Имеется интересный глюк. При подключении к внутреннему интерфейсу (192.168.0.50) невозможно подключиться - отваливаются пользователи по таймауту. А вот если из мира коннект на реальный IP - тогда на ура,к localhost - тоже.
приведу правила ipfw, ifconfig:[root@freebsd] /home/skif :ipfw list
00001 allow ip from any to any via gif0
00002 allow ip from me to yyy.yyy.yyy.yyy
00003 allow ip from yyy.yyy.yyy.yyy to me
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00333 allow icmp from any to any
04000 divert 8668 ip from any to any via ed0
04003 allow tcp from any to me dst-port 22
04004 allow tcp from me 22 to any
04010 allow ip from 192.168.0.0/16 to any
04011 allow ip from any to 192.168.0.0/16
04700 allow tcp from 192.168.0.0/16 to me dst-port 22 via xl0
04701 allow tcp from me 22 to 192.168.0.0/16 via xl0
06100 allow icmp from any to any
06200 allow udp from any to any
07100 allow udp from me to any
07101 allow udp from any to me
07200 allow tcp from any 20,21 to any
07201 allow tcp from any to any dst-port 20,21
07301 allow ip from any to any dst-port 80,443,8080,8101,2593,1080,433,9000,8000,25,110,5190,443,1950
07401 allow ip from any 80,443,8080,8101,2593,1080,433,9000,8000,25,110,5190,443,1950 to any
07501 allow ip from 192.168.0.0/24 to 192.168.10.0/24
07601 allow ip from 192.168.10.0/24 to 192.168.0.0/24
07701 allow ip from any to any via rl0
65535 deny ip from any to any[root@freebsd] /home/skif :ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.50 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:02:44:78:14:1e
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet xxx.xxx.xxx.xxx netmask 0xffffff00 broadcast xxx.xxx.xxx.255
ether 00:02:44:18:8a:5b
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy
inet 192.168.0.50 --> 192.168.10.114 netmask 0xffffffff
[root@freebsd] /home/skif :[root@freebsd] /home/skif :uname -a
FreeBSD xeon.adz 5.2.1-RELEASE-p13 FreeBSD 5.2.1-RELEASE-p13 #1: Wed Dec 15 11:25:16 EET 2004
root@xeon.adz:/usr/src/sys/i386/compile/XEON i386
[root@freebsd] /home/skif :Да, на этой машине поднят туннель ко мне. Человек жалуется, что не может подключится, а вот я могу но подключаюсь тоже к реальному, на серый адрес так же не могу. В общем, может кто просвятит, что тут не так с правилами или ssh?
>Имеется интересный глюк. При подключении к внутреннему интерфейсу (192.168.0.50) невозможно подключиться -
>отваливаются пользователи по таймауту. А вот если из мира коннект на
>реальный IP - тогда на ура,к localhost - тоже.
>приведу правила ipfw, ifconfig:
>
>[root@freebsd] /home/skif :ipfw list
>00001 allow ip from any to any via gif0
>00002 allow ip from me to yyy.yyy.yyy.yyy
>00003 allow ip from yyy.yyy.yyy.yyy to me
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>00333 allow icmp from any to any
>04000 divert 8668 ip from any to any via ed0
>04003 allow tcp from any to me dst-port 22
>04004 allow tcp from me 22 to any
>04010 allow ip from 192.168.0.0/16 to any
>04011 allow ip from any to 192.168.0.0/16
>04700 allow tcp from 192.168.0.0/16 to me dst-port 22 via xl0
>04701 allow tcp from me 22 to 192.168.0.0/16 via xl0
>06100 allow icmp from any to any
>06200 allow udp from any to any
>07100 allow udp from me to any
>07101 allow udp from any to me
>07200 allow tcp from any 20,21 to any
>07201 allow tcp from any to any dst-port 20,21
>07301 allow ip from any to any dst-port 80,443,8080,8101,2593,1080,433,9000,8000,25,110,5190,443,1950
>07401 allow ip from any 80,443,8080,8101,2593,1080,433,9000,8000,25,110,5190,443,1950 to any
>07501 allow ip from 192.168.0.0/24 to 192.168.10.0/24
>07601 allow ip from 192.168.10.0/24 to 192.168.0.0/24
>07701 allow ip from any to any via rl0
>65535 deny ip from any to any
>
>[root@freebsd] /home/skif :ifconfig
>rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> options=8<VLAN_MTU>
> inet 192.168.0.50 netmask 0xffffff00 broadcast 192.168.0.255
> ether 00:02:44:78:14:1e
> media: Ethernet autoselect (100baseTX <full-duplex>)
> status: active
>ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet xxx.xxx.xxx.xxx netmask 0xffffff00 broadcast xxx.xxx.xxx.255
> ether 00:02:44:18:8a:5b
>plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
>lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
> inet 127.0.0.1 netmask 0xff000000
>gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
> tunnel inet xxx.xxx.xxx.xxx --> yyy.yyy.yyy.yyy
> inet 192.168.0.50 --> 192.168.10.114 netmask 0xffffffff
>[root@freebsd] /home/skif :
>
>[root@freebsd] /home/skif :uname -a
>FreeBSD xeon.adz 5.2.1-RELEASE-p13 FreeBSD 5.2.1-RELEASE-p13 #1: Wed Dec 15 11:25:16 EET
>2004
>root@xeon.adz:/usr/src/sys/i386/compile/XEON i386
>[root@freebsd] /home/skif :
>
>Да, на этой машине поднят туннель ко мне. Человек жалуется, что не
>может подключится, а вот я могу но подключаюсь тоже к реальному,
>на серый адрес так же не могу. В общем, может кто
>просвятит, что тут не так с правилами или ssh?
для начала приведи в соответствие интерфейсы в правилах FIREWALL с
интерфейсами в ifconfig: xl0 в firewall и rl0 в ifconfig
Да, похоже у там менялась сетевуха, но все-равно, ведь пропущены ip с этой сети
[root@freebsd] /home/skif :ipfw list
00001 allow ip from any to any via gif0
00002 allow ip from me to 195.177.125.230
00003 allow ip from 195.177.125.230 to me
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00333 allow icmp from any to any
04000 divert 8668 ip from any to any via ed0
04003 allow tcp from any to me dst-port 22
04004 allow tcp from me 22 to any
04010 allow ip from 192.168.0.0/16 to any
04011 allow ip from any to 192.168.0.0/16
04700 allow tcp from 192.168.0.0/16 to me dst-port 22 via rl0
04701 allow tcp from me 22 to 192.168.0.0/16 via rl0
06100 allow icmp from any to any
06200 allow udp from any to any
07100 allow udp from me to any
07101 allow udp from any to me
07200 allow tcp from any 20,21 to any
07201 allow tcp from any to any dst-port 20,21
07301 allow ip from any to any dst-port 80,443,8080,8101,2593,1080,433,9000,8000,25,110,5190,443,1950
07401 allow ip from any 80,443,8080,8101,2593,1080,433,9000,8000,25,110,5190,443,1950 to any
07501 allow ip from 192.168.0.0/24 to 192.168.10.0/24
07601 allow ip from 192.168.10.0/24 to 192.168.0.0/24
07701 allow ip from any to any via rl0
65535 deny ip from any to any
[root@freebsd] /home/skif :ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.50 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:02:44:78:14:1e
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 195.178.133.108 netmask 0xffffff00 broadcast 195.178.133.255
ether 00:02:44:18:8a:5b
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 195.178.133.108 --> 195.177.125.230
inet 192.168.0.50 --> 192.168.10.114 netmask 0xffffffff
[root@freebsd] /home/skif :
Все, вопрос снимается - фишка в бекрезолв - прописывание /etc/hosts дало свои результаты.
>Все, вопрос снимается - фишка в бекрезолв - прописывание /etc/hosts дало
>свои результаты.э-эх, установил систему - сразу устакань /etc/hosts :)
ларчик оказывается проще открывался
cat /etc/sshd_config:UseDNS no
-EOF-