forum.opennet.ru - "Непонятное поведение фаервола FreeBSD 10" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Непонятное поведение фаервола FreeBSD 10"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Непонятное поведение фаервола FreeBSD 10"	+/–
Сообщение от GlooM14 (ok) on 01-Апр-14, 13:00
Здравствуйте! Имеются абсолютно два идентичных по железу сервера. На одном из них установлена FreeBSD 9.2, используемая в качестве шлюза (ipfw+natd). Структура локальной сети 1) "пользователи LAN2" -> роутер Cisco 2901 -> FreeBSD шлюз -> ИНЕТ. То есть два ната по пути. 2) "пользователи LAN1" -> шлюз FreeBSD -> ИНЕТ. То есть 1 нат по пути. Все настроено и работает. На другой сервер установил FreeBSD 10. Первый сервак погасил, второму выдал идентичные первому настройки и 1в1 перекопировал правила фаервола. Возникла следующая проблема - интернет заработал у второй категории пользователей. А все кто пытаются пробиться до шлюза из первой категории не могут даже пингануть LAN-интерфейс шлюза. Если терминалом подключиться к самому роутеру (ЦИСКЕ) и пинговать шлюз с него - то пингов тоже нет. Меняю сервера местами - все возвращается в нормальный режим! BSD10 отсекает пакеты именно от роутера. В чем проблема? Совсем запутался. Помогите!
Ответить \| Правка \| Cообщить модератору

Оглавление

Непонятное поведение фаервола FreeBSD 10, Pahanivo, 14:35 , 01-Апр-14, (1)

Непонятное поведение фаервола FreeBSD 10, GlooM14, 14:47 , 01-Апр-14, (2)

Непонятное поведение фаервола FreeBSD 10, Golub Mikhail, 15:23 , 01-Апр-14, (3)
Непонятное поведение фаервола FreeBSD 10, Pahanivo, 16:35 , 01-Апр-14, (4)

Непонятное поведение фаервола FreeBSD 10, GlooM14, 17:36 , 01-Апр-14, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Непонятное поведение фаервола FreeBSD 10" +/–

Сообщение от Pahanivo (ok) on 01-Апр-14, 14:35

> Здравствуйте!
> Имеются абсолютно два идентичных по железу сервера. На одном из них установлена
> FreeBSD 9.2, используемая в качестве шлюза (ipfw+natd). Структура локальной сети
> 1) "пользователи LAN2" -> роутер Cisco 2901 -> FreeBSD шлюз -> ИНЕТ.
сходу вопрос - накой тут роутер???
>[оверквотинг удален]
> по пути.
> Все настроено и работает.
> На другой сервер установил FreeBSD 10. Первый сервак погасил, второму выдал идентичные
> первому настройки и 1в1 перекопировал правила фаервола. Возникла следующая проблема -
> интернет заработал у второй категории пользователей. А все кто пытаются пробиться
> до шлюза из первой категории не могут даже пингануть LAN-интерфейс шлюза.
> Если терминалом подключиться к самому роутеру (ЦИСКЕ) и пинговать шлюз с
> него - то пингов тоже нет. Меняю сервера местами - все
> возвращается в нормальный режим! BSD10 отсекает пакеты именно от роутера. В
> чем проблема? Совсем запутался. Помогите!
пальцем в небо - у LANx разная адресация - вы забыли добавить алиас на интерфэйс
а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Непонятное поведение фаервола FreeBSD 10" +/–

Сообщение от GlooM14 (ok) on 01-Апр-14, 14:47

> пальцем в небо - у LANx разная адресация - вы забыли добавить
> алиас на интерфэйс
> а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить
> ...
> пальцем в небо - у LANx разная адресация - вы забыли добавить
> алиас на интерфэйс
> а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить
> ...
Настройки у двух серверов абсолютно идентичны.
LAN IP шлюза - 192.168.1.1; WAN порт смотрит в интернет.
Юзеры категории "1" с айпи 192.168.1.15; 192.168.1.20 итд выпускаются в инет корректно через шлюз.
Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в общий свитч с простыми юзерами из категории "1".
У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1 (LAN шлюза) даже не пингуется.
Также LAN шлюза не пингуется из консоли управления самой циской.
Как только шлюз с freebsd 10 меняю на сервер с freebsd 9 все взлетает.
Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее должен принимать пакеты от Циски так же, как и от рядовых пользователей первого сегмента.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Непонятное поведение фаервола FreeBSD 10" +/–

Сообщение от Golub Mikhail (ok) on 01-Апр-14, 15:23

>[оверквотинг удален]
> Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в
> общий свитч с простыми юзерами из категории "1".
> У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1
> (LAN шлюза) даже не пингуется.
> Также LAN шлюза не пингуется из консоли управления самой циской.
> Как только шлюз с freebsd 10 меняю на сервер с freebsd 9
> все взлетает.
> Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее
> должен принимать пакеты от Циски так же, как и от рядовых
> пользователей первого сегмента.
Посмотрите маршруты на старом сервере "netstat -nr" и сравните с новым.
И проверьте, не "прибит" ли мак-адрес сервера жестко на Cisco.
Или еще какая-нибудь хрень типа port security ... которая блокирует порт при смене mac-а.
Ну и логи сервера, cisco смотрели?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Непонятное поведение фаервола FreeBSD 10" +/–

Сообщение от Pahanivo (ok) on 01-Апр-14, 16:35

> Настройки у двух серверов абсолютно идентичны.
версия осей разная - какая идЭнтичность?
> LAN IP шлюза - 192.168.1.1; WAN порт смотрит в интернет.
> Юзеры категории "1" с айпи 192.168.1.15; 192.168.1.20 итд выпускаются в инет корректно
> через шлюз.
> Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в
> общий свитч с простыми юзерами из категории "1".
да этажж нЭ роутинг - это же нат
> У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1
> (LAN шлюза) даже не пингуется.
> Также LAN шлюза не пингуется из консоли управления самой циской.
копайте глубже - маки видят?
как правильно выше заметили читаем логи - ищем ошибки или дропы
> Как только шлюз с freebsd 10 меняю на сервер с freebsd 9
> все взлетает.
что доказывает НЕединтичность
> Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее
> должен принимать пакеты от Циски так же, как и от рядовых
> пользователей первого сегмента.
логи, ipfw -a list и т.д. что покаже что вы посылаете пакеты а они не идут
tcpdump тоже никто не запрещал

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Непонятное поведение фаервола FreeBSD 10" +/–

Сообщение от GlooM14 (ok) on 01-Апр-14, 17:36

>> Настройки у двух серверов абсолютно идентичны.
Проблема решилась перезапуском циски. Видать ARP кэш залип, отправляя пакеты, адресованные 192.168.1.1 на мак, который отсвечивал от сетевухи старого, а не нового сервера - вот и терялись пакеты.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятное поведение фаервола FreeBSD 10"	+/–
Сообщение от Pahanivo (ok) on 01-Апр-14, 14:35
> Здравствуйте! > Имеются абсолютно два идентичных по железу сервера. На одном из них установлена > FreeBSD 9.2, используемая в качестве шлюза (ipfw+natd). Структура локальной сети > 1) "пользователи LAN2" -> роутер Cisco 2901 -> FreeBSD шлюз -> ИНЕТ. сходу вопрос - накой тут роутер??? >[оверквотинг удален] > по пути. > Все настроено и работает. > На другой сервер установил FreeBSD 10. Первый сервак погасил, второму выдал идентичные > первому настройки и 1в1 перекопировал правила фаервола. Возникла следующая проблема - > интернет заработал у второй категории пользователей. А все кто пытаются пробиться > до шлюза из первой категории не могут даже пингануть LAN-интерфейс шлюза. > Если терминалом подключиться к самому роутеру (ЦИСКЕ) и пинговать шлюз с > него - то пингов тоже нет. Меняю сервера местами - все > возвращается в нормальный режим! BSD10 отсекает пакеты именно от роутера. В > чем проблема? Совсем запутался. Помогите! пальцем в небо - у LANx разная адресация - вы забыли добавить алиас на интерфэйс а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить ...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Непонятное поведение фаервола FreeBSD 10"	+/–
	Сообщение от GlooM14 (ok) on 01-Апр-14, 14:47
	> пальцем в небо - у LANx разная адресация - вы забыли добавить > алиас на интерфэйс > а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить > ... > пальцем в небо - у LANx разная адресация - вы забыли добавить > алиас на интерфэйс > а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить > ... Настройки у двух серверов абсолютно идентичны. LAN IP шлюза - 192.168.1.1; WAN порт смотрит в интернет. Юзеры категории "1" с айпи 192.168.1.15; 192.168.1.20 итд выпускаются в инет корректно через шлюз. Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в общий свитч с простыми юзерами из категории "1". У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1 (LAN шлюза) даже не пингуется. Также LAN шлюза не пингуется из консоли управления самой циской. Как только шлюз с freebsd 10 меняю на сервер с freebsd 9 все взлетает. Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее должен принимать пакеты от Циски так же, как и от рядовых пользователей первого сегмента.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Непонятное поведение фаервола FreeBSD 10"	+/–
	Сообщение от Golub Mikhail (ok) on 01-Апр-14, 15:23
	>[оверквотинг удален] > Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в > общий свитч с простыми юзерами из категории "1". > У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1 > (LAN шлюза) даже не пингуется. > Также LAN шлюза не пингуется из консоли управления самой циской. > Как только шлюз с freebsd 10 меняю на сервер с freebsd 9 > все взлетает. > Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее > должен принимать пакеты от Циски так же, как и от рядовых > пользователей первого сегмента. Посмотрите маршруты на старом сервере "netstat -nr" и сравните с новым. И проверьте, не "прибит" ли мак-адрес сервера жестко на Cisco. Или еще какая-нибудь хрень типа port security ... которая блокирует порт при смене mac-а. Ну и логи сервера, cisco смотрели?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Непонятное поведение фаервола FreeBSD 10"	+/–
	Сообщение от Pahanivo (ok) on 01-Апр-14, 16:35
	> Настройки у двух серверов абсолютно идентичны. версия осей разная - какая идЭнтичность? > LAN IP шлюза - 192.168.1.1; WAN порт смотрит в интернет. > Юзеры категории "1" с айпи 192.168.1.15; 192.168.1.20 итд выпускаются в инет корректно > через шлюз. > Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в > общий свитч с простыми юзерами из категории "1". да этажж нЭ роутинг - это же нат > У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1 > (LAN шлюза) даже не пингуется. > Также LAN шлюза не пингуется из консоли управления самой циской. копайте глубже - маки видят? как правильно выше заметили читаем логи - ищем ошибки или дропы > Как только шлюз с freebsd 10 меняю на сервер с freebsd 9 > все взлетает. что доказывает НЕединтичность > Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее > должен принимать пакеты от Циски так же, как и от рядовых > пользователей первого сегмента. логи, ipfw -a list и т.д. что покаже что вы посылаете пакеты а они не идут tcpdump тоже никто не запрещал
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Непонятное поведение фаервола FreeBSD 10"	+/–
	Сообщение от GlooM14 (ok) on 01-Апр-14, 17:36
	>> Настройки у двух серверов абсолютно идентичны. Проблема решилась перезапуском циски. Видать ARP кэш залип, отправляя пакеты, адресованные 192.168.1.1 на мак, который отсвечивал от сетевухи старого, а не нового сервера - вот и терялись пакеты.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору