lex.lviv 1 Posted 2010-09-01 13:19:19 Share Posted 2010-09-01 13:19:19 доброго времени суток маленький вопросик стоит у меня роутер. билинг считает ... вобщем все гуд. но вот смотрю я по нагрузках - много трафа идет на сети пчелайна... решил я значит протянуть канал... благо свич стоял в соседнем здании. ну в общем для ИПФВ написал такую структуру /sbin/natd -u -p 8671 -a 10.98.44.84/sbin/natd -u -p 8672 -a 192.168.1.127 ... # Networks define ${FwCMD} table 2 add 172.16.0.0/24 мое внутриннее добро ${FwCMD} table 9 add 192.168.0.0/24 внешний диапазон всякой абракадабры тута живет гетевей основного канала ${FwCMD} table 9 add 192.168.1.0/24 ${FwCMD} table 10 add 10.0.0.0/24 пчелайн ... ${FwCMD} add 0500 check-state ${FwCMD} add 1099 divert 8671 ip from table\(2\) to table\(10\) ${FwCMD} add 1100 divert 8672 ip from table\(2\) to any ${FwCMD} add 1101 fwd 10.98.44.1 ip from 10.98.44.84 to any ${FwCMD} add 1102 divert 8672 ip from any to 192.168.1.127 via rl1 ${FwCMD} add 1103 divert 8671 ip from any to 10.98.44.84 via ste0 смотрит в тырнет rl1 смотрит в мою микросеть rl0 смотрит в пчелайн ste0 проблема в следующем 1. с чудорутера бегает нормально во всех направлениях 2. с внутренней локалки намано бегает в нет, но в пчелайн вообще отказывется где я профтыкал с дивертами? Link to post Share on other sites
nightfly 1,259 Posted 2010-09-01 13:26:16 Share Posted 2010-09-01 13:26:16 1. дык для начала ipfw show на тему попадает ли трафик вообще в диверт 2. дальше смотрите tcpdump-ом на обоих исходящих интерфейсах туда ли он после ната отлетает куда предполагалось, если не туда - подправляете форвардом, если туда куда нужно - смотрите п.3. 3. смотрите возвращается ли дивертом в нат обратка и с какого интерфейса. Link to post Share on other sites
kvirtu 315 Posted 2010-09-01 13:30:15 Share Posted 2010-09-01 13:30:15 Пропустил форвард на пчелайнов Link to post Share on other sites
nightfly 1,259 Posted 2010-09-01 13:33:25 Share Posted 2010-09-01 13:33:25 Пропустил форвард на пчелайнов fwd 10.98.44.1 ip from 10.98.44.84 to any а это что? по логике насколько понимаю у него пчелы на диверте 8671 который заворачивается в 10.98.44.84 и должен улетать в сторону пчелиного 10.98.44.1 Link to post Share on other sites
lex.lviv 1 Posted 2010-09-01 20:52:17 Author Share Posted 2010-09-01 20:52:17 1. дык для начала ipfw show на тему попадает ли трафик вообще в диверт 2. дальше смотрите tcpdump-ом на обоих исходящих интерфейсах туда ли он после ната отлетает куда предполагалось, если не туда - подправляете форвардом, если туда куда нужно - смотрите п.3. 3. смотрите возвращается ли дивертом в нат обратка и с какого интерфейса. 00100 3485 178468 allow ip from any to me dst-port 22 via rl0 00101 93997 15117665 allow ip from 172.16.0.1 to any 00101 0 0 allow ip from any to 172.168.0.1 00500 0 0 check-state 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 10211 217 19964 allow icmp from 172.16.0.21 to me 10211 0 0 allow icmp from me to 172.16.0.21 10212 2617 156370 pipe 122 ip from 172.16.0.21 to any via rl0 in 10213 883 44149 pipe 922 ip from any to 172.16.0.21 via rl0 out 10214 0 0 allow ip from 172.16.0.21 to any 10215 883 44149 allow ip from any to 172.16.0.21 65533 22348 2106365 deny ip from table(2) to any 65534 9 4344 deny ip from any to table(2) 65535 4606118 563136507 allow ip from any to any с самого сервера трацерт такой s2# traceroute google.comtraceroute: Warning: google.com has multiple addresses; using 74.125.87.99 traceroute to google.com (74.125.87.99), 64 hops max, 40 byte packets 1 192.168.1.126 (192.168.1.126) 1.031 ms 0.766 ms 0.555 ms 2 core-0-wsx670410GE-4-2-209dot1q.lviv.ucomline.net (93.178.232.177) 22.555 ms 20.294 ms * 3 core-0-wsx670410ge-3-1GE.kiev.ucomline.net (213.130.29.202) 20.859 ms 25.131 ms 18.828 ms 4 topnet-10G-gw.ix.net.ua (195.35.65.34) 18.348 ms 29.478 ms 22.352 ms 5 * * * 6 209.85.241.54 (209.85.241.54) 48.264 ms 59.289 ms 47.001 ms 7 72.14.239.14 (72.14.239.14) 56.465 ms 46.529 ms 51.171 ms 8 209.85.248.39 (209.85.248.39) 46.290 ms 45.994 ms 45.720 ms 9 72.14.232.217 (72.14.232.217) 59.283 ms 72.14.238.105 (72.14.238.105) 55.250 ms 46.512 ms 10 hb-in-f99.1e100.net (74.125.87.99) 47.069 ms 47.721 ms 47.498 ms s2# traceroute berloga.net traceroute to berloga.net (10.1.0.3), 64 hops max, 40 byte packets 1 * * * 2 * * * 3 *^C s2# ping berloga.net PING berloga.net (10.1.0.3): 56 data bytes 64 bytes from 10.1.0.3: icmp_seq=0 ttl=59 time=10.479 ms 64 bytes from 10.1.0.3: icmp_seq=1 ttl=59 time=10.488 ms ^C --- berloga.net ping statistics --- 2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 10.479/10.483/10.488/0.004 ms с внутренней сетки такое безобразие Microsoft Windows XP [Версия 5.1.2600] (С) Корпорация Майкрософт, 1985-2001. E:\Documents and Settings\Администратор>traceroue google.com "traceroue" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. E:\Documents and Settings\Администратор>tracert google.com Трассировка маршрута к google.com [74.125.87.147] с максимальным числом прыжков 30: 1 1 ms <1 мс <1 мс 172.16.0.1 2 3 ms 1 ms * 192.168.1.126 3 18 ms 15 ms 12 ms core-0-wsx670410GE-4-2-209dot1q.lviv.ucomline.ne t [93.178.232.177] 4 21 ms 21 ms 20 ms core-0-wsx670410ge-3-1GE.kiev.ucomline.net [213. 130.29.202] 5 68 ms 20 ms 20 ms topnet-10G-gw.ix.net.ua [195.35.65.34] 6 * * * Превышен интервал ожидания для запроса. 7 48 ms 49 ms 50 ms 209.85.241.54 8 91 ms 50 ms 50 ms 72.14.239.14 9 47 ms 50 ms 50 ms 209.85.248.39 10 48 ms 53 ms 52 ms 72.14.232.217 11 52 ms 57 ms 47 ms hb-in-f147.1e100.net [74.125.87.147] Трассировка завершена. Трассировка маршрута к berloga.net [10.1.0.3] с максимальным числом прыжков 30: 1 2 ms <1 мс <1 мс 172.16.0.1 2 * * * Превышен интервал ожидания для запроса. 3 ^C Обмен пакетами с berloga.net [10.1.0.3] по 32 байт: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 10.1.0.3: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь), те зафтык вижу гдето на самой связке внутренняя сеть-пчелайн.... гдето в нате.... Link to post Share on other sites
lex.lviv 1 Posted 2010-09-01 20:53:31 Author Share Posted 2010-09-01 20:53:31 01099 с етим правило чтото не так видать Link to post Share on other sites
lex.lviv 1 Posted 2010-09-01 20:56:06 Author Share Posted 2010-09-01 20:56:06 Пропустил форвард на пчелайнов вроде форвард есть fwd 10.98.44.1 ip from 10.98.44.84 to any пчелогейт 10.98.44.1 мой пчелоадрес 10.98.44.84 Link to post Share on other sites
nightfly 1,259 Posted 2010-09-02 14:29:36 Share Posted 2010-09-02 14:29:36 ipfw table 2 list ipfw table 10 list ? все правильно - в диверт ничего не попадает, сорц не подменяется никто никуда по форварду не уходит (кстати дефолтраут надеюсь на другой аплинк смотрит?) onepass? Link to post Share on other sites
kvirtu 315 Posted 2010-09-02 17:58:33 Share Posted 2010-09-02 17:58:33 попробуй через статические маршруты, прописываются в rc.conf static_routes="beline" route_beline="-net 10.0.0.0/16 10.98.44.1" попробуй так правило 1099 , к примеру: ${FwCMD} add 1099 divert 8671 ip from 172.16.0.10 to 10.1.0.3 172.16.0.10 - виндовозная машина в сети 10.1.0.3 - берлога Link to post Share on other sites
lex.lviv 1 Posted 2010-09-03 05:01:00 Author Share Posted 2010-09-03 05:01:00 ipfw table 2 list ipfw table 10 list ? все правильно - в диверт ничего не попадает, сорц не подменяется никто никуда по форварду не уходит (кстати дефолтраут надеюсь на другой аплинк смотрит?) onepass? s2# ipfw table 2 list172.16.0.0/24 0 s2# ipfw table 9 list 192.168.0.0/24 0 192.168.1.0/24 0 s2# ipfw table 10 list 10.0.0.0/24 0 s2# ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" ifconfig_rl1="inet 192.168.1.127 netmask 255.255.255.0" ifconfig_rl0="inet 172.16.0.1 netmask 255.255.0.0" defaultrouter="192.168.1.126" onepass static_routes="beline"route_beline="-net 10.0.0.0/16 10.98.44.1" не помогло Link to post Share on other sites
kvirtu 315 Posted 2010-09-03 12:11:59 Share Posted 2010-09-03 12:11:59 ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" - маска сети правильно указана ? может 255.255.255.0 ??? а шлюз полосатых сам будет дальше по подсетям траф разруливать Link to post Share on other sites
lex.lviv 1 Posted 2010-09-03 12:30:33 Author Share Posted 2010-09-03 12:30:33 ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" - маска сети правильно указана ? может 255.255.255.0 ??? а шлюз полосатых сам будет дальше по подсетям траф разруливать так я ету маску потянул с мануалов по конфигам длинкавских рутеров, что у них на сайте висит. утром попробую тогда поменять и посмотреть на результат Link to post Share on other sites
lex.lviv 1 Posted 2010-09-03 17:39:54 Author Share Posted 2010-09-03 17:39:54 кстатии забыл про net.inet.ip.fw.one_pass: 1 Link to post Share on other sites
lex.lviv 1 Posted 2010-09-04 13:32:05 Author Share Posted 2010-09-04 13:32:05 товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи? лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой Link to post Share on other sites
lex.lviv 1 Posted 2010-09-04 13:54:30 Author Share Posted 2010-09-04 13:54:30 может стоит пересобрать ядро с options ROUTETABLES=2 ??? Link to post Share on other sites
kvirtu 315 Posted 2010-09-04 16:39:19 Share Posted 2010-09-04 16:39:19 товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи? лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой смотри второй пост, там даны рекомендации ... А начни с анализа ipfw show - там будет все видно, где затык Link to post Share on other sites
pavlabor 1,977 Posted 2010-09-04 17:28:00 Share Posted 2010-09-04 17:28:00 Наставь счетчиков через правило, пингуй и смотри где затык. ROUTETABLES=2 нужно если у тебя два канала получают сетевые параметры по РРР. И не скромный вопрос - ядро собрано с поддержкой форвардинга? Link to post Share on other sites
lex.lviv 1 Posted 2010-09-05 04:57:27 Author Share Posted 2010-09-05 04:57:27 Наставь счетчиков через правило, пингуй и смотри где затык. И не скромный вопрос - ядро собрано с поддержкой форвардинга? ядро options IPFIREWALL options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options DUMMYNET options IPDIVERT options HZ=1000 options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 со счетчиками сейчас погляну Link to post Share on other sites
lex.lviv 1 Posted 2010-09-05 05:08:01 Author Share Posted 2010-09-05 05:08:01 товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи? лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой смотри второй пост, там даны рекомендации ... А начни с анализа ipfw show - там будет все видно, где затык так зафтык видно на 1099 т.е. не попадает под диверт с таблицы 2 диверт 8671 фром таблица 2 то таблица 10 правила остальне бегают вот тцпдампом поигрался 08:02:00.751423 IP 172.16.0.207 > ll-234.220.162.89.sovam.net.ua: ICMP echo request, id 1, seq 34, length 40 08:02:00.755826 STP 802.1d, Config, Flags [none], bridge-id 0001.00:04:ac:ba:47:af.0a11, length 43 08:02:00.768377 IP 172.16.0.1.ssh > 172.16.0.207.51867: P 25108:26008(900) ack 105 win 8212 08:02:00.770893 IP ll-234.220.162.89.sovam.net.ua > 172.16.0.207: ICMP echo reply, id 1, seq 34, length 40 обрисую суть логики что я испльзовал. может она на корню неправильна. есть три таблицы таблица 9 - живет тут подсеть с основным шлюзом. он там один таблица 2 - собственно локалка таблица 10 - пчеловоды дот как я сделал кидаю в диверт диверт всего с таблицы 2 в таблицу 10 (тута голяк пакетов нет вообще) диверт всего с таблицы 2 в кудаугодно (все гуд, все бегает) форвард с пчелогейта на пчелокарту (и тута тоже пакеты бегают) обратный диверт с откудаугодно в основную карту (и тута) обратный диверт с откудоугодно в пчелокарта (и тута) оноже ипфв показать 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 Link to post Share on other sites
pavlabor 1,977 Posted 2010-09-05 08:32:32 Share Posted 2010-09-05 08:32:32 Нат поднялся? В таблице 2, 10 есть что? Для начала поствь конкретные ип, процдет потом набирай таблицы. И правила точи под конкретные интерфесы, зачем грузить тачку, тем более если локальный трафик там будет жарко. Link to post Share on other sites
lex.lviv 1 Posted 2010-09-05 12:50:27 Author Share Posted 2010-09-05 12:50:27 Нат поднялся? В таблице 2, 10 есть что? Для начала поствь конкретные ип, процдет потом набирай таблицы. И правила точи под конкретные интерфесы, зачем грузить тачку, тем более если локальный трафик там будет жарко. сейчас переделаю... залил в десытую таблицу весь список подсетей с 10,0,0,0/24 по 10,255,255,0\24 результат. пинги ходять. веб и прочий трафик - не хочит. сделал такой конфиг ipfw add 1099 divert 8671 ip from table\(2\) to table\(10\) ipfw add 1100 fwd 10.98.44.1 ip from 10.98.44.84 to table\(10\) ipfw add 1200 divert 8671 ip from any to ste0 ipfw add 1301 divert 8672 ip from table\(2\) to any ipfw add 1503 divert 8672 ip from any to rl1 Link to post Share on other sites
lex.lviv 1 Posted 2010-09-05 13:00:16 Author Share Posted 2010-09-05 13:00:16 вылезла вот такая бяка Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Link to post Share on other sites
pavlabor 1,977 Posted 2010-09-05 13:54:01 Share Posted 2010-09-05 13:54:01 вылезла вот такая бяка Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Судя по етому 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 диверт работает, посмотри tcpdump-ом на интерфейсе. Не исключено что система безопасности пчелайна тебя уже спалила. У нас такие финты регистрируются. Не вали все чтоо не попадя, откатай на одном ип, потому уже гадь, а так бегаеш без трусов... Link to post Share on other sites
lex.lviv 1 Posted 2010-09-05 15:52:37 Author Share Posted 2010-09-05 15:52:37 вылезла вот такая бяка Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Судя по етому 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 диверт работает, посмотри tcpdump-ом на интерфейсе. Не исключено что система безопасности пчелайна тебя уже спалила. У нас такие финты регистрируются. Не вали все чтоо не попадя, откатай на одном ип, потому уже гадь, а так бегаеш без трусов... на текущий момент уже все гуд, ну кроме етой берлоги. Трассировка маршрута к berloga.net [10.1.0.3] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 172.16.0.1 2 4 ms 2 ms 2 ms 10.98.44.1 3 1 ms 1 ms 22 ms 10.35.53.37 4 12 ms 14 ms 18 ms te-0-2-1-0-cr0-co17.lv.sovam.net.ua [85.223.226. 213] 5 10 ms 11 ms 10 ms gi-1-0-2-cr1-co11.kv.sovam.net.ua [85.223.225.57 ] 6 11 ms 11 ms 10 ms te-3-4-cr0-urs.kv.sovam.net.ua [85.223.227.34] 7 11 ms 10 ms 11 ms 10.32.114.1 8 11 ms 11 ms 11 ms 10.32.114.2 9 11 ms 11 ms 11 ms 10.1.0.1 10 11 ms 11 ms 11 ms 10.1.0.3 вот с етим пока не могу разобратся, а так локальная сеть доступна вот опять же етот зафтык. может с нс поигратся C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Статистика Ping для 10.1.0.3: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 11мсек, Максимальное = 11 мсек, Среднее = 11 мсек C:\Users\user>nslookup berloga.net ╤хЁтхЁ: ns.lviv.farlep.net Address: 213.130.16.3 Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 Link to post Share on other sites
pavlabor 1,977 Posted 2010-09-05 16:11:42 Share Posted 2010-09-05 16:11:42 "Не заслуживающий доверия ответ:" Это не сошлась прямая и обратная зона, встроеная логика безопасности ОСи подозреапет на поддельный ип зоны. Похоже косяки с ДНС. Это уже не цацки-пецки. Нужно знать зоны которые у них обслухиваются, и думать, строить псевдозоны, или два намеда городить... Можно поробовать вообще их днс использовать, локалку будет нормально расчихлять. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now