lex.lviv 1 Опубліковано: 2010-09-05 16:26:01 Автор Share Опубліковано: 2010-09-05 16:26:01 "Не заслуживающий доверия ответ:" Это не сошлась прямая и обратная зона. Похоже косяки с ДНС. Это уже не цацки-пецки. Нужно знать зоны которые у них обслухиваются, и думать, строить псевдозоны, или два намеда городить... Можно поробовать вообще их днс использовать, локалку будет нормально расчихлять. прописал нс и пчеловода и основного канала вот что с рутера получается s2# nslookup berloga.net Server: 10.10.12.3 Address: 10.10.12.3#53 Name: berloga.net Address: 10.1.0.3 s2# а вот с локалки C:\Users\user>nslookup berloga.net ╤хЁтхЁ: ns.lviv.farlep.net Address: 213.130.16.3 Не заслуживающий доверия ответ: ╚ь : berloga.net Address: 89.162.220.234 теперь думаю собака зарыта с порядком неймсерверов.... ?????????????? решил просто дописать.... в намеде <------>forwarders { <------><------>10.10.12.3;212.109.32.5;127.0.0.1;192.168.1.126;213.130.16.3;213.130.16.20;; <------>}; вот выделив днс пчеловодов. поставил первым в списке. сейчас гляну что выйдет так оставляю пост. нс заглючил... шас буду рестартить рутер Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-06 04:21:12 Share Опубліковано: 2010-09-06 04:21:12 Разницы нет в каком прядке. Запросы ДНС идут по UDP протоколу, всем кого ты указал в списке, Ответ принимается того, кто ответил первым, остальные ответы игнорируются. Отсюда или задержки должни быть меньша на пасеку, или удаляй остальное. Потому что будет работать не стабильно. И вообще, зачем столько нсов, чтобы лишний флуд гулял в сетке? Если вирусняк подимится, то он тебе положит днс, вирус будет сканить компы, а те будут дергать днс на предмет прямой и обратной зоны. Чем активней сканер, тем больше флуд. Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-06 04:59:27 Автор Share Опубліковано: 2010-09-06 04:59:27 оставил нс пчеловодов только. но лаги троха остались.... сейчас перегружу все и посмотрю результат Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-06 06:13:42 Автор Share Опубліковано: 2010-09-06 06:13:42 с внутренней сети доступа к пчеловоду нет(пишг и трейс идут, порт 80 видать закрыт) или ето их чудозащита или???? вобщем. траф как бежал через основной так и бежит..... только берлога вообще браузерами не открывается Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-06 06:26:36 Share Опубліковано: 2010-09-06 06:26:36 Возможно еще работает ттл записи(время жизни записи), пока запись не устареет потки будут ходить как попало, обычно устаканивается в течении суток. Защиты строятся по ип, если нормально натит, форфардит, по 80 порту, все должно работать, гдето косяки или же опят не исчерпалось время жизни записи. Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-07 11:58:28 Автор Share Опубліковано: 2010-09-07 11:58:28 вобщем проброс пашит. все кагбы нормально. но локальных ресурсов роботает только половина. та же самая берлога не открывается через хттп (80) хотя трейс и пинги идут намана не могу понять в чем кака сейчас оставил такой облегченный вариант фаервола s2# nslookup berloga.net Server: 10.10.12.3 Address: 10.10.12.3#53 Name: berloga.net Address: 10.1.0.3 s2# s2# ipfw show; 00010 0 0 deny ip from any to me dst-port 5555 via rl1 00011 0 0 deny ip from any to me dst-port 22 via rl1 00012 0 0 deny ip from any to me dst-port 80 via rl1 00013 0 0 deny ip from any to me dst-port 5555 via ste0 00014 0 0 deny ip from any to me dst-port 22 via ste0 00015 0 0 deny ip from any to me dst-port 80 via rl1 00016 0 0 deny ip from any to me dst-port 21 via ste0 00099 628 54332 allow ip from any to me dst-port 5555 via rl0 00100 4655 274268 allow ip from any to me dst-port 22 via rl0 00101 16796 2340660 allow ip from 172.16.0.1 to any 00101 0 0 allow ip from any to 172.168.0.1 00500 0 0 check-state 01099 1043 89024 divert 8671 ip from table(2) to table(10) 01100 1136 89010 fwd 10.98.44.1 ip from 10.98.44.84 to table(10) 01200 1134 589842 divert 8671 ip from any to 10.98.44.84 via ste0 01301 335707 27776417 divert 8672 ip from table(2) to any 01503 257355 333261928 divert 8672 ip from any to 192.168.1.127 via rl1 Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 11:40:03 Автор Share Опубліковано: 2010-09-13 11:40:03 Доброго времечка. проблема впринцыпе была решена еще на странице 1.... пчеловоды кокогото непонятного блокируют *80 порт на 70 % локальных ресурсов.... подумав - откинул я сей вариант, потому как мониторинг показал, что на локалку ихней сети ходит меньше 10кбс постоянно еще один вопрос появился. смотрел у меня в локалку интерфейс один.... 172,16,0,1 попалась в руки мне машина помочнее(чтото типа тоже с мусорки.... но.... серверная система) перенастроил конфиги. все побежало. появилась идея навесить на ету же таратайку и локальные ресурсы - файлопомойку тыканул другую сетевуху - и нифига добится не могу... метод проб и ошибок не помогает может ктото посоветует.... (пробовал даже сетфибом игратся, только мануалы в руки попадались кривые..... если думаю не в том направлении - подскажите) итого локальная дыра 172,16,0,1 тута ходят в нет локальная файлопомоечная дыра 172,16,0,2 конфиги всего такиеже весьма благодарен з внимание Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 11:42:19 Автор Share Опубліковано: 2010-09-13 11:42:19 допишу, что на 172***1 живет отдельный сайтец для сетки а на 172,16,0,2 отдельный форум для файлопомойки все какбы пашит........ но когда начинаю делать покач с 172,16,0,2\чтонибуть то все валит через 172,16,0,1 Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-13 12:39:40 Share Опубліковано: 2010-09-13 12:39:40 А зачем там еще одна сетевушка, алиесов не хватает? покажи ifcofig и rc.conf Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 12:48:07 Автор Share Опубліковано: 2010-09-13 12:48:07 s1# ifconfig sf0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в нет options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:8d inet 192.168.1.140 netmask 0xffffff00 broadcast 192.168.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active sf1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 битая карта options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:8e media: Ethernet autoselect (none) status: no carrier sf2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в сеть options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:8f inet 172.16.0.1 netmask 0xffff0000 broadcast 172.16.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active sf3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 вторая карта для разгрузки линка на СФ2 options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:90 inet 172.16.0.2 netmask 0xffff0000 broadcast 172.16.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 еще один ананизм, что ихфункционирен. смотрит вообще в другое облако..... тута висат мои сайты.... и зони для сего безобразия.... ether 00:00:21:d5:1e:d4 inet 192.168.0.125 netmask 0xffffff00 broadcast 192.168.0.255 media: Ethernet autoselect (10baseT/UTP) lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 s1# sendmail_enable="NONE" keymap="ua.koi8-u" ifconfig_sf0="inet 192.168.1.140 netmask 255.255.255.0" тута бегает форвард.... ниже видно чего #ifconfig_sf1="inet 10.98.44.84 netmask 255.0.0.0" совсем дохлая карта ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0" ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0" ifconfig_ed0="inet 192.168.0.125 netmask 255.255.255.0"собственно дырка для сайтов.... висит на другой ипе. отдельный канал defaultrouter="192.168.0.128"основной роут под ето. не хотел натить на етом интерфейса hostname="s1" sshd_enable="YES" named_enable="YES" mysql_enable="YES" httpd_enable="YES" gateway_enable="YES" firewall_enable="YES" firewall_script="/etc/firewall.conf" natd_enable="YES" natd2_enable="YES" natd_interface="sf0" natd2_interface="ed0"включил но не использую в фаерволе. чисто про запас пока inetd_enable="YES"для фтп запустил, чтоб посже поставить нормальны профтп dhcpd_enable="YES" dhcpd_flags="-q" dhcpd_conf="/etc/dhcpd.conf" dhcpd_ifaces="sf2" Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 12:50:15 Автор Share Опубліковано: 2010-09-13 12:50:15 А зачем там еще одна сетевушка, алиесов не хватает? хочу чтоб дыра в нет имела свой свободный чисто нет канал , а локальные ресурсы(файлопомойка) свой.... бывают же извращенцы которые все забивают на максимум с алиасом конечно проще будет. пс. еще поднял для етого 2 отдельные таблицы маршрутизации. но пока не использовал, все бегает только на основной Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 12:53:42 Автор Share Опубліковано: 2010-09-13 12:53:42 s1# ifconfig sf0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в нет options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:8d inet 192.168.1.140 netmask 0xffffff00 broadcast 192.168.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active sf1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 битая карта options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:8e media: Ethernet autoselect (none) status: no carrier sf2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 смотрит в сеть options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:8f inet 172.16.0.1 netmask 0xffff0000 broadcast 172.16.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active sf3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 вторая карта для разгрузки линка на СФ2 options=b<RXCSUM,TXCSUM,VLAN_MTU> ether 00:00:d1:f0:e9:90 inet 172.16.0.2 netmask 0xffff0000 broadcast 172.16.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 еще один ананизм, что ихфункционирен. смотрит вообще в другое облако..... тута висат мои сайты.... и зони для сего безобразия.... ether 00:00:21:d5:1e:d4 inet 192.168.0.125 netmask 0xffffff00 broadcast 192.168.0.255 media: Ethernet autoselect (10baseT/UTP) lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 s1# sendmail_enable="NONE" keymap="ua.koi8-u" ifconfig_sf0="inet 192.168.1.140 netmask 255.255.255.0" тута бегает форвард.... ниже видно чего #ifconfig_sf1="inet 10.98.44.84 netmask 255.0.0.0" совсем дохлая карта ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0" ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0" ifconfig_ed0="inet 192.168.0.125 netmask 255.255.255.0"собственно дырка для сайтов.... висит на другой ипе. отдельный канал defaultrouter="192.168.0.128"роут только для обработки сайтов на интерфейсе ед0 сюда с локалки вообще никого не пускаю, посуму инет бегает через другую дыру на другой канал hostname="s1" sshd_enable="YES" named_enable="YES" mysql_enable="YES" httpd_enable="YES" gateway_enable="YES" firewall_enable="YES" firewall_script="/etc/firewall.conf" natd_enable="YES" natd2_enable="YES" natd_interface="sf0" natd2_interface="ed0"включил но не использую в фаерволе. чисто про запас пока inetd_enable="YES"для фтп запустил, чтоб посже поставить нормальны профтп dhcpd_enable="YES" dhcpd_flags="-q" dhcpd_conf="/etc/dhcpd.conf" dhcpd_ifaces="sf2" Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-13 13:19:22 Share Опубліковано: 2010-09-13 13:19:22 rc.conf ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0" ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0" поменять на ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0" ifconfig_sf2_alias0="inet 172.16.0.2 netmask 255.255.255.255" если нужно еще ifconfig_sf2_alias1="inet 172.16.0.3 netmask 255.255.255.255" кабель с sf3 снять, машину перегрузить. Или по гарячему ifconfig sf3 down ifconfig sf2 172.16.0.2/32 alias удалить ifconfig sf2 172.16.0.2/32 -alias Но кабель с sf3 снять по любому. Если нужно два ип с одного езернета на двух карточках одного сервака, кури - options ROUTETABLES=2 Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 13:37:38 Автор Share Опубліковано: 2010-09-13 13:37:38 rc.conf ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0" ifconfig_sf3="inet 172.16.0.2 netmask 255.255.0.0" поменять на ifconfig_sf2="inet 172.16.0.1 netmask 255.255.0.0" ifconfig_sf2_alias0="inet 172.16.0.2 netmask 255.255.255.255" если нужно еще ifconfig_sf2_alias1="inet 172.16.0.3 netmask 255.255.255.255" кабель с sf3 снять, машину перегрузить. Или по гарячему ifconfig sf3 down ifconfig sf2 172.16.0.2/32 alias удалить ifconfig sf2 172.16.0.2/32 -alias Но кабель с sf3 снять по любому. Если нужно два ип с одного езернета на двух карточках одного сервака, кури - options ROUTETABLES=2 с роуттаблами уже утром пробовал. подключил через свич. создал веланы таким образом чтоб сф2 не видел сф 3.... и игрался круча верча добился лиш того что пинги попадали точно в сф3 и оттудого шли ответы.... на порт 80 не смог подключится. апач настроен слушать. +++ на сф2 стоят пипы для доступа в нет... так вот ети пипи режут скорость и к сф3. если дисконекчу клиента - пропадает и доступ к сф3 вот например пробовал такой набор правил к фаеру дописать ipfw add 200 allow ip from any to me via sf3 ipfw add 201 allow ip from me to any via sf3 ipfw add 202 deny ip from any to not me via sf3 ipfw add 203 deny ip from any to 172.16.0.2 via sf0 ipfw add 204 deny ip from any to 172.16.0.2 via sf2 посже пробовал поиграть с ipfw pipe 1000 config bw 100Mbit/s queue 64Kbytes ipfw pipe 1001 config bw 100Mbit/s queue 64Kbytes ipfw add 1002 pipe 1000 ip from table\(2\) to 172.16.0.2 via sf3 in ipfw add 1003 pipe 1001 ip from 172.16.0.2 to table\(2\) via sf3 out ipfw add 1004 allow tcp from table\(2\) to 172.16.0.2 80 ipfw add 1005 allow tcp from 172.16.0.2 to table\(2\) 80 ipfw add 1006 allow icmp from table\(2\) to 172.16.0.2 ipfw add 1007 allow icmp from me to table\(2\) если есть - киньте ссылку на внушительный ман по сетфибу... а то всякая фигня попадается через гугл вот кстатии и такую конструкцию с сетфибом использовал. пакеты кагбы ходят..... ipfw add 55 setfib 1 ip from table\(2\) to me via sf3 ipfw add 55 setfib 1 ip from me to table\(2\) via sf3 но резальт нулевой. если задумка не выйдет - ну, тогда прийдется с алиасами сидеть Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 950 Опубліковано: 2010-09-13 13:51:53 Share Опубліковано: 2010-09-13 13:51:53 Таким извратом занимаются если выходе нет, как правило конструкция становится не стабильной, потому как кроме роутабов потянется еще целый состав всяких служб. А цена вопроса - гигабитная сетевая за 30 баксов. И все будет работать как по маслу. Мозахист ты, не по пути нам...! Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 13:54:24 Автор Share Опубліковано: 2010-09-13 13:54:24 Таким извратом занимаются если выходе нет, как правило конструкция становится не стабильной, потому как кроме роутабов потянется еще целый состав всяких служб. А цена вопроса - гигабитная сетевая за 30 баксов. И все будет работать как по маслу. Мозахист ты, не по пути нам...! ладно. понял лезу в алиасы..... Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 14:11:06 Автор Share Опубліковано: 2010-09-13 14:11:06 00500 0 0 check-state 01002 92694 3903633 pipe 1000 ip from table(2) to 172.16.0.2 via sf2 in 01003 160737 234547574 pipe 1001 ip from 172.16.0.2 to table(2) via sf2 out 01004 0 0 allow tcp from table(2) to 172.16.0.2 dst-port 80 01005 0 0 allow tcp from 172.16.0.2 to table(2) dst-port 80 01006 0 0 allow icmp from table(2) to 172.16.0.2 01007 0 0 allow icmp from 172.16.0.2 to table(2) 01301 3363531 263786736 divert 8672 ip from table(2) to any 01302 1656726 123889043 fwd 192.168.1.126 ip from 192.168.1.140 to any 01503 2735990 3491344637 divert 8672 ip from any to 192.168.1.140 via sf0 s1# а с алиасом все побежало на раз-два пока пусть так бегает. если начнет не хватать пропускной способности канала на дыре 172,16,0,0/24=172,16,0,1 тогда наверное вернусть к варианту с раздельными сетевыми (гиговая карта ето чудненько, но под нее надо будет ставить гиговый свич... а у меня в лучших традициях - слепил из того что было) Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2010-09-13 14:11:15 Share Опубліковано: 2010-09-13 14:11:15 А цена вопроса - гигабитная сетевая за 30 баксов. И все будет работать как по маслу. Я ж надеюсь вы понимаете, что 1 гигабит она не даст Ссылка на сообщение Поделиться на других сайтах
lex.lviv 1 Опубліковано: 2010-09-13 14:16:04 Автор Share Опубліковано: 2010-09-13 14:16:04 Я ж надеюсь вы понимаете, что 1 гигабит она не даст так ясен пень.... добре хоть 200-300 даст. нормальные карты стоят оооочень дорого. но они стоят своих денег вот собственно чудо Adaptec ANA64044/LV что фряха его видит как сф0-3 может разберусь как запустить портмироринг и тогда алиасов мне хватит с головой Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас