URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 56797
[ Назад ]

Исходное сообщение
"Помогите!"
Отправлено ElvisPresley , 26-Май-05 17:07

Всем хеллоу!
Помогите плиз начинающему юниксоиду. %)
ОС OpenBSD 3.6, поднят PF, NAT. Назовем его скромно ELVIS
схема:
                                  |-> Kerio (HTTP) 125.1.10.1 <-|  <----|
ИНЕТ <-> fxp0 firewall_1 fxp1 <-> |                             |       |
                         |        |-> USERS  125.1.0.0/16<------|       |
                         |        |                                     |
                         |        |-> ELVIS                             |
                         |                                              |
                      (SMTP, POP3, ICQ)->    eth0 125.1.10.2 <- (HTTP) -|
                                             eth1 186.186.186.1 <-|
                                                                  |
                               USERS2 186.186.186.0/24 <- ALL ----|
А проблема в том, что у меня не доходят пакеты SMTP, POP3, ICQ от USERS2 186.186.186.0/24 до firewall_1 fxp1. ДО керио пакеты ходят, в инет народ выходит. Проблема в route? уже третий день мучаюсь (а вчера так ваще намучался с перебоями с  инетом из-за траблов в Москве со светом). Помогите плиз!
ЗЫ и не смейтесь над такой сложной структурой, не мною она создана, а разгребать приходится. :о(
Заранее всем большое спасибо.

Содержание

Помогите!,ElvisPresley, 10:40 , 27-Май-05
- Помогите!,open, 10:41 , 27-Май-05
  - Помогите!,ElvisPresley, 11:35 , 27-Май-05
    - Помогите!,open, 11:58 , 27-Май-05
  - Помогите!,ElvisPresley, 12:04 , 27-Май-05
    - Помогите!,open, 12:10 , 27-Май-05
      - Помогите!,ElvisPresley, 12:30 , 27-Май-05
        
        Помогите!,open, 12:38 , 27-Май-05
        
        Помогите!,ElvisPresley, 12:55 , 27-Май-05
        
        Помогите!,ElvisPresley, 12:57 , 27-Май-05
        
        Помогите!,open, 12:58 , 27-Май-05
        
        Помогите!,open, 12:57 , 27-Май-05
        
        Помогите!,ElvisPresley, 13:12 , 27-Май-05
        
        Помогите!,open, 14:23 , 27-Май-05
        
        Помогите!,ElvisPresley, 14:38 , 27-Май-05
        
        Помогите!,open, 15:07 , 27-Май-05
        
        Помогите!,ElvisPresley, 15:26 , 27-Май-05
        
        Помогите!,open, 15:45 , 27-Май-05
        
        Помогите!,ElvisPresley, 11:08 , 31-Май-05
        
        Помогите!,A Clockwork Orange, 11:17 , 31-Май-05
        
        Помогите!,ElvisPresley, 11:19 , 31-Май-05
        
        Помогите!,open, 11:34 , 31-Май-05
        
        Помогите!,ElvisPresley, 11:58 , 31-Май-05
        
        Помогите!,open, 12:07 , 31-Май-05
        
        Помогите!,ElvisPresley, 12:35 , 31-Май-05
        
        Помогите!,open, 14:49 , 31-Май-05
        
        Помогите!,ElvisPresley, 15:01 , 31-Май-05
        
        Помогите!,A Clockwork Orange, 15:30 , 31-Май-05
        
        Помогите!,open, 15:46 , 31-Май-05
        
        Помогите!,A Clockwork Orange, 15:48 , 31-Май-05
        Помогите!,ElvisPresley, 16:07 , 31-Май-05
        
        Помогите!,A Clockwork Orange, 16:09 , 31-Май-05
        
        Помогите!,ElvisPresley, 16:17 , 31-Май-05
        
        Помогите!,A Clockwork Orange, 16:26 , 31-Май-05
        
        Помогите!,open, 16:38 , 31-Май-05
        
        Помогите!,ElvisPresley, 17:11 , 31-Май-05
        
        Помогите!,Jelis, 20:07 , 31-Май-05
        
        Помогите!,ElvisPresley, 11:47 , 01-Июн-05
        
        Помогите!,open, 11:58 , 01-Июн-05
        
        Помогите!,ElvisPresley, 12:09 , 01-Июн-05
        
        Помогите!,open, 12:18 , 01-Июн-05
        
        Помогите!,ElvisPresley, 12:35 , 01-Июн-05
        
        Помогите!,A Clockwork Orange, 12:09 , 01-Июн-05
        
        Помогите!,A Clockwork Orange, 12:06 , 01-Июн-05
        
        Помогите!,ElvisPresley, 12:28 , 01-Июн-05
        
        Помогите!,open, 12:32 , 01-Июн-05
        Помогите!,A Clockwork Orange, 12:33 , 01-Июн-05
        
        Помогите!,ElvisPresley, 13:01 , 01-Июн-05

Сообщения в этом обсуждении

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 10:40

народ, ну не уж-то никто не сталкивался с подобным траблом! ну помогите плиз!

"Помогите!"
Отправлено open , 27-Май-05 10:41

ты свою схему нарисуй по человечески...
виложи gif куда нить на веб, может кто нить и поймет че те надо :)
как нарисуешь можешь мне в асю стучатся 270659351

>народ, ну не уж-то никто не сталкивался с подобным траблом! ну помогите
>плиз!

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 11:35

>ты свою схему нарисуй по человечески...
>виложи gif куда нить на веб, может кто нить и поймет че
>те надо :)
Когда рисовал в броузере, формируя тему, выглядела она понятно, даже тупому. А при просмотре она раскалбашивается хрен знает как. Нарисовать-то gif я могу, а вот выложит мне некуда.

"Помогите!"
Отправлено open , 27-Май-05 11:58

на narod.ru уже закрыли регистрацию ?
...если тебе имея реальные ip некуда выложить gif... то ты вероятно менеджер...

>>ты свою схему нарисуй по человечески...
>>виложи gif куда нить на веб, может кто нить и поймет че
>>те надо :)
>
>Когда рисовал в броузере, формируя тему, выглядела она понятно, даже тупому. А
>при просмотре она раскалбашивается хрен знает как. Нарисовать-то gif я могу,
>а вот выложит мне некуда.

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 12:04

                                                             |-> Kerio (HTTP) 125.1.10.1 <-|  <-----|
ИНЕТ <-> fxp0 firewall_1 fxp1 <-> |                                                    |           |
                                                 |           |-> USERS  125.1.0.0/16       <--|           |
                                                 |           |                                                                |
                                                 |           |-> ELVIS                                                |
                                                 |                                                                           |
                                   (SMTP, POP3, ICQ)->    eth0 125.1.10.2 <- (HTTP) -|

                                                                             eth1 186.186.186.1 <----|
                                                                                                                     |
                               USERS2 186.186.186.0/24 <------------------ ALL ----|

"Помогите!"
Отправлено open , 27-Май-05 12:10

у тя маршруты по умолчанию куда идут от 186.186.186.0 на Kerio ?
тогда ничего удивительного...
что такое Kerio представляю довольно смутно, поскольку надобностив нем никогда не испытывал, он SNAT умеет ? или это прокси ?
>
>                                                             |-> Kerio (HTTP) 125.1.10.1 <-|  <-----|
>ИНЕТ <-> fxp0 firewall_1 fxp1 <-> |                                                    |           |
>                                                 |           |-> USERS  125.1.0.0/16       <--|           |
>
>
>
>
>    |
>    |
>
>
>
>
>
>  |
>                                                 |           |-> ELVIS                                                |
>
>
>
>
>    |
>
>
>
>
>
>
>  |
>                                   (SMTP, POP3, ICQ)->    eth0 125.1.10.2 <- (HTTP) -|
>
>
>
>
>
>
>
>          eth1
>186.186.186.1 <----|
>
>
>
>
>
>
>
>
>
>
>      |
>
>
>        USERS2 186.186.186.0/24 <------------------
>ALL ----|

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 12:30

>у тя маршруты по умолчанию куда идут от 186.186.186.0 на Kerio ?
>
>тогда ничего удивительного...
>что такое Kerio представляю довольно смутно, поскольку надобностив нем никогда не испытывал,
>он SNAT умеет ? или это прокси ?
KERIO - это прокся, типа ISA
Через керио народ тока по HTTP в инет ходит. И 125.1.10.1 (KERIO) не является gw для USERS (125.1.0.0/16) - он для них IP fxp1 (например, 125.1.10.100). Пакеты почты, аськи и тп через керио не идут для USERS & USERS2 (нуна было это на схеме нарисовать). USERS2 186.186.186.0 HTTP так же получают через керио, а все остальное должны получать от firewall_1 fxp1 125.1.10.100. У USERS2 gw прописан eth1 186.186.186.1. В OpenBSD в файле mygate всего одна строка у меня "125.1.10.100"

"Помогите!"
Отправлено open , 27-Май-05 12:38

что такое firewall_1 ?
там nat работает ?
маршрут на 186.186.186.0 написан ?
>>у тя маршруты по умолчанию куда идут от 186.186.186.0 на Kerio ?
>>
>>тогда ничего удивительного...
>>что такое Kerio представляю довольно смутно, поскольку надобностив нем никогда не испытывал,
>>он SNAT умеет ? или это прокси ?
>
>KERIO - это прокся, типа ISA
>Через керио народ тока по HTTP в инет ходит. И 125.1.10.1 (KERIO)
>не является gw для USERS (125.1.0.0/16) - он для них IP
>fxp1 (например, 125.1.10.100). Пакеты почты, аськи и тп через керио не
>идут для USERS & USERS2 (нуна было это на схеме нарисовать).
>USERS2 186.186.186.0 HTTP так же получают через керио, а все остальное
>должны получать от firewall_1 fxp1 125.1.10.100. У USERS2 gw прописан eth1
>186.186.186.1. В OpenBSD в файле mygate всего одна строка у меня
>"125.1.10.100"

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 12:55

>что такое firewall_1 ?
на схему гляньте еще раз
ИНЕТ <-> fxp0 firewall_1 fxp1 <->
>там nat работает ?
да, у всех кто сидит не за ELVIS, с которым у меня и возникли траблы, все в порядке
>маршрут на 186.186.186.0 написан ?
>
route?

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 12:57

>>что такое firewall_1 ?
>на схему гляньте еще раз
>ИНЕТ <-> fxp0 firewall_1 fxp1 <->
>>там nat работает ?
>да, у всех кто сидит не за ELVIS, с которым у меня
>и возникли траблы, все в порядке
>>маршрут на 186.186.186.0 написан ?
>>
>route?
Пакеты, ну например 5190 аськины, не доходят до firewall_1

"Помогите!"
Отправлено open , 27-Май-05 12:58

>>>что такое firewall_1 ?
>>на схему гляньте еще раз
>>ИНЕТ <-> fxp0 firewall_1 fxp1 <->
>>>там nat работает ?
>>да, у всех кто сидит не за ELVIS, с которым у меня
>>и возникли траблы, все в порядке
>>>маршрут на 186.186.186.0 написан ?
>>>
>>route?
>
>Пакеты, ну например 5190 аськины, не доходят до firewall_1
может твой ELVIS в фареволе закрыт просто ?

"Помогите!"
Отправлено open , 27-Май-05 12:57

глянул, какая ОС на firewall_1 ?
или это железяка ?
если лялих то route -n
в бсдях netstat -nr вроде,
покажи табл маршрутов на firewall_1
может твой ELVIS в фареволе закрыт просто ?
>на схему гляньте еще раз
>ИНЕТ <-> fxp0 firewall_1 fxp1 <->
>>там nat работает ?
>да, у всех кто сидит не за ELVIS, с которым у меня
>и возникли траблы, все в порядке
>>маршрут на 186.186.186.0 написан ?
>>
>route?

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 13:12

>глянул, какая ОС на firewall_1 ?
>или это железяка ?
Linux & ipchains
>если лялих то route -n
>в бсдях netstat -nr вроде,
>покажи табл маршрутов на firewall_1
>может твой ELVIS в фареволе закрыт просто ?
поставил логирование всех пакетов, дал правило для ELVISa -ходи куда хочешь
ну не приходят от него пакеты.

"Помогите!"
Отправлено open , 27-Май-05 14:23

насколько я понял твою схему, между ELVIS и firewall_1 только хабы, свичи и т.д.
на внутр eth интерефейсе на firewall_1 нет случаем привязки по arp ?
arp -a |grep <IP_ELVIS>
че нить пишет, после попыток логина...
если пишет то MAC адреса сходятся ?

>>глянул, какая ОС на firewall_1 ?
>>или это железяка ?
>Linux & ipchains
>>если лялих то route -n
>>в бсдях netstat -nr вроде,
>>покажи табл маршрутов на firewall_1
>>может твой ELVIS в фареволе закрыт просто ?
>поставил логирование всех пакетов, дал правило для ELVISa -ходи куда хочешь
>ну не приходят от него пакеты.

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 14:38

>насколько я понял твою схему, между ELVIS и firewall_1 только хабы, свичи
>и т.д.
точно
>на внутр eth интерефейсе на firewall_1 нет случаем привязки по arp ?
>
>arp -a |grep <IP_ELVIS>
а пусто!
а если просто arp -a, то выводит много чего

"Помогите!"
Отправлено open , 27-Май-05 15:07

маршрут по умолчанию на твоем ЭЛВИСЕ я надеюсь на fxp1 показывает а не на КЕРИО ?

>>насколько я понял твою схему, между ELVIS и firewall_1 только хабы, свичи
>>и т.д.
>точно
>>на внутр eth интерефейсе на firewall_1 нет случаем привязки по arp ?
>>
>>arp -a |grep <IP_ELVIS>
>а пусто!
>а если просто arp -a, то выводит много чего

"Помогите!"
Отправлено ElvisPresley , 27-Май-05 15:26

>маршрут по умолчанию на твоем ЭЛВИСЕ я надеюсь на fxp1 показывает а
>не на КЕРИО ?
>
Я правильно понимаю, что это в mygate прописывается IP fxp1?
Если нет, то где? ROUTE?

"Помогите!"
Отправлено open , 27-Май-05 15:45

вроде да только надо отребутить, как инит скрипты вызывать не помню.
route -n или netstat -nr ? на твоем элвисе и ifconfig fxp1 на шлюзе, сюда выведи
>>маршрут по умолчанию на твоем ЭЛВИСЕ я надеюсь на fxp1 показывает а
>>не на КЕРИО ?
>>
>Я правильно понимаю, что это в mygate прописывается IP fxp1?
>Если нет, то где? ROUTE?

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 11:08

>вроде да только надо отребутить, как инит скрипты вызывать не помню.
>route -n или netstat -nr ? на твоем элвисе и ifconfig fxp1
>на шлюзе, сюда выведи
на  firewall_1
# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
195.172.160.0   0.0.0.0         255.255.255.248 U        40 0          0 fxp0
195.172.160.0   0.0.0.0         255.255.255.248 U        40 0          0 ipsec0
125.1.0.0       0.0.0.0         255.255.0.0     U        40 0          0 fxp1
127.0.0.0       0.0.0.0         255.0.0.0       U        40 0          0 lo
0.0.0.0         195.172.160.1   0.0.0.0         UG       40 0          0 fxp0

# ifconfig fxp1
fxp1      Link encap:Ethernet  HWaddr 00:50:05:28:dc:4c
          inet addr:125.1.10.100  Bcast:128.1.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:57376357 errors:12 dropped:0 overruns:0 frame:12
          TX packets:62785974 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0
          RX bytes:4093803206 (3904.1 Mb)  TX bytes:2648428612 (2525.7 Mb)

на ELVIS
route show
Destination    Gateway            Flags    Refs    Use    Mtu    Interface
localhost    localhost        UH    0    368    33224    lo0
125.1/16    link#2            UC    0    0    -    eth0
125.1.10.100    00:50:05:28:dc:4c    UHLc    0    6    -    eth0
186.186.186/24    link#1            UC    0    0    -    eth1

"Помогите!"
Отправлено A Clockwork Orange , 31-Май-05 11:17

где можно схему нормальную увидеть?

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 11:19

>где можно схему нормальную увидеть?
почитайте всю тему с начала.
В середине более менне понятную нарисоват сумел :о)

"Помогите!"
Отправлено open , 31-Май-05 11:34

или я слепой или маршрута по умолчанию у тя на Элвисе нету...
>>вроде да только надо отребутить, как инит скрипты вызывать не помню.
>>route -n или netstat -nr ? на твоем элвисе и ifconfig fxp1
>>на шлюзе, сюда выведи
>
>на  firewall_1
># netstat -nr
>Kernel IP routing table
>Destination     Gateway
>  Genmask
>Flags   MSS Window  irtt Iface
>195.172.160.0   0.0.0.0
>255.255.255.248 U        40 0
>         0 fxp0
>
>195.172.160.0   0.0.0.0
>255.255.255.248 U        40 0
>         0 ipsec0
>
>125.1.0.0       0.0.0.0
>    255.255.0.0     U
>      40 0
>      0 fxp1
>127.0.0.0       0.0.0.0
>    255.0.0.0
>U        40 0
>        0 lo
>0.0.0.0         195.172.160.1
>0.0.0.0         UG
>     40 0
>     0 fxp0
>
>
># ifconfig fxp1
>fxp1      Link encap:Ethernet  HWaddr 00:50:05:28:dc:4c
>          inet addr:125.1.10.100
> Bcast:128.1.255.255  Mask:255.255.0.0
>          UP BROADCAST
>RUNNING MULTICAST  MTU:1500  Metric:1
>          RX packets:57376357
>errors:12 dropped:0 overruns:0 frame:12
>          TX packets:62785974
>errors:0 dropped:0 overruns:0 carrier:0
>          collisions:0
>          RX bytes:4093803206
>(3904.1 Mb)  TX bytes:2648428612 (2525.7 Mb)
>
>
>на ELVIS
>route show
>Destination Gateway   Flags Refs Use Mtu Interface
>localhost localhost  UH 0 368 33224 lo0
>125.1/16 link#2   UC 0 0 - eth0
>125.1.10.100 00:50:05:28:dc:4c UHLc 0 6 - eth0
>186.186.186/24 link#1   UC 0 0 - eth1

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 11:58

>или я слепой или маршрута по умолчанию у тя на Элвисе нету...
>
>
а то не он?
125.1.10.100 00:50:05:28:dc:4c UHLc 0 6 - eth0

"Помогите!"
Отправлено open , 31-Май-05 12:07

1) с элвиса ping <firewall_1> ?
2) c элвиса traceroute -n ya.ru ?

>>насколько я понял твою схему, между ELVIS и firewall_1 только хабы, свичи
>>и т.д.
>точно
>>на внутр eth интерефейсе на firewall_1 нет случаем привязки по arp ?
>>
>>arp -a |grep <IP_ELVIS>
>а пусто!
>а если просто arp -a, то выводит много чего

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 12:35

>1) с элвиса ping <firewall_1> ?
есть
>2) c элвиса traceroute -n ya.ru ?
traceroute to ya.ru (213.180.204.8)
sendto: no route to host

"Помогите!"
Отправлено open , 31-Май-05 14:49

нету маршрута по умолчанию
man route почитай и пропиши вручную
на внешнем фареволе icmp не зарезан ?
>>1) с элвиса ping <firewall_1> ?
>есть
>>2) c элвиса traceroute -n ya.ru ?
>traceroute to ya.ru (213.180.204.8)
>sendto: no route to host

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 15:01

>нету маршрута по умолчанию
>man route почитай и пропиши вручную
прийдется
>на внешнем фареволе icmp не зарезан ?
неа, открыт

"Помогите!"
Отправлено A Clockwork Orange , 31-Май-05 15:30

мужики, дв вы гурманы

"Помогите!"
Отправлено open , 31-Май-05 15:46

мы публичные ананисты :)
учитывая то что понадобилось постов 10-15 что б таки понять что между 2-мя узнали нет оборудования выше 2-го уровня....
...схема клёвая конечно :)

>мужики, дв вы гурманы

"Помогите!"
Отправлено A Clockwork Orange , 31-Май-05 15:48

кому как, я до сих пор не понял схемы

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 16:07

>мы публичные ананисты :)
>учитывая то что понадобилось постов 10-15 что б таки понять что между
>2-мя узнали нет оборудования выше 2-го уровня....
>...схема клёвая конечно :)
>
А объясните ламеру - че такое оборудование 2го уровня?!
А схема действительно замудреная - не мною созданная и приходится расхлебывать.

"Помогите!"
Отправлено A Clockwork Orange , 31-Май-05 16:09

ты ее нарисуй на бумажке нормальненько так, и все станет ясно, это же как надо насиловать свою голову что бы приникнуться к тому что ты нарисовал.
орден опену

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 16:17

>ты ее нарисуй на бумажке нормальненько так, и все станет ясно, это
>же как надо насиловать свою голову что бы приникнуться к тому
>что ты нарисовал.
>орден опену

Вот про орден это точно!
В структуре мне все понятно - мне не понятно почему у меня в mygate прописан IP внешнего fwalla, а пакеты до него не доходят. выходит что route не работает.

"Помогите!"
Отправлено A Clockwork Orange , 31-Май-05 16:26

ну судя по твоему рисунку, твой элвис и внешний фаервол соединения черазе свич, хаб или напрямую, и почему не он должен быть гейтом для элвиса
фаервол со стороны элвиса fxp1 (адрес?)
элвис со стороны фаеврола ? (адрес?)
netstat -rn на элвис
netstat -rn на фаерволе
правила фаервола касательно fxp1
фаеврол на элвисе?
не поленись повтори, или рисуй схему по-человечески

"Помогите!"
Отправлено open , 31-Май-05 16:38

...есть такая 7-ми уровневая модель сетевого взаимодействия удаленных систем, книгу купи по сетям очень поможет :)
2-й уроверь канальный, коммутаторы работают на этом уровне
3-й маршрутизаторы
если интересно дальше то сам прочтешь
...последний совет попробуй фойлик mygate создать так
echo "125.1.10.100" > /etc/mygate
...на сколько помню 125.1.10.100 у тя шлюз по умолчанию...
и отребуться если не поможет то тебе сюда http://www.openbsd.ru/mail.html
>>мы публичные ананисты :)
>>учитывая то что понадобилось постов 10-15 что б таки понять что между
>>2-мя узнали нет оборудования выше 2-го уровня....
>>...схема клёвая конечно :)
>>
>А объясните ламеру - че такое оборудование 2го уровня?!
>
>А схема действительно замудреная - не мною созданная и приходится расхлебывать.

"Помогите!"
Отправлено ElvisPresley , 31-Май-05 17:11

>...последний совет попробуй фойлик mygate создать так
>echo "125.1.10.100" > /etc/mygate
>...на сколько помню 125.1.10.100 у тя шлюз по умолчанию...
а у меня в этом файле уже давно прписан этот ИП - еще при установки системы сделал это

"Помогите!"
Отправлено Jelis , 31-Май-05 20:07

>>...последний совет попробуй фойлик mygate создать так
>>echo "125.1.10.100" > /etc/mygate
>>...на сколько помню 125.1.10.100 у тя шлюз по умолчанию...
>
>а у меня в этом файле уже давно прписан этот ИП -
>еще при установки системы сделал это
Схема - издевательство!!! Если хочеш чтобы толково помогали постарайся по крайне мере НОРМАЛЬНО объяснять!!!
Как я понял "firewal_1" - Linux, gateway в инет. Elvis на Опене - роутер для локалки ?
Покажи вывод команд на Elvise:
ifconfig -A
netstat -rn
sysctl net.inet.ip.forwarding
pfctl -vvs r
заодно можеш и dmesg
И на "firewal" :
ifconfig -a
netstat -rn

( netstat -rn мы уже видели, но можно есче раз , что б вместе было )

"Помогите!"
Отправлено ElvisPresley , 01-Июн-05 11:47

>Схема - издевательство!!! Если хочеш чтобы толково помогали постарайся по крайне мере
>НОРМАЛЬНО объяснять!!!
>
Для начала издевательскую схему перерисовал и как посоветовали бывалые разместил на сайте.
_http://elvispresley2005.narod.ru/photoalbum.html

"Помогите!"
Отправлено open , 01-Июн-05 11:58

а на фаревол_1
маршрут на 186.186.186.0/24 через 125.1.10.2 есть ?
....что то я не увидел его..
на  firewall_1
# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
195.172.160.0   0.0.0.0         255.255.255.248 U        40 0          0 fxp0
195.172.160.0   0.0.0.0         255.255.255.248 U        40 0          0 ipsec0
125.1.0.0       0.0.0.0         255.255.0.0     U        40 0          0 fxp1
127.0.0.0       0.0.0.0         255.0.0.0       U        40 0          0 lo
0.0.0.0         195.172.160.1   0.0.0.0         UG       40 0          0 fxp0
>>Схема - издевательство!!! Если хочеш чтобы толково помогали постарайся по крайне мере
>>НОРМАЛЬНО объяснять!!!
>>
>
>Для начала издевательскую схему перерисовал и как посоветовали бывалые разместил на сайте.
>
>_http://elvispresley2005.narod.ru/photoalbum.html

"Помогите!"
Отправлено ElvisPresley , 01-Июн-05 12:09

>а на фаревол_1
>маршрут на 186.186.186.0/24 через 125.1.10.2 есть ?
>....что то я не увидел его..
>
>
получается, что нет
нужно создавать значит?

"Помогите!"
Отправлено open , 01-Июн-05 12:18

естессно нужно, т.к. если ядро не находит соотв маршрута пакет идет на шлюз по умолчанию....
пропиши маршрут.
запусти на Элвисе ping ya.ru
а на firewall_1 tcpdump -n -i fxp1 icmp
icpm запрос ответ будет виден ?
>>а на фаревол_1
>>маршрут на 186.186.186.0/24 через 125.1.10.2 есть ?
>>....что то я не увидел его..
>>
>>
>получается, что нет
>нужно создавать значит?

"Помогите!"
Отправлено ElvisPresley , 01-Июн-05 12:35

>естессно нужно, т.к. если ядро не находит соотв маршрута пакет идет на
>шлюз по умолчанию....
>пропиши маршрут.
>запусти на Элвисе ping ya.ru
>а на firewall_1 tcpdump -n -i fxp1 icmp
>icpm запрос ответ будет виден ?
>
при pf.conf
nat on $ext from $users2_ip_group to $users_ip_group -> $ext
pass quick all
(просто ping на Elvis у меня закрыт и отрывать в дальнейшем не буду)
на firewall_1 tcpdump -n -i fxp1 icmp ответ виден
12:35:48.940000 125.1.10.2 > 213.180.204.8: icmp: echo request
12:35:48.960000 213.180.204.8 > 125.1.10.2: icmp: echo reply

"Помогите!"
Отправлено A Clockwork Orange , 01-Июн-05 12:09

тоже правильно

"Помогите!"
Отправлено A Clockwork Orange , 01-Июн-05 12:06

Треться серия
Судя по твоей схеме фаерволл на Керио работает как прокси
Мне кажется задумка была такой
На фаерволл_1 выходит
-HTTP, FTP трафик с Керио-прокси
-POP, SMTP трафик от пользователей USERS
-POP, SMTP трафик от Елвиса (USERS2)
-DNS от всех
На Керио выходит
-HTTP, FTP трафик от пользователей USERS
-HTTP, FTP трафик от Елвиса (USERS2)
Покажи правила pf с Елвиса
Покажи правила фаервола на firewall_1
А схема замечательная.

"Помогите!"
Отправлено ElvisPresley , 01-Июн-05 12:28

>Треться серия
>
>Судя по твоей схеме фаерволл на Керио работает как прокси
>Мне кажется задумка была такой
>На фаерволл_1 выходит
>-HTTP, FTP трафик с Керио-прокси
>-POP, SMTP трафик от пользователей USERS
>-POP, SMTP трафик от Елвиса (USERS2)
>-DNS от всех
>
>На Керио выходит
>-HTTP, FTP трафик от пользователей USERS
>-HTTP, FTP трафик от Елвиса (USERS2)
>
точно!
>Покажи правила pf с Елвиса
>Покажи правила фаервола на firewall_1
>
а что тут показывать?!
на Елвисе даже выствляя
nat on $ext from $users2_ip_group to $users_ip_group -> $ext
pass quick all
вроде как разрешающее ВСЁ, ставя на firewall_1 в /etc/sysconfig/ipchains
-A forward -s 125.1.10.2/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i fxp1 -j MASQ
-A forward -s 125.1.10.2/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i fxp0 -j MASQ
и естественно перегружая правила - не выходит каменный цветок
значит получается нуна разбираться с route
>А схема замечательная.
спасибо, старался

"Помогите!"
Отправлено open , 01-Июн-05 12:32

у тя сеть 186.186.186.0 на Элвисе маршрутизится или натится в адрес 125.1.10.2???????????
>>Треться серия
>>
>>Судя по твоей схеме фаерволл на Керио работает как прокси
>>Мне кажется задумка была такой
>>На фаерволл_1 выходит
>>-HTTP, FTP трафик с Керио-прокси
>>-POP, SMTP трафик от пользователей USERS
>>-POP, SMTP трафик от Елвиса (USERS2)
>>-DNS от всех
>>
>>На Керио выходит
>>-HTTP, FTP трафик от пользователей USERS
>>-HTTP, FTP трафик от Елвиса (USERS2)
>>
>точно!
>>Покажи правила pf с Елвиса
>>Покажи правила фаервола на firewall_1
>>
>а что тут показывать?!
>на Елвисе даже выствляя
>
>nat on $ext from $users2_ip_group to $users_ip_group -> $ext
>pass quick all
>
>вроде как разрешающее ВСЁ, ставя на firewall_1 в /etc/sysconfig/ipchains
>
>-A forward -s 125.1.10.2/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i fxp1 -j MASQ
>-A forward -s 125.1.10.2/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i fxp0 -j MASQ
>
>и естественно перегружая правила - не выходит каменный цветок
>значит получается нуна разбираться с route
>
>>А схема замечательная.
>спасибо, старался

"Помогите!"
Отправлено A Clockwork Orange , 01-Июн-05 12:33

Это фигня
nat on $ext from $users2_ip_group to $users_ip_group -> $ext
pass quick all
Если бы ты сделал
nat on $ext from $users2_ip_group to any -> $ext
pass quick all
должно было бы работать. а если без nat прописывай маршрут на фаерволле_1 как тебе сказал open.

"Помогите!"
Отправлено ElvisPresley , 01-Июн-05 13:01

>Это фигня
>nat on $ext from $users2_ip_group to $users_ip_group -> $ext
>pass quick all
>
>Если бы ты сделал
>nat on $ext from $users2_ip_group to any -> $ext
>pass quick all
>должно было бы работать. а если без nat прописывай маршрут на фаерволле_1
>как тебе сказал open.
ГЕНИЙ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
nat on $ext from $users2_ip_group to any -> $ext
ЗАРАБОТАЛО!!!!
и route не нужен
не to $users_ip_group а to any - поэтому и не уходили пакеты на firewall_1
Ламер я. что ж тут говорить!
ВСЕМ БОЛЬШУЩЕЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!