Колян 2 Опубликовано: 2008-03-30 15:59:51 Share Опубликовано: 2008-03-30 15:59:51 В общем, след. трабля. Вчера и седня наблюдаю глюки в сети, у юзверей авторизатор коннектицо нормально, а вот ни инет, ни пинги на сервак не идут. С арп таблицей все в порядке. Такое не у всех, а у некоторых, у пары-тройки... система freebsd 5.5, думаю, что версия стг не важна, так как правила фаерволла все висят, те кто надо. my# ipfw show | grep 10.10.3.15 10342 53 3429 pipe 171 ip from 10.10.3.15 to 10.0.0.0/8 via vr0 10343 17 1508 pipe 171 ip from 10.0.0.0/8 to 10.10.3.15 via vr0 10344 0 0 pipe 170 ip from 10.10.3.15 to any via vr0 10345 0 0 pipe 170 ip from any to 10.10.3.15 via vr0 10346 18 1404 allow ip from 10.10.3.15 to any 10347 0 0 allow ip from any to 10.10.3.15 10348 0 0 allow icmp from 10.10.3.15 to any icmptypes 0,3,4,11,12 Такие правила висят у всех, но только у пары-тройки юзеров не работает инет. Кстати, внешняя сеть пингуется. Не пингуется именно роутер у юзера, и юзер с роутера. Но через роутер трафик юзера проходит Ну естессно, на нем висит днс и некоторые сервисы, потому у юзеров инет и не пашет. Ну и когда юзер отключается авторизатором, при пинге пишет пермишн денайдед. my# ping 10.10.3.15 PING 10.10.3.15 (10.10.3.15): 56 data bytes ping: sendto: Permission denied ping: sendto: Permission denied ping: sendto: Permission denied ping: sendto: Permission denied ping: sendto: Permission denied ^C --- 10.10.3.15 ping statistics --- 654 packets transmitted, 0 packets received, 100% packet loss Ссылка на сообщение Поделиться на других сайтах
Max 0 Опубліковано: 2008-03-30 16:17:12 Share Опубліковано: 2008-03-30 16:17:12 В общем, след. трабля. Вчера и седня наблюдаю глюки в сети, у юзверей авторизатор коннектицо нормально, а вот ни инет, ни пинги на сервак не идут. С арп таблицей все в порядке. Такое не у всех, а у некоторых, у пары-тройки...система freebsd 5.5, думаю, что версия стг не важна, так как правила фаерволла все висят, те кто надо. my# ipfw show | grep 10.10.3.15 10342 53 3429 pipe 171 ip from 10.10.3.15 to 10.0.0.0/8 via vr0 10343 17 1508 pipe 171 ip from 10.0.0.0/8 to 10.10.3.15 via vr0 10344 0 0 pipe 170 ip from 10.10.3.15 to any via vr0 10345 0 0 pipe 170 ip from any to 10.10.3.15 via vr0 10346 18 1404 allow ip from 10.10.3.15 to any 10347 0 0 allow ip from any to 10.10.3.15 10348 0 0 allow icmp from 10.10.3.15 to any icmptypes 0,3,4,11,12 Такие правила висят у всех, но только у пары-тройки юзеров не работает инет. Кстати, внешняя сеть пингуется. Не пингуется именно роутер у юзера, и юзер с роутера. Но через роутер трафик юзера проходит Ну естессно, на нем висит днс и некоторые сервисы, потому у юзеров инет и не пашет. Ну и когда юзер отключается авторизатором, при пинге пишет пермишн денайдед. my# ping 10.10.3.15 PING 10.10.3.15 (10.10.3.15): 56 data bytes ping: sendto: Permission denied ping: sendto: Permission denied ping: sendto: Permission denied ping: sendto: Permission denied ping: sendto: Permission denied ^C --- 10.10.3.15 ping statistics --- 654 packets transmitted, 0 packets received, 100% packet loss если при пинге пишет персмишен денайд то это значит что трафик попал на запрещающее правило в фаерволле Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2008-03-30 16:47:05 Автор Share Опубліковано: 2008-03-30 16:47:05 Да. Правильно. Это когда юзер отключен. А когда авторизатором коннектиться, то ниче не пишет, либо хост ис даун. Опять отключается, и пишет пермишн дениед. Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2008-03-30 17:43:31 Автор Share Опубліковано: 2008-03-30 17:43:31 Именно прикол в том, что юзеры не имеют доступа к самому роутеру, но через него ходят. Пришлось им прописать левый днс, как-то юзают, но все же, это не выход Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2008-03-30 18:02:37 Share Опубліковано: 2008-03-30 18:02:37 Да. Правильно. Это когда юзер отключен. А когда авторизатором коннектиться, то ниче не пишет, либо хост ис даун. Опять отключается, и пишет пермишн дениед. Предполагаю, что лажают скрипты OnConnect Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубліковано: 2008-03-30 18:31:53 Share Опубліковано: 2008-03-30 18:31:53 на локальной системе трабла, днс тут ваще не причем, и не причем авторизатор со скриптами. где вы видели такой тип сообщения ICMP? смотри /etc/rc.conf на предмет файрволенности Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2008-03-30 18:38:27 Автор Share Опубліковано: 2008-03-30 18:38:27 У всех остальных все ок. my# ipfw show | grep 10.10.3.15 10342 188 14944 pipe 171 ip from 10.10.3.15 to 10.0.0.0/8 via vr0 10343 492 45136 pipe 171 ip from 10.0.0.0/8 to 10.10.3.15 via vr0 10344 2 80 pipe 170 ip from 10.10.3.15 to any via vr0 10345 0 0 pipe 170 ip from any to 10.10.3.15 via vr0 10346 26 1952 allow ip from 10.10.3.15 to any 10347 0 0 allow ip from any to 10.10.3.15 10348 0 0 allow icmp from 10.10.3.15 to any icmptypes 0,3,4,11,12 Вот юзерские правила my# ipfw show | grep 10.10.0.20 10802 2101 120893 pipe 263 ip from 10.10.0.20 to 10.0.0.0/8 via vr0 10803 508 46736 pipe 263 ip from 10.0.0.0/8 to 10.10.0.20 via vr0 10804 738 126168 pipe 262 ip from 10.10.0.20 to any via vr0 10805 777 196228 pipe 262 ip from any to 10.10.0.20 via vr0 10806 0 0 allow ip from 10.10.0.20 to any 10807 0 0 allow ip from any to 10.10.0.20 10808 0 0 allow icmp from 10.10.0.20 to any icmptypes 0,3,4,11,12 Вот мои правила! Найдите 10 отличий my# cat /etc/rc.firewall #!/bin/sh fwcmd="/sbin/ipfw" natdcmd="/sbin/natd" int_if="vr0" ext_if="vr1" #Сбрасываем правила ipfw ${fwcmd} -f flush #${fwcmd} add 10 allow icmp from any to any ${fwcmd} add 308 allow udp from any to 10.10.1.1 5555 via ${int_if} ${fwcmd} add 309 allow udp from 10.10.1.1 to any via ${int_if} ${fwcmd} add 310 allow tcp from 10.10.1.2 to 10.10.1.1 22 via ${int_if} ${fwcmd} add 312 allow tcp from 10.10.1.1 to any via ${int_if} ${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup ${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established ${fwcmd} add 50031 allow udp from any to any out via ${ext_if} ${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if} ${fwcmd} add 50033 allow tcp from any to 192.168.1.2 22 via ${ext_if} ${fwcmd} add 50036 allow all from 10.10.1.2 to any ${fwcmd} add 50037 allow all from any to 10.10.1.2 ${fwcmd} add 50040 allow all from any to 10.10.0.5 ${fwcmd} add 50040 allow all from 10.10.0.5 to any ${fwcmd} add 50041 allow all from any to 10.10.0.7 ${fwcmd} add 50041 allow all from 10.10.0.7 to any ${fwcmd} add 5566 allow all from any to any via lo0 ipfw add 50042 allow all from any to 10.10.0.25 ipfw add 50042 allow all from 10.10.0.25 to any ipfw add 50043 allow all from 10.10.0.123 to any ipfw add 50043 allow all from any to 10.10.0.123 ipfw add 50043 allow all from 10.10.0.21 to any ipfw add 50043 allow all from any to 10.10.0.21 ipfw add 50043 allow all from 10.10.0.124 to any ipfw add 50043 allow all from any to 10.10.0.124 ${fwcmd} add 5568 allow all from any to 192.168.1.2 via vr1 ${fwcmd} add 5569 allow all from 192.168.1.2 to any via vr1 ${fwcmd} add 5570 allow all from any 5555 to any ${fwcmd} add 5570 allow all from any to any 5555 #${fwcmd} add 5567 allow all from any to any via vr0 ${fwcmd} add 65534 deny log all from any to any Вот правила общие для всех, /etc/rc.firewall Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубліковано: 2008-03-30 19:33:07 Share Опубліковано: 2008-03-30 19:33:07 ipfw flush & ipfw add allow ip from any to any в rc.conf добавь FIREWALL_ENABLE="NO" и пробуй пинговать Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубліковано: 2008-03-30 19:35:59 Share Опубліковано: 2008-03-30 19:35:59 даже так firewall_enable="YES" firewall_type="OPEN" Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2008-03-30 21:10:35 Автор Share Опубліковано: 2008-03-30 21:10:35 Сбрасывал правила... не помогает. Именно на 10.10.1.1 юзеры не попадают, но через него ходят. Ссылка на сообщение Поделиться на других сайтах
loki 86 Опубліковано: 2008-03-30 21:15:00 Share Опубліковано: 2008-03-30 21:15:00 все юзеры ? или некоторые ? Ссылка на сообщение Поделиться на других сайтах
Колян 2 Опубліковано: 2008-03-30 21:26:32 Автор Share Опубліковано: 2008-03-30 21:26:32 Некоторые, уже у троих заметил. Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-10-01 09:37:23 Share Опубліковано: 2019-10-01 09:37:23 помогите решить проблему.Не пингуются клиентские машины на интерфейсе asr 1002 (NAS) Интернет у клиентов есть, а вот нет пинга ни с сервера на клиентов ни через вебинтерфейс биллинга. Мой firewall.conf #!/bin/sh # firewall command FwCMD="/sbin/ipfw -q" ${FwCMD} -f flush # Interfaces setup LAN_IF="bce0" WAN_IF="bce1" # Networks define ${FwCMD} table 2 add 10.79.0........ #server ${FwCMD} add 100 pass all from any to any via lo0 ${FwCMD} add 200 deny all from any to 127.0.0.0/8 ${FwCMD} add 300 deny ip from 127.0.0.0/8 to any #localnet ${FwCMD} add allow ip from 10.79.0.0/16 to me via bce0 in ${FwCMD} add allow ip from me to 10.79.0.0/16 via bce0 out ${FwCMD} add deny ip from any to not me via bce0 #Allow DHCP SERVER ${FwCMD} add 5000 allow udp from any 67 to any ${FwCMD} add 5001 allow udp from any to any 67 ${FwCMD} add 5002 allow udp from any 68 to any ${FwCMD} add 5003 allow udp from any to any 68 ${FwCMD} add 5004 allow icmp from any to any #NAT ${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports ${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF} ${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF} #Shaper - table 4 download speed, table 3 - upload speed ${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out ${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in # default block policy ${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF} ${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF} ${FwCMD} add 65535 allow all from any to any Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2019-10-01 17:48:45 Share Опубліковано: 2019-10-01 17:48:45 с аср-а самого то не пингуются, биллинг и его фаервол ни при чем надо смотреть чего там накручено на аср-е Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-10-02 05:09:02 Share Опубліковано: 2019-10-02 05:09:02 Я извиняюсь что дал не полную картину по пингам. Как раз из асрки пингуются,перед ней стоит коммутатор с него также пинги на клиентов идут, а вот с биллингового сервера никак Ссылка на сообщение Поделиться на других сайтах
l1ght 377 Опубліковано: 2019-10-02 08:03:53 Share Опубліковано: 2019-10-02 08:03:53 2 часа назад, Oleg2018 сказал: Я извиняюсь что дал не полную картину по пингам. Как раз из асрки пингуются,перед ней стоит коммутатор с него также пинги на клиентов идут, а вот с биллингового сервера никак абоны в подсети 10.79.0.0/16 ? ipfw show со счетчиками бы увидеть Ссылка на сообщение Поделиться на других сайтах
Oleg2018 0 Опубліковано: 2019-10-02 08:29:50 Share Опубліковано: 2019-10-02 08:29:50 спасибо за помощь проблему решил прописыванием статического маршрута Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас