Перейти до

вопрос по IPFW


Рекомендованные сообщения

доброго времени суток

 

маленький вопросик

стоит у меня роутер. билинг считает ... вобщем все гуд.

 

но вот смотрю я по нагрузках - много трафа идет на сети пчелайна...

решил я значит протянуть канал... благо свич стоял в соседнем здании.

 

ну в общем для ИПФВ написал такую структуру

 

 

/sbin/natd -u -p 8671 -a 10.98.44.84

/sbin/natd -u -p 8672 -a 192.168.1.127

 

...

 

# Networks define

${FwCMD} table 2 add 172.16.0.0/24 мое внутриннее добро

${FwCMD} table 9 add 192.168.0.0/24 внешний диапазон всякой абракадабры тута живет гетевей основного канала

${FwCMD} table 9 add 192.168.1.0/24

${FwCMD} table 10 add 10.0.0.0/24 пчелайн

 

...

 

${FwCMD} add 0500 check-state

 

${FwCMD} add 1099 divert 8671 ip from table\(2\) to table\(10\)

${FwCMD} add 1100 divert 8672 ip from table\(2\) to any

${FwCMD} add 1101 fwd 10.98.44.1 ip from 10.98.44.84 to any

${FwCMD} add 1102 divert 8672 ip from any to 192.168.1.127 via rl1

${FwCMD} add 1103 divert 8671 ip from any to 10.98.44.84 via ste0

 

смотрит в тырнет rl1

смотрит в мою микросеть rl0

смотрит в пчелайн ste0

 

 

проблема в следующем

1. с чудорутера бегает нормально во всех направлениях

2. с внутренней локалки намано бегает в нет, но в пчелайн вообще отказывется

 

 

где я профтыкал с дивертами?

Ссылка на сообщение
Поделиться на других сайтах

1. дык для начала ipfw show на тему попадает ли трафик вообще в диверт

2. дальше смотрите tcpdump-ом на обоих исходящих интерфейсах туда ли он после ната отлетает куда предполагалось, если не туда - подправляете форвардом, если туда куда нужно - смотрите п.3.

3. смотрите возвращается ли дивертом в нат обратка и с какого интерфейса.

Ссылка на сообщение
Поделиться на других сайтах
Пропустил форвард на пчелайнов
fwd 10.98.44.1 ip from 10.98.44.84 to any
а это что?

 

по логике насколько понимаю у него пчелы на диверте 8671 который заворачивается в 10.98.44.84 и должен улетать в сторону пчелиного 10.98.44.1

Ссылка на сообщение
Поделиться на других сайтах

1. дык для начала ipfw show на тему попадает ли трафик вообще в диверт

2. дальше смотрите tcpdump-ом на обоих исходящих интерфейсах туда ли он после ната отлетает куда предполагалось, если не туда - подправляете форвардом, если туда куда нужно - смотрите п.3.

3. смотрите возвращается ли дивертом в нат обратка и с какого интерфейса.

00100 3485 178468 allow ip from any to me dst-port 22 via rl0

00101 93997 15117665 allow ip from 172.16.0.1 to any

00101 0 0 allow ip from any to 172.168.0.1

00500 0 0 check-state

01099 0 0 divert 8671 ip from table(2) to table(10)

01100 9118131 1111849382 divert 8672 ip from table(2) to any

01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any

01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1

01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0

 

 

 

10211 217 19964 allow icmp from 172.16.0.21 to me

10211 0 0 allow icmp from me to 172.16.0.21

10212 2617 156370 pipe 122 ip from 172.16.0.21 to any via rl0 in

10213 883 44149 pipe 922 ip from any to 172.16.0.21 via rl0 out

10214 0 0 allow ip from 172.16.0.21 to any

10215 883 44149 allow ip from any to 172.16.0.21

65533 22348 2106365 deny ip from table(2) to any

65534 9 4344 deny ip from any to table(2)

65535 4606118 563136507 allow ip from any to any

 

с самого сервера трацерт такой

 

s2# traceroute google.com

traceroute: Warning: google.com has multiple addresses; using 74.125.87.99

traceroute to google.com (74.125.87.99), 64 hops max, 40 byte packets

1 192.168.1.126 (192.168.1.126) 1.031 ms 0.766 ms 0.555 ms

 

2 core-0-wsx670410GE-4-2-209dot1q.lviv.ucomline.net (93.178.232.177) 22.555 ms 20.294 ms *

3 core-0-wsx670410ge-3-1GE.kiev.ucomline.net (213.130.29.202) 20.859 ms 25.131 ms 18.828 ms

4 topnet-10G-gw.ix.net.ua (195.35.65.34) 18.348 ms 29.478 ms 22.352 ms

5 * * *

6 209.85.241.54 (209.85.241.54) 48.264 ms 59.289 ms 47.001 ms

7 72.14.239.14 (72.14.239.14) 56.465 ms 46.529 ms 51.171 ms

8 209.85.248.39 (209.85.248.39) 46.290 ms 45.994 ms 45.720 ms

9 72.14.232.217 (72.14.232.217) 59.283 ms

72.14.238.105 (72.14.238.105) 55.250 ms 46.512 ms

10 hb-in-f99.1e100.net (74.125.87.99) 47.069 ms 47.721 ms 47.498 ms

 

s2# traceroute berloga.net

traceroute to berloga.net (10.1.0.3), 64 hops max, 40 byte packets

1 * * *

2 * * *

3 *^C

s2# ping berloga.net

PING berloga.net (10.1.0.3): 56 data bytes

64 bytes from 10.1.0.3: icmp_seq=0 ttl=59 time=10.479 ms

64 bytes from 10.1.0.3: icmp_seq=1 ttl=59 time=10.488 ms

^C

--- berloga.net ping statistics ---

2 packets transmitted, 2 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 10.479/10.483/10.488/0.004 ms

 

с внутренней сетки такое безобразие

 

Microsoft Windows XP [Версия 5.1.2600]

(С) Корпорация Майкрософт, 1985-2001.

 

E:\Documents and Settings\Администратор>traceroue google.com

"traceroue" не является внутренней или внешней

командой, исполняемой программой или пакетным файлом.

 

E:\Documents and Settings\Администратор>tracert google.com

 

Трассировка маршрута к google.com [74.125.87.147]

с максимальным числом прыжков 30:

 

1 1 ms <1 мс <1 мс 172.16.0.1

2 3 ms 1 ms * 192.168.1.126

3 18 ms 15 ms 12 ms core-0-wsx670410GE-4-2-209dot1q.lviv.ucomline.ne

t [93.178.232.177]

4 21 ms 21 ms 20 ms core-0-wsx670410ge-3-1GE.kiev.ucomline.net [213.

130.29.202]

5 68 ms 20 ms 20 ms topnet-10G-gw.ix.net.ua [195.35.65.34]

6 * * * Превышен интервал ожидания для запроса.

7 48 ms 49 ms 50 ms 209.85.241.54

8 91 ms 50 ms 50 ms 72.14.239.14

9 47 ms 50 ms 50 ms 209.85.248.39

10 48 ms 53 ms 52 ms 72.14.232.217

11 52 ms 57 ms 47 ms hb-in-f147.1e100.net [74.125.87.147]

 

Трассировка завершена.

 

 

 

Трассировка маршрута к berloga.net [10.1.0.3]

с максимальным числом прыжков 30:

 

1 2 ms <1 мс <1 мс 172.16.0.1

2 * * * Превышен интервал ожидания для запроса.

3 ^C

 

Обмен пакетами с berloga.net [10.1.0.3] по 32 байт:

 

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

Превышен интервал ожидания для запроса.

 

Статистика Ping для 10.1.0.3:

Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

 

 

 

 

те зафтык вижу гдето на самой связке внутренняя сеть-пчелайн....

гдето в нате....

Ссылка на сообщение
Поделиться на других сайтах

01099 с етим правило чтото не так видать

Ссылка на сообщение
Поделиться на других сайтах

Пропустил форвард на пчелайнов

вроде форвард есть

 

fwd 10.98.44.1 ip from 10.98.44.84 to any

 

пчелогейт 10.98.44.1

 

мой пчелоадрес 10.98.44.84

Ссылка на сообщение
Поделиться на других сайтах

ipfw table 2 list

ipfw table 10 list

 

?

 

все правильно - в диверт ничего не попадает, сорц не подменяется никто никуда по форварду не уходит (кстати дефолтраут надеюсь на другой аплинк смотрит?) onepass?

Ссылка на сообщение
Поделиться на других сайтах

попробуй через статические маршруты, прописываются в rc.conf

static_routes="beline"

route_beline="-net 10.0.0.0/16 10.98.44.1"

 

попробуй так правило 1099 , к примеру:

${FwCMD} add 1099 divert 8671 ip from 172.16.0.10 to 10.1.0.3

172.16.0.10 - виндовозная машина в сети

10.1.0.3 - берлога

Ссылка на сообщение
Поделиться на других сайтах

ipfw table 2 list

ipfw table 10 list

 

?

 

все правильно - в диверт ничего не попадает, сорц не подменяется никто никуда по форварду не уходит (кстати дефолтраут надеюсь на другой аплинк смотрит?) onepass?

 

s2# ipfw table 2 list

172.16.0.0/24 0

s2# ipfw table 9 list

192.168.0.0/24 0

192.168.1.0/24 0

s2# ipfw table 10 list

10.0.0.0/24 0

s2#

ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0"

ifconfig_rl1="inet 192.168.1.127 netmask 255.255.255.0"

ifconfig_rl0="inet 172.16.0.1 netmask 255.255.0.0"

defaultrouter="192.168.1.126"

onepass

 

static_routes="beline"

route_beline="-net 10.0.0.0/16 10.98.44.1"

не помогло

Ссылка на сообщение
Поделиться на других сайтах

ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" - маска сети правильно указана ?

может 255.255.255.0 ??? а шлюз полосатых сам будет дальше по подсетям траф разруливать

Ссылка на сообщение
Поделиться на других сайтах

ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" - маска сети правильно указана ?

может 255.255.255.0 ??? а шлюз полосатых сам будет дальше по подсетям траф разруливать

так я ету маску потянул с мануалов по конфигам длинкавских рутеров, что у них на сайте висит.

 

 

утром попробую тогда поменять и посмотреть на результат

Ссылка на сообщение
Поделиться на других сайтах

товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи?

лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой

Ссылка на сообщение
Поделиться на других сайтах

может стоит пересобрать ядро с options ROUTETABLES=2

???

Ссылка на сообщение
Поделиться на других сайтах

товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи?

лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой

смотри второй пост, там даны рекомендации ...

А начни с анализа ipfw show - там будет все видно, где затык

Ссылка на сообщение
Поделиться на других сайтах

Наставь счетчиков через правило, пингуй и смотри где затык.

 

ROUTETABLES=2

нужно если у тебя два канала получают сетевые параметры по РРР.

 

 

И не скромный вопрос - ядро собрано с поддержкой форвардинга?

Ссылка на сообщение
Поделиться на других сайтах

Наставь счетчиков через правило, пингуй и смотри где затык.

 

 

И не скромный вопрос - ядро собрано с поддержкой форвардинга?

 

 

ядро

 

 

 

options IPFIREWALL

options IPFIREWALL_DEFAULT_TO_ACCEPT

options IPFIREWALL_FORWARD

options DUMMYNET

options IPDIVERT

options HZ=1000

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=100

 

 

 

со счетчиками сейчас погляну

Ссылка на сообщение
Поделиться на других сайтах

товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи?

лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой

смотри второй пост, там даны рекомендации ...

А начни с анализа ipfw show - там будет все видно, где затык

 

 

так зафтык видно на 1099 т.е. не попадает под диверт с таблицы 2

диверт 8671 фром таблица 2 то таблица 10

правила остальне бегают

 

 

вот тцпдампом поигрался

08:02:00.751423 IP 172.16.0.207 > ll-234.220.162.89.sovam.net.ua: ICMP echo request, id 1, seq 34, length 40

08:02:00.755826 STP 802.1d, Config, Flags [none], bridge-id 0001.00:04:ac:ba:47:af.0a11, length 43

08:02:00.768377 IP 172.16.0.1.ssh > 172.16.0.207.51867: P 25108:26008(900) ack 105 win 8212

08:02:00.770893 IP ll-234.220.162.89.sovam.net.ua > 172.16.0.207: ICMP echo reply, id 1, seq 34, length 40

 

 

 

обрисую суть логики что я испльзовал. может она на корню неправильна.

есть три таблицы

таблица 9 - живет тут подсеть с основным шлюзом. он там один

таблица 2 - собственно локалка

таблица 10 - пчеловоды

 

 

дот как я сделал

кидаю в диверт

диверт всего с таблицы 2 в таблицу 10 (тута голяк пакетов нет вообще)

диверт всего с таблицы 2 в кудаугодно (все гуд, все бегает)

форвард с пчелогейта на пчелокарту (и тута тоже пакеты бегают)

обратный диверт с откудаугодно в основную карту (и тута)

обратный диверт с откудоугодно в пчелокарта (и тута)

 

оноже ипфв показать

01099 0 0 divert 8671 ip from table(2) to table(10)

01100 9118131 1111849382 divert 8672 ip from table(2) to any

01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any

01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1

01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0

Ссылка на сообщение
Поделиться на других сайтах

Нат поднялся?

В таблице 2, 10 есть что?

Для начала поствь конкретные ип, процдет потом набирай таблицы.

 

И правила точи под конкретные интерфесы, зачем грузить тачку, тем более если локальный трафик там будет жарко.

Ссылка на сообщение
Поделиться на других сайтах

Нат поднялся?

В таблице 2, 10 есть что?

Для начала поствь конкретные ип, процдет потом набирай таблицы.

 

И правила точи под конкретные интерфесы, зачем грузить тачку, тем более если локальный трафик там будет жарко.

сейчас переделаю...

залил в десытую таблицу весь список подсетей с 10,0,0,0/24 по 10,255,255,0\24

результат. пинги ходять. веб и прочий трафик - не хочит. сделал такой конфиг

ipfw add 1099 divert 8671 ip from table\(2\) to table\(10\)

ipfw add 1100 fwd 10.98.44.1 ip from 10.98.44.84 to table\(10\)

ipfw add 1200 divert 8671 ip from any to ste0

 

ipfw add 1301 divert 8672 ip from table\(2\) to any

ipfw add 1503 divert 8672 ip from any to rl1

Ссылка на сообщение
Поделиться на других сайтах

вылезла вот такая бяка

Не заслуживающий доверия ответ:

╚ь : berloga.net

Address: 89.162.220.234

 

 

C:\Users\user>ping berloga.net

 

Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных:

Ссылка на сообщение
Поделиться на других сайтах

вылезла вот такая бяка

Не заслуживающий доверия ответ:

╚ь : berloga.net

Address: 89.162.220.234

 

 

C:\Users\user>ping berloga.net

 

Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных:

 

Судя по етому

01099 0 0 divert 8671 ip from table(2) to table(10)

01100 9118131 1111849382 divert 8672 ip from table(2) to any

01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any

01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1

01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0

 

диверт работает, посмотри tcpdump-ом на интерфейсе.

 

Не исключено что система безопасности пчелайна тебя уже спалила.

У нас такие финты регистрируются.

 

Не вали все чтоо не попадя,

откатай на одном ип, потому уже гадь, а так бегаеш без трусов...

Ссылка на сообщение
Поделиться на других сайтах

вылезла вот такая бяка

Не заслуживающий доверия ответ:

╚ь : berloga.net

Address: 89.162.220.234

 

 

C:\Users\user>ping berloga.net

 

Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных:

 

Судя по етому

01099 0 0 divert 8671 ip from table(2) to table(10)

01100 9118131 1111849382 divert 8672 ip from table(2) to any

01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any

01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1

01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0

 

диверт работает, посмотри tcpdump-ом на интерфейсе.

 

Не исключено что система безопасности пчелайна тебя уже спалила.

У нас такие финты регистрируются.

 

Не вали все чтоо не попадя,

откатай на одном ип, потому уже гадь, а так бегаеш без трусов...

на текущий момент уже все гуд, ну кроме етой берлоги.

 

Трассировка маршрута к berloga.net [10.1.0.3]

с максимальным числом прыжков 30:

 

1 <1 мс <1 мс <1 мс 172.16.0.1

2 4 ms 2 ms 2 ms 10.98.44.1

3 1 ms 1 ms 22 ms 10.35.53.37

4 12 ms 14 ms 18 ms te-0-2-1-0-cr0-co17.lv.sovam.net.ua [85.223.226.

213]

5 10 ms 11 ms 10 ms gi-1-0-2-cr1-co11.kv.sovam.net.ua [85.223.225.57

]

6 11 ms 11 ms 10 ms te-3-4-cr0-urs.kv.sovam.net.ua [85.223.227.34]

7 11 ms 10 ms 11 ms 10.32.114.1

8 11 ms 11 ms 11 ms 10.32.114.2

9 11 ms 11 ms 11 ms 10.1.0.1

10 11 ms 11 ms 11 ms 10.1.0.3

 

 

 

вот с етим пока не могу разобратся, а так локальная сеть доступна

 

вот опять же етот зафтык. может с нс поигратся

C:\Users\user>ping berloga.net

 

Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных:

Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58

Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58

Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58

Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58

 

Статистика Ping для 10.1.0.3:

Пакетов: отправлено = 4, получено = 4, потеряно = 0

(0% потерь)

Приблизительное время приема-передачи в мс:

Минимальное = 11мсек, Максимальное = 11 мсек, Среднее = 11 мсек

 

C:\Users\user>nslookup berloga.net

╤хЁтхЁ: ns.lviv.farlep.net

Address: 213.130.16.3

 

Не заслуживающий доверия ответ:

╚ь : berloga.net

Address: 89.162.220.234

Ссылка на сообщение
Поделиться на других сайтах

"Не заслуживающий доверия ответ:"

Это не сошлась прямая и обратная зона,

встроеная логика безопасности ОСи подозреапет на поддельный ип зоны.

 

Похоже косяки с ДНС.

Это уже не цацки-пецки.

 

Нужно знать зоны которые у них обслухиваются,

и думать, строить псевдозоны, или два намеда городить...

 

Можно поробовать вообще их днс использовать,

локалку будет нормально расчихлять.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...