Имеем
1. 079806 IP 2.2.1.2 > 0.0.0.0: pfsync 228
1. 003864 IP 2.2.1.2 > 0.0.0.0: pfsync 452
1. 027821 IP 2.2.1.2 > 0.0.0.0: pfsync 228
1. 675742 IP 2.2.1.2 > 0.0.0.0: pfsync 452
1. 026450 IP 2.2.1.2 > 0.0.0.0: pfsync 228
2. 010130 IP 2.2.1.2 > 0.0.0.0: pfsync 452
2. 009694 IP 2.2.1.2 > 0.0.0.0: pfsync 452
1. 954670 IP 2.2.1.2 > 0.0.0.0: pfsync 452
1. 059885 IP 2.2.1.2 > 0.0.0.0: pfsync 452
2. 009694 IP 2.2.1.2 > 0.0.0.0: pfsync 452Как избавится от этих попыток синхронизации?
по-умолчанию стоит
pfsync_enable="NO"
ты его настраивал - или вообще не трогал?
ifconfig | grep pfs
Я ядро пересобирал? Насколько я помню, в GENERIC pfsync не вкомпилен, так что скорее всего проще всего еще раз пересобрать, но уже без - "device pfsync"
>Я ядро пересобирал? Насколько я помню, в GENERIC pfsync не вкомпилен, так
>что скорее всего проще всего еще раз пересобрать, но уже без
>- "device
>pfsync"у меня
FreeBSD 6.0-RELEASE
в ядре device pfsync - присутствует
carp временно заглушен
и никаких попыток синхронизации нет
так думаю что ядро тут не причем
Как я понимаю, заглушить pfsync можно только убрав уст-во pfsync. То, что в GENERIC-ядре присутствует carp и pfsync для меня открытие. И что, ifconfig показывает наличие pfsync-устройства?>>Я ядро пересобирал? Насколько я помню, в GENERIC pfsync не вкомпилен, так
>>что скорее всего проще всего еще раз пересобрать, но уже без
>>- "device
>>pfsync"
>
>у меня
>FreeBSD 6.0-RELEASE
>в ядре device pfsync - присутствует
>carp временно заглушен
>и никаких попыток синхронизации нет
>так думаю что ядро тут не причем
pfsync0: flags=0<> mtu 2020в ядре изначально строки такого устройства не было. устройство добавлино как написано в handbook для когда настриавался pf.
>Как я понимаю, заглушить pfsync можно только убрав уст-во pfsync. То, что
>в GENERIC-ядре присутствует carp и pfsync для меня открытие. И что,
>ifconfig показывает наличие pfsync-устройства?да показывает
mail# ifconfig | grep pfs
pfsync0: flags=0<> mtu 2020
mail# tcpdump -i fxp0 | grep pfs
показывает пустоту - т.е. никаких попыток куда-то соедениться нет
ну покажи нам тогда вывод ifconfig весь
+ cat /etc/rc.conf | grep pf
hola# cat /etc/rc.conf | grep pf
pf_enable="YES" # Enable PF (load module if required)
pf_rules="/usr/local/etc/pf.conf"
pf_flags="" # additional flags for pfctl startup
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags=""
hola#
hola# ifconfig -a | grep pf
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208
pfsync0: flags=0<> mtu 2020
hola#
carp не поднят?
carp не поднят
Handbook это конечно хорошо, но если синхронизировать разные машины необходимости нет - то и выкинуть его надо из ядра - pf и без него вполне хороше себя чувствует. Другого способа "заткнуть" его нет
Если же синхронизация нужна, то в rc.conf <<
pfsync_enable="YES"
pfsync_syncdev="pfsync0"
pfsync_ifconfig="x.x.x.x">>Как я понимаю, заглушить pfsync можно только убрав уст-во pfsync. То, что
>>в GENERIC-ядре присутствует carp и pfsync для меня открытие. И что,
>>ifconfig показывает наличие pfsync-устройства?
>
>да показывает
>mail# ifconfig | grep pfs
>pfsync0: flags=0<> mtu 2020
>
>mail# tcpdump -i fxp0 | grep pfs
>показывает пустоту - т.е. никаких попыток куда-то соедениться нет
странно конечно
вот что я сделал
что было
mail# ifconfig |grep pfs
pfsync0: flags=0<> mtu 1348mail# ifconfig pfsync0 syncdev fxp0
mail# ifconfig pfsync0 up
mail# ifconfig |grep pfs
pfsync0: flags=0<> mtu 1348
pfsync: syncdev: fxp0 maxupd: 128mail# tcpdump -i fxp0 | grep pfs
17:28:41.019715 IP 1.1.1.1 >224.0.0.240: pfsync 356
17:28:42.017709 IP 1.1.1.1 > 224.0.0.240: pfsync 532mail# ifconfig pfsync0 down
mail# tcpdump -i fxp0 | grep pfs17:29:40.932164 IP 1.1.1.1 > 224.0.0.240: pfsync 92
17:29:41.932169 IP 1.1.1.1 > 224.0.0.240: pfsync 228т.е. идет рассылка даже при погашенном интерфейсе
mail# ifconfig pfsync0 -syncdev
mail# ifconfig | grep pfs
pfsync0: flags=0<> mtu 1348
mail# tcpdump -i fxp0 | grep pfs
тишина .......попробуй сделать
ifconfig pfsync0 -syncdev
может поможет
или на самом деле выкинь его нах из ядра
у тебя стабле или релиз?
stable
теперь не рассылает, но при
tcpdump -ttt -n -i rl0
раньше показывало что pf блокирует, теперь показвает все что проходит
>stable
>теперь не рассылает, но при
>tcpdump -ttt -n -i rl0
>раньше показывало что pf блокирует, теперь показвает все что проходитНу если стабле тогда понятно - там все может быть
дык я не понял рассылка прекратилась или нет?
рассылка то прекратилась только как теперь посмотреть что pf блокирует?!!!!!!сделал
# ifconfig pfsync0 syncdev rl0
# ifconfig pfsync0 up
ничего не изменилось рассылка не началась
# ifconfig pfsync0 down
# ifconfig pfsync0 -syncdev
опять ничего и рассылки неткак теперь смотреть что пакетный фильтр блокирует?
>рассылка то прекратилась только как теперь посмотреть что pf блокирует?!!!!!!
>
>сделал
># ifconfig pfsync0 syncdev rl0
># ifconfig pfsync0 up
>ничего не изменилось рассылка не началась
># ifconfig pfsync0 down
># ifconfig pfsync0 -syncdev
>опять ничего и рассылки нет
>
>как теперь смотреть что пакетный фильтр блокирует?mail# tcpdump -n -e -ttt -r /var/log/pflog | grep block
пойдет?
а как ты до этого смотрел-то?
У меня тоже такое было. Вменяемого ответа не нашел. Началось после перехода с 5.4 на 6.0. Убирай pfsync с ядра и пересобирай. Все равно ведь не используешь...
К этому багу в шестой добавили еще и synproxy - тоже перестало работать.
До этого смотрел
tcpdump -ttt -n -i rl0
и показывало то что блокируется
а теперь так показывает всё
пардон лоханулся, смотрел
tcpdump -ttt -n -i pflog0
а так все работает
pfsync будем из ядра уберать