lex.lviv 1 Опубликовано: 2010-09-01 13:19:19 Share Опубликовано: 2010-09-01 13:19:19 доброго времени суток маленький вопросик стоит у меня роутер. билинг считает ... вобщем все гуд. но вот смотрю я по нагрузках - много трафа идет на сети пчелайна... решил я значит протянуть канал... благо свич стоял в соседнем здании. ну в общем для ИПФВ написал такую структуру /sbin/natd -u -p 8671 -a 10.98.44.84/sbin/natd -u -p 8672 -a 192.168.1.127 ... # Networks define ${FwCMD} table 2 add 172.16.0.0/24 мое внутриннее добро ${FwCMD} table 9 add 192.168.0.0/24 внешний диапазон всякой абракадабры тута живет гетевей основного канала ${FwCMD} table 9 add 192.168.1.0/24 ${FwCMD} table 10 add 10.0.0.0/24 пчелайн ... ${FwCMD} add 0500 check-state ${FwCMD} add 1099 divert 8671 ip from table\(2\) to table\(10\) ${FwCMD} add 1100 divert 8672 ip from table\(2\) to any ${FwCMD} add 1101 fwd 10.98.44.1 ip from 10.98.44.84 to any ${FwCMD} add 1102 divert 8672 ip from any to 192.168.1.127 via rl1 ${FwCMD} add 1103 divert 8671 ip from any to 10.98.44.84 via ste0 смотрит в тырнет rl1 смотрит в мою микросеть rl0 смотрит в пчелайн ste0 проблема в следующем 1. с чудорутера бегает нормально во всех направлениях 2. с внутренней локалки намано бегает в нет, но в пчелайн вообще отказывется где я профтыкал с дивертами? Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2010-09-01 13:26:16 Share Опубліковано: 2010-09-01 13:26:16 1. дык для начала ipfw show на тему попадает ли трафик вообще в диверт 2. дальше смотрите tcpdump-ом на обоих исходящих интерфейсах туда ли он после ната отлетает куда предполагалось, если не туда - подправляете форвардом, если туда куда нужно - смотрите п.3. 3. смотрите возвращается ли дивертом в нат обратка и с какого интерфейса. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-09-01 13:30:15 Share Опубліковано: 2010-09-01 13:30:15 Пропустил форвард на пчелайнов Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2010-09-01 13:33:25 Share Опубліковано: 2010-09-01 13:33:25 Пропустил форвард на пчелайнов fwd 10.98.44.1 ip from 10.98.44.84 to any а это что? по логике насколько понимаю у него пчелы на диверте 8671 который заворачивается в 10.98.44.84 и должен улетать в сторону пчелиного 10.98.44.1 Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-01 20:52:17 Автор Share Опубліковано: 2010-09-01 20:52:17 1. дык для начала ipfw show на тему попадает ли трафик вообще в диверт 2. дальше смотрите tcpdump-ом на обоих исходящих интерфейсах туда ли он после ната отлетает куда предполагалось, если не туда - подправляете форвардом, если туда куда нужно - смотрите п.3. 3. смотрите возвращается ли дивертом в нат обратка и с какого интерфейса. 00100 3485 178468 allow ip from any to me dst-port 22 via rl0 00101 93997 15117665 allow ip from 172.16.0.1 to any 00101 0 0 allow ip from any to 172.168.0.1 00500 0 0 check-state 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 10211 217 19964 allow icmp from 172.16.0.21 to me 10211 0 0 allow icmp from me to 172.16.0.21 10212 2617 156370 pipe 122 ip from 172.16.0.21 to any via rl0 in 10213 883 44149 pipe 922 ip from any to 172.16.0.21 via rl0 out 10214 0 0 allow ip from 172.16.0.21 to any 10215 883 44149 allow ip from any to 172.16.0.21 65533 22348 2106365 deny ip from table(2) to any 65534 9 4344 deny ip from any to table(2) 65535 4606118 563136507 allow ip from any to any с самого сервера трацерт такой s2# traceroute google.comtraceroute: Warning: google.com has multiple addresses; using 74.125.87.99 traceroute to google.com (74.125.87.99), 64 hops max, 40 byte packets 1 192.168.1.126 (192.168.1.126) 1.031 ms 0.766 ms 0.555 ms 2 core-0-wsx670410GE-4-2-209dot1q.lviv.ucomline.net (93.178.232.177) 22.555 ms 20.294 ms * 3 core-0-wsx670410ge-3-1GE.kiev.ucomline.net (213.130.29.202) 20.859 ms 25.131 ms 18.828 ms 4 topnet-10G-gw.ix.net.ua (195.35.65.34) 18.348 ms 29.478 ms 22.352 ms 5 * * * 6 209.85.241.54 (209.85.241.54) 48.264 ms 59.289 ms 47.001 ms 7 72.14.239.14 (72.14.239.14) 56.465 ms 46.529 ms 51.171 ms 8 209.85.248.39 (209.85.248.39) 46.290 ms 45.994 ms 45.720 ms 9 72.14.232.217 (72.14.232.217) 59.283 ms 72.14.238.105 (72.14.238.105) 55.250 ms 46.512 ms 10 hb-in-f99.1e100.net (74.125.87.99) 47.069 ms 47.721 ms 47.498 ms s2# traceroute berloga.net traceroute to berloga.net (10.1.0.3), 64 hops max, 40 byte packets 1 * * * 2 * * * 3 *^C s2# ping berloga.net PING berloga.net (10.1.0.3): 56 data bytes 64 bytes from 10.1.0.3: icmp_seq=0 ttl=59 time=10.479 ms 64 bytes from 10.1.0.3: icmp_seq=1 ttl=59 time=10.488 ms ^C --- berloga.net ping statistics --- 2 packets transmitted, 2 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 10.479/10.483/10.488/0.004 ms с внутренней сетки такое безобразие Microsoft Windows XP [Версия 5.1.2600] (С) Корпорация Майкрософт, 1985-2001. E:\Documents and Settings\Администратор>traceroue google.com "traceroue" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. E:\Documents and Settings\Администратор>tracert google.com Трассировка маршрута к google.com [74.125.87.147] с максимальным числом прыжков 30: 1 1 ms <1 мс <1 мс 172.16.0.1 2 3 ms 1 ms * 192.168.1.126 3 18 ms 15 ms 12 ms core-0-wsx670410GE-4-2-209dot1q.lviv.ucomline.ne t [93.178.232.177] 4 21 ms 21 ms 20 ms core-0-wsx670410ge-3-1GE.kiev.ucomline.net [213. 130.29.202] 5 68 ms 20 ms 20 ms topnet-10G-gw.ix.net.ua [195.35.65.34] 6 * * * Превышен интервал ожидания для запроса. 7 48 ms 49 ms 50 ms 209.85.241.54 8 91 ms 50 ms 50 ms 72.14.239.14 9 47 ms 50 ms 50 ms 209.85.248.39 10 48 ms 53 ms 52 ms 72.14.232.217 11 52 ms 57 ms 47 ms hb-in-f147.1e100.net [74.125.87.147] Трассировка завершена. Трассировка маршрута к berloga.net [10.1.0.3] с максимальным числом прыжков 30: 1 2 ms <1 мс <1 мс 172.16.0.1 2 * * * Превышен интервал ожидания для запроса. 3 ^C Обмен пакетами с berloga.net [10.1.0.3] по 32 байт: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 10.1.0.3: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь), те зафтык вижу гдето на самой связке внутренняя сеть-пчелайн.... гдето в нате.... Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-01 20:53:31 Автор Share Опубліковано: 2010-09-01 20:53:31 01099 с етим правило чтото не так видать Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-01 20:56:06 Автор Share Опубліковано: 2010-09-01 20:56:06 Пропустил форвард на пчелайнов вроде форвард есть fwd 10.98.44.1 ip from 10.98.44.84 to any пчелогейт 10.98.44.1 мой пчелоадрес 10.98.44.84 Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2010-09-02 14:29:36 Share Опубліковано: 2010-09-02 14:29:36 ipfw table 2 list ipfw table 10 list ? все правильно - в диверт ничего не попадает, сорц не подменяется никто никуда по форварду не уходит (кстати дефолтраут надеюсь на другой аплинк смотрит?) onepass? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-09-02 17:58:33 Share Опубліковано: 2010-09-02 17:58:33 попробуй через статические маршруты, прописываются в rc.conf static_routes="beline" route_beline="-net 10.0.0.0/16 10.98.44.1" попробуй так правило 1099 , к примеру: ${FwCMD} add 1099 divert 8671 ip from 172.16.0.10 to 10.1.0.3 172.16.0.10 - виндовозная машина в сети 10.1.0.3 - берлога Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-03 05:01:00 Автор Share Опубліковано: 2010-09-03 05:01:00 ipfw table 2 list ipfw table 10 list ? все правильно - в диверт ничего не попадает, сорц не подменяется никто никуда по форварду не уходит (кстати дефолтраут надеюсь на другой аплинк смотрит?) onepass? s2# ipfw table 2 list172.16.0.0/24 0 s2# ipfw table 9 list 192.168.0.0/24 0 192.168.1.0/24 0 s2# ipfw table 10 list 10.0.0.0/24 0 s2# ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" ifconfig_rl1="inet 192.168.1.127 netmask 255.255.255.0" ifconfig_rl0="inet 172.16.0.1 netmask 255.255.0.0" defaultrouter="192.168.1.126" onepass static_routes="beline"route_beline="-net 10.0.0.0/16 10.98.44.1" не помогло Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-09-03 12:11:59 Share Опубліковано: 2010-09-03 12:11:59 ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" - маска сети правильно указана ? может 255.255.255.0 ??? а шлюз полосатых сам будет дальше по подсетям траф разруливать Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-03 12:30:33 Автор Share Опубліковано: 2010-09-03 12:30:33 ifconfig_ste0="inet 10.94.44.84 netmask 255.0.0.0" - маска сети правильно указана ? может 255.255.255.0 ??? а шлюз полосатых сам будет дальше по подсетям траф разруливать так я ету маску потянул с мануалов по конфигам длинкавских рутеров, что у них на сайте висит. утром попробую тогда поменять и посмотреть на результат Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-03 17:39:54 Автор Share Опубліковано: 2010-09-03 17:39:54 кстатии забыл про net.inet.ip.fw.one_pass: 1 Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-04 13:32:05 Автор Share Опубліковано: 2010-09-04 13:32:05 товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи? лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-04 13:54:30 Автор Share Опубліковано: 2010-09-04 13:54:30 может стоит пересобрать ядро с options ROUTETABLES=2 ??? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2010-09-04 16:39:19 Share Опубліковано: 2010-09-04 16:39:19 товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи? лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой смотри второй пост, там даны рекомендации ... А начни с анализа ipfw show - там будет все видно, где затык Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-04 17:28:00 Share Опубліковано: 2010-09-04 17:28:00 Наставь счетчиков через правило, пингуй и смотри где затык. ROUTETABLES=2 нужно если у тебя два канала получают сетевые параметры по РРР. И не скромный вопрос - ядро собрано с поддержкой форвардинга? Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-05 04:57:27 Автор Share Опубліковано: 2010-09-05 04:57:27 Наставь счетчиков через правило, пингуй и смотри где затык. И не скромный вопрос - ядро собрано с поддержкой форвардинга? ядро options IPFIREWALL options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_FORWARD options DUMMYNET options IPDIVERT options HZ=1000 options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=100 со счетчиками сейчас погляну Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-05 05:08:01 Автор Share Опубліковано: 2010-09-05 05:08:01 товарищи. перепробовал все ваши советы - полный зафтык. может есть еще идеи? лениво мне все разруливать маршрутизаторами. хочу все сделать одной шелесякой смотри второй пост, там даны рекомендации ... А начни с анализа ipfw show - там будет все видно, где затык так зафтык видно на 1099 т.е. не попадает под диверт с таблицы 2 диверт 8671 фром таблица 2 то таблица 10 правила остальне бегают вот тцпдампом поигрался 08:02:00.751423 IP 172.16.0.207 > ll-234.220.162.89.sovam.net.ua: ICMP echo request, id 1, seq 34, length 40 08:02:00.755826 STP 802.1d, Config, Flags [none], bridge-id 0001.00:04:ac:ba:47:af.0a11, length 43 08:02:00.768377 IP 172.16.0.1.ssh > 172.16.0.207.51867: P 25108:26008(900) ack 105 win 8212 08:02:00.770893 IP ll-234.220.162.89.sovam.net.ua > 172.16.0.207: ICMP echo reply, id 1, seq 34, length 40 обрисую суть логики что я испльзовал. может она на корню неправильна. есть три таблицы таблица 9 - живет тут подсеть с основным шлюзом. он там один таблица 2 - собственно локалка таблица 10 - пчеловоды дот как я сделал кидаю в диверт диверт всего с таблицы 2 в таблицу 10 (тута голяк пакетов нет вообще) диверт всего с таблицы 2 в кудаугодно (все гуд, все бегает) форвард с пчелогейта на пчелокарту (и тута тоже пакеты бегают) обратный диверт с откудаугодно в основную карту (и тута) обратный диверт с откудоугодно в пчелокарта (и тута) оноже ипфв показать 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-05 08:32:32 Share Опубліковано: 2010-09-05 08:32:32 Нат поднялся? В таблице 2, 10 есть что? Для начала поствь конкретные ип, процдет потом набирай таблицы. И правила точи под конкретные интерфесы, зачем грузить тачку, тем более если локальный трафик там будет жарко. Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-05 12:50:27 Автор Share Опубліковано: 2010-09-05 12:50:27 Нат поднялся? В таблице 2, 10 есть что? Для начала поствь конкретные ип, процдет потом набирай таблицы. И правила точи под конкретные интерфесы, зачем грузить тачку, тем более если локальный трафик там будет жарко. сейчас переделаю... залил в десытую таблицу весь список подсетей с 10,0,0,0/24 по 10,255,255,0\24 результат. пинги ходять. веб и прочий трафик - не хочит. сделал такой конфиг ipfw add 1099 divert 8671 ip from table\(2\) to table\(10\) ipfw add 1100 fwd 10.98.44.1 ip from 10.98.44.84 to table\(10\) ipfw add 1200 divert 8671 ip from any to ste0 ipfw add 1301 divert 8672 ip from table\(2\) to any ipfw add 1503 divert 8672 ip from any to rl1 Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-05 13:00:16 Автор Share Опубліковано: 2010-09-05 13:00:16 вылезла вот такая бяка Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-05 13:54:01 Share Опубліковано: 2010-09-05 13:54:01 вылезла вот такая бяка Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Судя по етому 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 диверт работает, посмотри tcpdump-ом на интерфейсе. Не исключено что система безопасности пчелайна тебя уже спалила. У нас такие финты регистрируются. Не вали все чтоо не попадя, откатай на одном ип, потому уже гадь, а так бегаеш без трусов... Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-05 15:52:37 Автор Share Опубліковано: 2010-09-05 15:52:37 вылезла вот такая бяка Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Судя по етому 01099 0 0 divert 8671 ip from table(2) to table(10) 01100 9118131 1111849382 divert 8672 ip from table(2) to any 01101 6196 450487 fwd 10.98.44.1 ip from 10.98.44.84 to any 01102 6635175 7418718461 divert 8672 ip from any to 192.168.1.127 via rl1 01103 5660 1342860 divert 8671 ip from any to 10.98.44.84 via ste0 диверт работает, посмотри tcpdump-ом на интерфейсе. Не исключено что система безопасности пчелайна тебя уже спалила. У нас такие финты регистрируются. Не вали все чтоо не попадя, откатай на одном ип, потому уже гадь, а так бегаеш без трусов... на текущий момент уже все гуд, ну кроме етой берлоги. Трассировка маршрута к berloga.net [10.1.0.3] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 172.16.0.1 2 4 ms 2 ms 2 ms 10.98.44.1 3 1 ms 1 ms 22 ms 10.35.53.37 4 12 ms 14 ms 18 ms te-0-2-1-0-cr0-co17.lv.sovam.net.ua [85.223.226. 213] 5 10 ms 11 ms 10 ms gi-1-0-2-cr1-co11.kv.sovam.net.ua [85.223.225.57 ] 6 11 ms 11 ms 10 ms te-3-4-cr0-urs.kv.sovam.net.ua [85.223.227.34] 7 11 ms 10 ms 11 ms 10.32.114.1 8 11 ms 11 ms 11 ms 10.32.114.2 9 11 ms 11 ms 11 ms 10.1.0.1 10 11 ms 11 ms 11 ms 10.1.0.3 вот с етим пока не могу разобратся, а так локальная сеть доступна вот опять же етот зафтык. может с нс поигратся C:\Users\user>ping berloga.net Обмен пакетами с berloga.net [10.1.0.3] с 32 байтами данных: Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Ответ от 10.1.0.3: число байт=32 время=11мс TTL=58 Статистика Ping для 10.1.0.3: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 11мсек, Максимальное = 11 мсек, Среднее = 11 мсек C:\Users\user>nslookup berloga.net ╤хЁтхЁ: ns.lviv.farlep.net Address: 213.130.16.3 Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-05 16:11:42 Share Опубліковано: 2010-09-05 16:11:42 "Не заслуживающий доверия ответ:" Это не сошлась прямая и обратная зона, встроеная логика безопасности ОСи подозреапет на поддельный ип зоны. Похоже косяки с ДНС. Это уже не цацки-пецки. Нужно знать зоны которые у них обслухиваются, и думать, строить псевдозоны, или два намеда городить... Можно поробовать вообще их днс использовать, локалку будет нормально расчихлять. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас