...
>>>>>Хотя, вроде, диверт есть, всё вроде работает, по внутренней сетке всё ходит
>>>>>радостно...каунтеры диверта работают...мда...а толку - ....
>>>>>
>>>>>Godhell.
>>>>
>>>>Какие маски на внутреннем и внешнем интерфейсе?
>>>>У меня была похожая трабла, сам шлюз в инет ходил а клиентов
>>>>из внутренний сети не пускал как ни крути ipfw.
>>>
>>>На внутреннем интерфейсе маска .0, на внешнем .224.
>>>Обе маски правильные.
>>>Ессно, внутренний интерфейс, как я уже писал, 192.168.х.х, а внешний - на
>>>реальных адресах.
>>>
>>>Что-нить не так?
>>>
>>>Самое интересное - даже когда ставишь OPEN, как уже грил, всё равно
>>>ноль эмоций! И это всё при том, что физически интерфейс абсолютно
>>>работоспособный и настроен правильно (я имею в виду rc.conf и роутинг).
>>>
>>>
>>>Да...есть, пожалуй, ЕДИНСТВЕННАЯ особенность...
>>>На внешнем интерфейсе я задаю lladdr, т.к. у меня канал этот по
>>>MAC'у фильтруется - блокирнёт. Может быть, с этим связано?Всё десять раз
>>>тестил, MAC меняется безо всяких глюков, в ARP всё правильно...Т.е. мне
>>>не кажется, что это может быть причиной сбоев ipfw.
>>>Поправьте, пожалуйста, если неправ.
>>>
>>>Спасибо.
>>>
>>>Godhell.
>>
>>Если я правильно понял ты задаёшь новый мак-адрес через lladdr? На своём
>>опыте я знаю что фря мак меняет  только на экране
>>а сеть пропадаёт с новым маком, ставишь старый мак, сеть появляется.
>>Насчёт мак-адресов рулит Linux-Slackware, могёт иметь три сетевые карты с адресами
>>в одной маске к примеру: 192.168.0.1 192.168.0.2 192.168.0.3 маска 255.255.255.0 и
>>мак-адреса менять скриптом как перчатки :) в отличии от фри. Так
>>что Слака  идеальная ОС в этом плане :-)
>
>:) Ну, про Linux я в курсе. :) Хотя сам всю жизнь
>другие дистрибутивы использую. Ну да не в этом дело. :)
>
>Насчёт маков - понял.
>Попробую посмотреть ARP на удалённой машине.
>Вообще, если предположить, что фря действительно мак меняет только на консоли, то
>всё вроде как становится на места.
>Т.е. по этой теории (потому что ещё проверить надо будет) получается, что
>всё работает, но из-за мака происходит неприятность.
>Что странно в этой связи: почему тогда на шлюзе хост тут же
>не блокируется? :-\ Т.е. я спокойно перетыкаю шнурок и всё работает.
>
>По-любому буду всё это проверять.
>
>Кстати, если всё так, нет ли патчика, который это фиксит?
>
>Спасибо!
>
>Godhell.
У твоего прова идёт привязка по макам? Зачем ты вобще маки то меняешь, я вижу самый простой способ это попросить прова переписать новый мак твоей сетевой, у себя на роутере.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 27-Сен-04, 20:33  (MSK)
>У твоего прова идёт привязка по макам? Зачем ты вобще маки то
>меняешь, я вижу самый простой способ это попросить прова переписать новый
>мак твоей сетевой, у себя на роутере.

Угу. Это если сделать предположение, что пров беспроблемный. А это не мой случай. ;)
Т.е. я это сделаю, но после того, как буду уверен, что всё работает. Сейчас, как понимаешь, такой уверенности нет.
А менять потом всё "взад" - может быть проблемно. Т.е. проще с маками пока поиграться. Я так думал раньше.
Сейчас теперь буду тестить, и если мак действительно не меняется и проблема только в этом - буду долбить прова, естественно.

Спасибо.

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 27-Сен-04, 20:52  (MSK)
>>У твоего прова идёт привязка по макам? Зачем ты вобще маки то
>>меняешь, я вижу самый простой способ это попросить прова переписать новый
>>мак твоей сетевой, у себя на роутере.

Гхм...
Говорю другой отдельно взятой машине, что она теперь шлюз. =)

На этой машине в ARP появляется мой роутер с успешно подменённым маком и правильным IP.
Пинговать друг друга они не хотят.
На фре OPEN-настройки.

Что интересно: когда пингую с фри "якобы шлюз", вижу следующее:
natd[162]: failed to write packet back (Host is down)

Приехали.

Какие мысли на этот счёт могут быть? :)

Спасибо.

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от slider Искать по авторуВ закладки(??) on 27-Сен-04, 21:42  (MSK)
не уверен, что это окажется полезным, но недавно наткнулся на любопытную и вредную траблу: некая сетевая карточка становилась, определялась, показывала статус сетевой активности, но не пускала ни одного пакета, хоть ты тресни! а ей-то и надлежало быть гетвейной ((
промучался два вечера, пока от отчаяния не попробовал воткнуть ее в обычную виндовую рабочую станцию с частным адресом. и... получил то же самое. т.е. она определась, видела сетку (точнее подключенный сетевой кабель), но не пускала через себя ничего ровным счетом. поставил на ее место другую и был счастлив.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 28-Сен-04, 19:30  (MSK)
>не уверен, что это окажется полезным, но недавно наткнулся на любопытную и
>вредную траблу: некая сетевая карточка становилась, определялась, показывала статус сетевой активности,
>но не пускала ни одного пакета, хоть ты тресни! а ей-то
>и надлежало быть гетвейной ((
>промучался два вечера, пока от отчаяния не попробовал воткнуть ее в обычную
>виндовую рабочую станцию с частным адресом. и... получил то же самое.
>т.е. она определась, видела сетку (точнее подключенный сетевой кабель), но не
>пускала через себя ничего ровным счетом. поставил на ее место другую
>и был счастлив.
Мнэ...гхм...
сетевуха тестилась таким образом и пакеты пропускались.
Более того, т.к. на удалённой машине я вижу её в ARP с нужным маком, то это как минимум означает, что ARP-запросы ходят.
Есть подозрение, что проблемы всё-таки где-то в natd.
Всё проверял уже, ядро собрано вроде с правильными опциями,всё как доктор прописал.

В общем - в растерянности.
Может, есть с натом фри фича какая-то, про которую я не знаю? :)

Спасибо.

Godhell.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "FreeBSD natd trouble - грамотная идея нужна!"
Сообщение от Godhell emailИскать по авторуВ закладки on 28-Сен-04, 20:45  (MSK)
Народ!!!!!!!!!

Простите дебила! =)
Всё просто. В машине неустранимый конфликт IRQ - 486 ибо, и мультяха стоит чудная. В те времена, видимо, ен подозревали, что русские хацкеры задумают засунуть в неё аж 3 сетевухи. =)

В общем, результат - таймауты на внешнем интерфейсе время от времени.
И глюки. :)

Поменял местами конфигурации интерфейсов - и всё запинговалось! :)

Осталось теперь только придумывать, что делать с системой, чтобы прерывание под сетевуху освободить полностью. Думается, что невозможно. Ну да это уже оффтопик, да и тема отдельной сказочки. :)

Ещё раз всем ОГРОМНОЕ СПАСИБО за помощь и советы!!!!!

Счастье моё не знает границ! :)

Большое всем спасибо и удачи! Если что - пишите. :)

Godhell.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру