вопрос по IPFW

[lex.lviv 1]

"Не заслуживающий доверия ответ:"

Это не сошлась прямая и обратная зона.

 

Похоже косяки с ДНС.

Это уже не цацки-пецки.

 

Нужно знать зоны которые у них обслухиваются,

и думать, строить псевдозоны, или два намеда городить...

 

Можно поробовать вообще их днс использовать,

локалку будет нормально расчихлять.

 

 

прописал нс и пчеловода и основного канала

 

вот что с рутера получается

 

s2# nslookup berloga.net

Server: 10.10.12.3

Address: 10.10.12.3#53

 

Name: berloga.net

Address: 10.1.0.3

 

s2#

 

а вот с локалки

 

C:\Users\user>nslookup berloga.net

╤хЁтхЁ: ns.lviv.farlep.net

Address: 213.130.16.3

 

Не заслуживающий доверия ответ:

╚ь : berloga.net

Address: 89.162.220.234

 

 

 

 

теперь думаю собака зарыта с порядком неймсерверов.... ??????????????

 

 

 

решил просто дописать....

в намеде

 

<------>forwarders {

<------><------>10.10.12.3;212.109.32.5;127.0.0.1;192.168.1.126;213.130.16.3;213.130.16.20;;

<------>};

 

вот выделив днс пчеловодов. поставил первым в списке. сейчас гляну что выйдет

так оставляю пост. нс заглючил... шас буду рестартить рутер

[pavlabor 1 914]

Разницы нет в каком прядке.

Запросы ДНС идут по UDP протоколу, всем кого ты указал в списке,

Ответ принимается того, кто ответил первым, остальные ответы игнорируются.

Отсюда или задержки должни быть меньша на пасеку,

или удаляй остальное.

Потому что будет работать не стабильно.

 

И вообще, зачем столько нсов, чтобы лишний флуд гулял в сетке?

Если вирусняк подимится, то он тебе положит днс,

вирус будет сканить компы, а те будут дергать днс на предмет прямой и обратной зоны.

Чем активней сканер, тем больше флуд.

[lex.lviv 1]

оставил нс пчеловодов только. но лаги троха остались.... сейчас перегружу все и посмотрю результат

[lex.lviv 1]

с внутренней сети доступа к пчеловоду нет(пишг и трейс идут, порт 80 видать закрыт)

или ето их чудозащита или????

 

 

вобщем. траф как бежал через основной так и бежит..... только берлога вообще браузерами не открывается

[pavlabor 1 914]

Возможно еще работает ттл записи(время жизни записи),

пока запись не устареет потки будут ходить как попало,

обычно устаканивается в течении суток.

 

Защиты строятся по ип, если нормально натит, форфардит,

по 80 порту, все должно работать,

гдето косяки или же опят не исчерпалось время жизни записи.

[lex.lviv 1]

вобщем проброс пашит. все кагбы нормально.

 

но локальных ресурсов роботает только половина.

 

 

та же самая берлога не открывается через хттп (80) хотя трейс и пинги идут намана

не могу понять в чем кака

 

сейчас оставил такой облегченный вариант фаервола

 

s2# nslookup berloga.net

Server: 10.10.12.3

Address: 10.10.12.3#53

 

Name: berloga.net

Address: 10.1.0.3

 

s2#

s2# ipfw show;

00010 0 0 deny ip from any to me dst-port 5555 via rl1

00011 0 0 deny ip from any to me dst-port 22 via rl1

00012 0 0 deny ip from any to me dst-port 80 via rl1

00013 0 0 deny ip from any to me dst-port 5555 via ste0

00014 0 0 deny ip from any to me dst-port 22 via ste0

00015 0 0 deny ip from any to me dst-port 80 via rl1

00016 0 0 deny ip from any to me dst-port 21 via ste0

00099 628 54332 allow ip from any to me dst-port 5555 via rl0

00100 4655 274268 allow ip from any to me dst-port 22 via rl0

00101 16796 2340660 allow ip from 172.16.0.1 to any

00101 0 0 allow ip from any to 172.168.0.1

00500 0 0 check-state

01099 1043 89024 divert 8671 ip from table(2) to table(10)

01100 1136 89010 fwd 10.98.44.1 ip from 10.98.44.84 to table(10)

01200 1134 589842 divert 8671 ip from any to 10.98.44.84 via ste0

01301 335707 27776417 divert 8672 ip from table(2) to any

01503 257355 333261928 divert 8672 ip from any to 192.168.1.127 via rl1

[lex.lviv 1]

Доброго времечка. проблема впринцыпе была решена еще на странице 1....

пчеловоды кокогото непонятного блокируют *80 порт на 70 % локальных ресурсов....

подумав - откинул я сей вариант, потому как мониторинг показал, что на локалку ихней сети ходит меньше 10кбс постоянно

 

 

 

 

 

еще один вопрос появился.

 

смотрел у меня в локалку интерфейс один.... 172,16,0,1

попалась в руки мне машина помочнее(чтото типа тоже с мусорки.... но.... серверная система)

 

перенастроил конфиги. все побежало.

 

появилась идея навесить на ету же таратайку и локальные ресурсы - файлопомойку

 

тыканул другую сетевуху - и нифига добится не могу... метод проб и ошибок не помогает

может ктото посоветует.... (пробовал даже сетфибом игратся, только мануалы в руки попадались кривые..... если думаю не в том направлении - подскажите)

 

 

итого локальная дыра 172,16,0,1 тута ходят в нет

локальная файлопомоечная дыра 172,16,0,2

 

конфиги всего такиеже

 

 

весьма благодарен з внимание

[lex.lviv 1]

допишу, что на 172***1 живет отдельный сайтец для сетки

а на 172,16,0,2 отдельный форум для файлопомойки

 

все какбы пашит........

 

но когда начинаю делать покач с 172,16,0,2\чтонибуть то все валит через 172,16,0,1

[pavlabor 1 914]

А зачем там еще одна сетевушка, алиесов не хватает?

покажи ifcofig и rc.conf

[lex.lviv 1]

s1# ifconfig

sf0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в нет

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:8d

inet 192.168.1.140 netmask 0xffffff00 broadcast 192.168.1.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

sf1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 битая карта

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:8e

media: Ethernet autoselect (none)

status: no carrier

sf2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в сеть

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:8f

inet 172.16.0.1 netmask 0xffff0000 broadcast 172.16.255.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

sf3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 вторая карта для разгрузки линка на СФ2

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:90

inet 172.16.0.2 netmask 0xffff0000 broadcast 172.16.255.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 еще один ананизм, что ихфункционирен. смотрит вообще в другое облако..... тута висат мои сайты.... и зони для сего безобразия....

ether 00:00:21:d5:1e:d4

inet 192.168.0.125 netmask 0xffffff00 broadcast 192.168.0.255

media: Ethernet autoselect (10baseT/UTP)

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384

inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6

inet6 ::1 prefixlen 128

inet 127.0.0.1 netmask 0xff000000

s1#

 

 

sendmail_enable="NONE"

keymap="ua.koi8-u"

ifconfig_sf0="inet 192.168.1.140 netmask 255.255.255.0" тута бегает форвард.... ниже видно чего

#ifconfig_sf1="inet 10.98.44.84 netmask 255.0.0.0" совсем дохлая карта

ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0"

ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0"

ifconfig_ed0="inet 192.168.0.125 netmask 255.255.255.0"собственно дырка для сайтов.... висит на другой ипе. отдельный канал

defaultrouter="192.168.0.128"основной роут под ето. не хотел натить на етом интерфейса

hostname="s1"

 

sshd_enable="YES"

named_enable="YES"

mysql_enable="YES"

httpd_enable="YES"

 

gateway_enable="YES"

firewall_enable="YES"

firewall_script="/etc/firewall.conf"

natd_enable="YES"

natd2_enable="YES"

natd_interface="sf0"

natd2_interface="ed0"включил но не использую в фаерволе. чисто про запас пока

 

inetd_enable="YES"для фтп запустил, чтоб посже поставить нормальны профтп

 

dhcpd_enable="YES"

dhcpd_flags="-q"

dhcpd_conf="/etc/dhcpd.conf"

dhcpd_ifaces="sf2"

[lex.lviv 1]

А зачем там еще одна сетевушка, алиесов не хватает?

хочу чтоб дыра в нет имела свой свободный чисто нет канал

, а локальные ресурсы(файлопомойка) свой.... бывают же извращенцы которые все забивают на максимум

с алиасом конечно проще будет.

 

 

пс. еще поднял для етого 2 отдельные таблицы маршрутизации. но пока не использовал, все бегает только на основной

[lex.lviv 1]

s1# ifconfig

sf0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в нет

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:8d

inet 192.168.1.140 netmask 0xffffff00 broadcast 192.168.1.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

sf1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 битая карта

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:8e

media: Ethernet autoselect (none)

status: no carrier

sf2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в сеть

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:8f

inet 172.16.0.1 netmask 0xffff0000 broadcast 172.16.255.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

sf3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 вторая карта для разгрузки линка на СФ2

options=b<RXCSUM,TXCSUM,VLAN_MTU>

ether 00:00:d1:f0:e9:90

inet 172.16.0.2 netmask 0xffff0000 broadcast 172.16.255.255

media: Ethernet autoselect (100baseTX <full-duplex>)

status: active

ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 еще один ананизм, что ихфункционирен. смотрит вообще в другое облако..... тута висат мои сайты.... и зони для сего безобразия....

ether 00:00:21:d5:1e:d4

inet 192.168.0.125 netmask 0xffffff00 broadcast 192.168.0.255

media: Ethernet autoselect (10baseT/UTP)

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384

inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6

inet6 ::1 prefixlen 128

inet 127.0.0.1 netmask 0xff000000

s1#

 

 

sendmail_enable="NONE"

keymap="ua.koi8-u"

ifconfig_sf0="inet 192.168.1.140 netmask 255.255.255.0" тута бегает форвард.... ниже видно чего

#ifconfig_sf1="inet 10.98.44.84 netmask 255.0.0.0" совсем дохлая карта

ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0"

ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0"

ifconfig_ed0="inet 192.168.0.125 netmask 255.255.255.0"собственно дырка для сайтов.... висит на другой ипе. отдельный канал

defaultrouter="192.168.0.128"роут только для обработки сайтов на интерфейсе ед0 сюда с локалки вообще никого не пускаю, посуму инет бегает через другую дыру на другой канал

hostname="s1"

 

sshd_enable="YES"

named_enable="YES"

mysql_enable="YES"

httpd_enable="YES"

 

gateway_enable="YES"

firewall_enable="YES"

firewall_script="/etc/firewall.conf"

natd_enable="YES"

natd2_enable="YES"

natd_interface="sf0"

natd2_interface="ed0"включил но не использую в фаерволе. чисто про запас пока

 

inetd_enable="YES"для фтп запустил, чтоб посже поставить нормальны профтп

 

dhcpd_enable="YES"

dhcpd_flags="-q"

dhcpd_conf="/etc/dhcpd.conf"

dhcpd_ifaces="sf2"

[pavlabor 1 914]

rc.conf

ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0"

ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0"

 

поменять на

ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0"

ifconfig_sf2_alias0="inet 172.16.0.2 netmask 255.255.255.255"

если нужно еще

ifconfig_sf2_alias1="inet 172.16.0.3 netmask 255.255.255.255"

 

кабель с sf3 снять, машину перегрузить.

 

Или по гарячему

ifconfig sf3 down

ifconfig sf2 172.16.0.2/32 alias

удалить

ifconfig sf2 172.16.0.2/32 -alias

 

Но кабель с sf3 снять по любому.

Если нужно два ип с одного езернета на двух карточках одного сервака,

кури - options ROUTETABLES=2

[lex.lviv 1]

rc.conf

ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0"

ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0"

 

поменять на

ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0"

ifconfig_sf2_alias0="inet 172.16.0.2 netmask 255.255.255.255"

если нужно еще

ifconfig_sf2_alias1="inet 172.16.0.3 netmask 255.255.255.255"

 

кабель с sf3 снять, машину перегрузить.

 

Или по гарячему

ifconfig sf3 down

ifconfig sf2 172.16.0.2/32 alias

удалить

ifconfig sf2 172.16.0.2/32 -alias

 

Но кабель с sf3 снять по любому.

Если нужно два ип с одного езернета на двух карточках одного сервака,

кури - options ROUTETABLES=2

 

с роуттаблами уже утром пробовал.

подключил через свич. создал веланы таким образом чтоб сф2 не видел сф 3.... и игрался

 

круча верча добился лиш того что пинги попадали точно в сф3 и оттудого шли ответы....

на порт 80 не смог подключится. апач настроен слушать.

 

+++

на сф2 стоят пипы для доступа в нет... так вот ети пипи режут скорость и к сф3.

 

если дисконекчу клиента - пропадает и доступ к сф3

 

вот например пробовал такой набор правил к фаеру дописать

 

ipfw add 200 allow ip from any to me via sf3

ipfw add 201 allow ip from me to any via sf3

 

ipfw add 202 deny ip from any to not me via sf3

ipfw add 203 deny ip from any to 172.16.0.2 via sf0

ipfw add 204 deny ip from any to 172.16.0.2 via sf2

 

 

посже пробовал поиграть с

 

ipfw pipe 1000 config bw 100Mbit/s queue 64Kbytes

ipfw pipe 1001 config bw 100Mbit/s queue 64Kbytes

ipfw add 1002 pipe 1000 ip from table\(2\) to 172.16.0.2 via sf3 in

ipfw add 1003 pipe 1001 ip from 172.16.0.2 to table\(2\) via sf3 out

ipfw add 1004 allow tcp from table\(2\) to 172.16.0.2 80

ipfw add 1005 allow tcp from 172.16.0.2 to table\(2\) 80

ipfw add 1006 allow icmp from table\(2\) to 172.16.0.2

ipfw add 1007 allow icmp from me to table\(2\)

 

если есть - киньте ссылку на внушительный ман по сетфибу... а то всякая фигня попадается через гугл

 

вот кстатии и такую конструкцию с сетфибом использовал. пакеты кагбы ходят.....

ipfw add 55 setfib 1 ip from table\(2\) to me via sf3

ipfw add 55 setfib 1 ip from me to table\(2\) via sf3

но резальт нулевой.

 

если задумка не выйдет - ну, тогда прийдется с алиасами сидеть

[pavlabor 1 914]

Таким извратом занимаются если выходе нет,

как правило конструкция становится не стабильной, потому как кроме роутабов потянется еще целый состав всяких служб.

А цена вопроса - гигабитная сетевая за 30 баксов.

И все будет работать как по маслу.

 

Мозахист ты, не по пути нам...!

[lex.lviv 1]

Таким извратом занимаются если выходе нет,

как правило конструкция становится не стабильной, потому как кроме роутабов потянется еще целый состав всяких служб.

А цена вопроса - гигабитная сетевая за 30 баксов.

И все будет работать как по маслу.

 

Мозахист ты, не по пути нам...!

ладно. понял лезу в алиасы.....

[lex.lviv 1]

00500 0 0 check-state

01002 92694 3903633 pipe 1000 ip from table(2) to 172.16.0.2 via sf2 in

01003 160737 234547574 pipe 1001 ip from 172.16.0.2 to table(2) via sf2 out

01004 0 0 allow tcp from table(2) to 172.16.0.2 dst-port 80

01005 0 0 allow tcp from 172.16.0.2 to table(2) dst-port 80

01006 0 0 allow icmp from table(2) to 172.16.0.2

01007 0 0 allow icmp from 172.16.0.2 to table(2)

01301 3363531 263786736 divert 8672 ip from table(2) to any

01302 1656726 123889043 fwd 192.168.1.126 ip from 192.168.1.140 to any

01503 2735990 3491344637 divert 8672 ip from any to 192.168.1.140 via sf0

 

s1#

 

 

а с алиасом все побежало на раз-два

пока пусть так бегает. если начнет не хватать пропускной способности канала на дыре 172,16,0,0/24=172,16,0,1 тогда наверное вернусть к варианту с раздельными сетевыми

 

(гиговая карта ето чудненько, но под нее надо будет ставить гиговый свич... а у меня в лучших традициях - слепил из того что было)

[Prime 51]

А цена вопроса - гигабитная сетевая за 30 баксов.

И все будет работать как по маслу.

Я ж надеюсь вы понимаете, что 1 гигабит она не даст

[lex.lviv 1]

Я ж надеюсь вы понимаете, что 1 гигабит она не даст

 

так ясен пень.... добре хоть 200-300 даст.

нормальные карты стоят оооочень дорого. но они стоят своих денег

вот собственно чудо Adaptec ANA64044/LV что фряха его видит как сф0-3

может разберусь как запустить портмироринг и тогда алиасов мне хватит с головой