Jump to content
Local
Колян

пинги на сервак не идут

Recommended Posts

В общем, след. трабля. Вчера и седня наблюдаю глюки в сети, у юзверей авторизатор коннектицо нормально, а вот ни инет, ни пинги на сервак не идут. С арп таблицей все в порядке. Такое не у всех, а у некоторых, у пары-тройки...

система freebsd 5.5, думаю, что версия стг не важна, так как правила фаерволла все висят, те кто надо.

 

my# ipfw show | grep 10.10.3.15

10342 53 3429 pipe 171 ip from 10.10.3.15 to 10.0.0.0/8 via vr0

10343 17 1508 pipe 171 ip from 10.0.0.0/8 to 10.10.3.15 via vr0

10344 0 0 pipe 170 ip from 10.10.3.15 to any via vr0

10345 0 0 pipe 170 ip from any to 10.10.3.15 via vr0

10346 18 1404 allow ip from 10.10.3.15 to any

10347 0 0 allow ip from any to 10.10.3.15

10348 0 0 allow icmp from 10.10.3.15 to any icmptypes 0,3,4,11,12

 

Такие правила висят у всех, но только у пары-тройки юзеров не работает инет. Кстати, внешняя сеть пингуется. Не пингуется именно роутер у юзера, и юзер с роутера. Но через роутер трафик юзера проходит :) Ну естессно, на нем висит днс и некоторые сервисы, потому у юзеров инет и не пашет.

 

Ну и когда юзер отключается авторизатором, при пинге пишет пермишн денайдед.

my# ping 10.10.3.15

PING 10.10.3.15 (10.10.3.15): 56 data bytes

 

ping: sendto: Permission denied

ping: sendto: Permission denied

ping: sendto: Permission denied

ping: sendto: Permission denied

ping: sendto: Permission denied

^C

--- 10.10.3.15 ping statistics ---

654 packets transmitted, 0 packets received, 100% packet loss

Share this post


Link to post
Share on other sites
В общем, след. трабля. Вчера и седня наблюдаю глюки в сети, у юзверей авторизатор коннектицо нормально, а вот ни инет, ни пинги на сервак не идут. С арп таблицей все в порядке. Такое не у всех, а у некоторых, у пары-тройки...

система freebsd 5.5, думаю, что версия стг не важна, так как правила фаерволла все висят, те кто надо.

 

my# ipfw show | grep 10.10.3.15

10342 53 3429 pipe 171 ip from 10.10.3.15 to 10.0.0.0/8 via vr0

10343 17 1508 pipe 171 ip from 10.0.0.0/8 to 10.10.3.15 via vr0

10344 0 0 pipe 170 ip from 10.10.3.15 to any via vr0

10345 0 0 pipe 170 ip from any to 10.10.3.15 via vr0

10346 18 1404 allow ip from 10.10.3.15 to any

10347 0 0 allow ip from any to 10.10.3.15

10348 0 0 allow icmp from 10.10.3.15 to any icmptypes 0,3,4,11,12

 

Такие правила висят у всех, но только у пары-тройки юзеров не работает инет. Кстати, внешняя сеть пингуется. Не пингуется именно роутер у юзера, и юзер с роутера. Но через роутер трафик юзера проходит :) Ну естессно, на нем висит днс и некоторые сервисы, потому у юзеров инет и не пашет.

 

Ну и когда юзер отключается авторизатором, при пинге пишет пермишн денайдед.

my# ping 10.10.3.15

PING 10.10.3.15 (10.10.3.15): 56 data bytes

 

ping: sendto: Permission denied

ping: sendto: Permission denied

ping: sendto: Permission denied

ping: sendto: Permission denied

ping: sendto: Permission denied

^C

--- 10.10.3.15 ping statistics ---

654 packets transmitted, 0 packets received, 100% packet loss

если при пинге пишет персмишен денайд то это значит что трафик попал на запрещающее правило в фаерволле

Share this post


Link to post
Share on other sites

Да. Правильно. Это когда юзер отключен. А когда авторизатором коннектиться, то ниче не пишет, либо хост ис даун. Опять отключается, и пишет пермишн дениед.

Share this post


Link to post
Share on other sites

Именно прикол в том, что юзеры не имеют доступа к самому роутеру, но через него ходят. Пришлось им прописать левый днс, как-то юзают, но все же, это не выход :)

Share this post


Link to post
Share on other sites
Да. Правильно. Это когда юзер отключен. А когда авторизатором коннектиться, то ниче не пишет, либо хост ис даун. Опять отключается, и пишет пермишн дениед.

Предполагаю, что лажают скрипты OnConnect

Share this post


Link to post
Share on other sites

на локальной системе трабла, днс тут ваще не причем, и не причем авторизатор со скриптами. где вы видели такой тип сообщения ICMP?

смотри /etc/rc.conf на предмет файрволенности

Share this post


Link to post
Share on other sites

У всех остальных все ок.

my# ipfw show | grep 10.10.3.15

10342 188 14944 pipe 171 ip from 10.10.3.15 to 10.0.0.0/8 via vr0

10343 492 45136 pipe 171 ip from 10.0.0.0/8 to 10.10.3.15 via vr0

10344 2 80 pipe 170 ip from 10.10.3.15 to any via vr0

10345 0 0 pipe 170 ip from any to 10.10.3.15 via vr0

10346 26 1952 allow ip from 10.10.3.15 to any

10347 0 0 allow ip from any to 10.10.3.15

10348 0 0 allow icmp from 10.10.3.15 to any icmptypes 0,3,4,11,12

 

Вот юзерские правила

 

my# ipfw show | grep 10.10.0.20

10802 2101 120893 pipe 263 ip from 10.10.0.20 to 10.0.0.0/8 via vr0

10803 508 46736 pipe 263 ip from 10.0.0.0/8 to 10.10.0.20 via vr0

10804 738 126168 pipe 262 ip from 10.10.0.20 to any via vr0

10805 777 196228 pipe 262 ip from any to 10.10.0.20 via vr0

10806 0 0 allow ip from 10.10.0.20 to any

10807 0 0 allow ip from any to 10.10.0.20

10808 0 0 allow icmp from 10.10.0.20 to any icmptypes 0,3,4,11,12

 

Вот мои правила!

 

Найдите 10 отличий :)

 

my# cat /etc/rc.firewall

#!/bin/sh

fwcmd="/sbin/ipfw"

natdcmd="/sbin/natd"

int_if="vr0"

ext_if="vr1"

 

#Сбрасываем правила ipfw

${fwcmd} -f flush

#${fwcmd} add 10 allow icmp from any to any

${fwcmd} add 308 allow udp from any to 10.10.1.1 5555 via ${int_if}

${fwcmd} add 309 allow udp from 10.10.1.1 to any via ${int_if}

${fwcmd} add 310 allow tcp from 10.10.1.2 to 10.10.1.1 22 via ${int_if}

${fwcmd} add 312 allow tcp from 10.10.1.1 to any via ${int_if}

${fwcmd} add 50029 allow tcp from any to any out via ${ext_if} setup

${fwcmd} add 50030 allow tcp from any to any via ${ext_if} established

${fwcmd} add 50031 allow udp from any to any out via ${ext_if}

${fwcmd} add 50032 allow udp from any 53 to any in via ${ext_if}

${fwcmd} add 50033 allow tcp from any to 192.168.1.2 22 via ${ext_if}

${fwcmd} add 50036 allow all from 10.10.1.2 to any

${fwcmd} add 50037 allow all from any to 10.10.1.2

${fwcmd} add 50040 allow all from any to 10.10.0.5

${fwcmd} add 50040 allow all from 10.10.0.5 to any

${fwcmd} add 50041 allow all from any to 10.10.0.7

${fwcmd} add 50041 allow all from 10.10.0.7 to any

 

${fwcmd} add 5566 allow all from any to any via lo0

ipfw add 50042 allow all from any to 10.10.0.25

ipfw add 50042 allow all from 10.10.0.25 to any

ipfw add 50043 allow all from 10.10.0.123 to any

ipfw add 50043 allow all from any to 10.10.0.123

 

ipfw add 50043 allow all from 10.10.0.21 to any

ipfw add 50043 allow all from any to 10.10.0.21

ipfw add 50043 allow all from 10.10.0.124 to any

ipfw add 50043 allow all from any to 10.10.0.124

 

${fwcmd} add 5568 allow all from any to 192.168.1.2 via vr1

${fwcmd} add 5569 allow all from 192.168.1.2 to any via vr1

${fwcmd} add 5570 allow all from any 5555 to any

${fwcmd} add 5570 allow all from any to any 5555

#${fwcmd} add 5567 allow all from any to any via vr0

${fwcmd} add 65534 deny log all from any to any

 

 

Вот правила общие для всех, /etc/rc.firewall

Share this post


Link to post
Share on other sites

ipfw flush & ipfw add allow ip from any to any

в rc.conf добавь FIREWALL_ENABLE="NO"

и пробуй пинговать

Share this post


Link to post
Share on other sites

Сбрасывал правила... не помогает. Именно на 10.10.1.1 юзеры не попадают, но через него ходят.

Share this post


Link to post
Share on other sites

помогите решить проблему.Не пингуются клиентские машины на интерфейсе asr 1002 (NAS) Интернет у клиентов есть, а вот нет пинга ни с сервера на клиентов ни через вебинтерфейс биллинга. Мой firewall.conf

 

#!/bin/sh

# firewall command
FwCMD="/sbin/ipfw -q"
${FwCMD} -f flush

# Interfaces setup
LAN_IF="bce0"
WAN_IF="bce1"

# Networks define
${FwCMD} table 2 add 10.79.0........

#server
${FwCMD} add 100 pass all from any to any via lo0
${FwCMD} add 200 deny all from any to 127.0.0.0/8
${FwCMD} add 300 deny ip from 127.0.0.0/8 to any

#localnet
${FwCMD} add allow ip from 10.79.0.0/16 to me via bce0 in
${FwCMD} add allow ip from me to 10.79.0.0/16 via bce0 out
${FwCMD} add deny ip from any to not me via bce0

#Allow DHCP SERVER
${FwCMD} add 5000 allow udp from any 67 to any
${FwCMD} add 5001 allow udp from any to any 67
${FwCMD} add 5002 allow udp from any 68 to any
${FwCMD} add 5003 allow udp from any to any 68
${FwCMD} add 5004 allow icmp from any to any

#NAT
${FwCMD} nat 1 config log if ${WAN_IF} reset same_ports
${FwCMD} add 6000 nat 1 ip from table\(2\) to not table\(9\) out xmit ${WAN_IF}
${FwCMD} add 6001 nat 1 ip from any to me in recv ${WAN_IF}

#Shaper - table 4 download speed, table 3 - upload speed
${FwCMD} add 12001 pipe tablearg ip from any to table\(4\) via ${LAN_IF} out
${FwCMD} add 12000 pipe tablearg ip from table\(3\) to any via ${LAN_IF} in

# default block policy
${FwCMD} add 65533 deny all from table\(2\) to any via ${LAN_IF}
${FwCMD} add 65534 deny all from any to table\(2\) via ${LAN_IF}
${FwCMD} add 65535 allow all from any to any
 

Share this post


Link to post
Share on other sites

с аср-а самого то не пингуются, биллинг и его фаервол ни при чем

надо смотреть чего там накручено на аср-е

Share this post


Link to post
Share on other sites

Я извиняюсь что дал не полную картину по пингам. Как раз из асрки пингуются,перед ней стоит коммутатор с него также пинги на клиентов идут, а вот с биллингового сервера никак

Share this post


Link to post
Share on other sites
2 часа назад, Oleg2018 сказал:

Я извиняюсь что дал не полную картину по пингам. Как раз из асрки пингуются,перед ней стоит коммутатор с него также пинги на клиентов идут, а вот с биллингового сервера никак

абоны в подсети 10.79.0.0/16 ?

ipfw show со счетчиками бы увидеть

Share this post


Link to post
Share on other sites

спасибо за помощь проблему решил прописыванием статического маршрута

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×