FreeBsd 5.3 работает как шлюз. sk0 интерфейс на внутренюю сеть, ed0 выход в инет через ADSL.
В сети примерно 15 машин. Сетка 192.168.0.0/24
Все работает вроде бы хорошо. Если не ставить сквид и прозрачный прокси.
Теперь самое интерестное.
Установил Squid сделал прозрачное проксирование, все заработало, сарг делает отчеты и отдает на Apache. Но после некоторого времени пинг с Freebsd на любой комп в сети прекращает проходить, так же дело обстоит если пинговать с внутренней сети FreeBSD. (время падения от 10 минут до часа, может зависит от загруженности сети)
ifconfig говорит что интерфейс активен.Уже 2 дня борюсь с этим злом smile.gif Результат нулевой. Может у кого нибудь есть какие нибудь соображения, или предложения ? smile.gif Помогите сил больше моих уже нет smile.gif
Теперь мои конфиги, если еще какие конфиги нужны, то выложу.
В Squid.conf добавил.http_port 127.0.0.1:3128
visible_hostname 192.168.0.1
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_single_host off
httpd_accel_with_proxy on
httpd_accel_uses_host_header onacl localnet src 192.168.0.0/24
http_access allow localnetВ /etc/rc.firewall добавлены строки
${fwcmd} add allow tcp from 192.168.0.1 to any
${fwcmd} add fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80пробывал вместо ^^ этих строк вписать.
ipfw add 1100 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
и всеравно падает через минут 40
rc.conf выглядит вот так.
defaultrouter="193.201.118.149"
gateway_enable="YES"
hostname="elios.ipc.ru"
ifconfig_ed0="inet 193.201.118.150 netmask 255.255.255.252"
ifconfig_sk0="inet 192.168.0.1 netmask 255.255.255.0"
natd_enable="YES"
natd_interface="ed0"
#natd_flags=""
linux_enable="NO"
sshd_enable="YES"
usbd_enable="NO"
sendmail_enable="NONE"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
firewall_logging="YES"
natd_flags="-m -u"
squid_enable="YES"
>natd_enable="YES"
>natd_interface="ed0">firewall_type="/etc/rc.firewall"
>firewall_logging="YES"
>natd_flags="-m -u"Доступ к консоли есть? natd работает? правила с divert'ами покажите.
>Доступ к консоли есть? natd работает? правила с divert'ами покажите.Да доступ к консоли есть. natd работает. сейчас включил firewall в режим open.
проработало все это 40-50 минут и бабах. Пинга нет.
сейчас rc.conf выглядит так.
defaultrouter="193.201.118.149"
gateway_enable="YES"
hostname="elios.ipc.ru"
ifconfig_ed0="inet 193.201.118.150 netmask 255.255.255.252"
ifconfig_sk0="inet 192.168.0.1 netmask 255.255.255.0"
natd_enable="YES"
natd_interface="ed0"
natd_flags=""
linux_enable="NO"
usbd_enable="NO"
sendmail_enable="NONE"
firewall_enable="YES"
firewall_type="open"
firewall_script="/etc/rc.firewall"
firewall_logging="YES"
sshd_enable="YES"
#natd_flags="-m -u"
squid_enable="YES"это из rc.firewall
#!/bin/sh -
# Suck in the configuration variables.
if [ -z "${source_rc_confs_defined}" ]; then
if [ -r /etc/defaults/rc.conf ]; then
. /etc/defaults/rc.conf
source_rc_confs
elif [ -r /etc/rc.conf ]; then
. /etc/rc.conf
fi
fi############
setup_loopback () {
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
}if [ -n "${1}" ]; then
firewall_type="${1}"
fi#
case ${firewall_quiet} in
[Yy][Ee][Ss])
fwcmd="/sbin/ipfw -q"
;;
*)
fwcmd="/sbin/ipfw"
;;
esac#
${fwcmd} -f flush############
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esac############
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
setup_loopback
${fwcmd} add 65000 pass all from any to any
;;[Cc][Ll][Ii][Ee][Nn][Tt])
# set these to your network and netmask and ip
net="192.0.2.0"
mask="255.255.255.0"
ip="192.0.2.1"setup_loopback
${fwcmd} add pass all from ${ip} to ${net}:${mask}
${fwcmd} add pass all from ${net}:${mask} to ${ip}
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass all from any to any frag
${fwcmd} add pass tcp from any to ${ip} 25 setup
${fwcmd} add pass tcp from ${ip} to any setup
${fwcmd} add deny tcp from any to any setup
${fwcmd} add pass udp from ${ip} to any 53 keep-state
${fwcmd} add pass udp from ${ip} to any 123 keep-state
;;[Ss][Ii][Mm][Pp][Ll][Ee])
oif="ed0"
onet="192.0.2.0"
omask="255.255.255.240"
oip="192.0.2.1"iif="ed1"
inet="192.0.2.16"
imask="255.255.255.240"
iip="192.0.2.17"setup_loopback
${fwcmd} add deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add deny all from ${onet}:${omask} to any in via ${iif}
${fwcmd} add deny all from any to 10.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add deny all from any to 192.168.0.0/16 via ${oif}
${fwcmd} add deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add deny all from any to 240.0.0.0/4 via ${oif}case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add divert natd all from any to any via ${natd_interface}
fi
;;
esac${fwcmd} add deny all from 10.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 172.16.0.0/12 to any via ${oif}
${fwcmd} add deny all from 192.168.0.0/16 to any via ${oif}
${fwcmd} add deny all from 0.0.0.0/8 to any via ${oif}
${fwcmd} add deny all from 169.254.0.0/16 to any via ${oif}
${fwcmd} add deny all from 192.0.2.0/24 to any via ${oif}
${fwcmd} add deny all from 224.0.0.0/4 to any via ${oif}
${fwcmd} add deny all from 240.0.0.0/4 to any via ${oif}
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass all from any to any frag
${fwcmd} add pass tcp from any to ${oip} 25 setup
${fwcmd} add pass tcp from any to ${oip} 53 setup
${fwcmd} add pass udp from any to ${oip} 53
${fwcmd} add pass udp from ${oip} 53 to any
${fwcmd} add pass tcp from any to ${oip} 80 setup
${fwcmd} add deny log tcp from any to any in via ${oif} setup
${fwcmd} add pass tcp from any to any setup
${fwcmd} add pass udp from ${oip} to any 53 keep-state
${fwcmd} add pass udp from ${oip} to any 123 keep-state;;
[Cc][Ll][Oo][Ss][Ee][Dd])
setup_loopback
;;
[Uu][Nn][Kk][Nn][Oo][Ww][Nn])
;;
*)
if [ -r "${firewall_type}" ]; then
${fwcmd} ${firewall_flags} ${firewall_type}
fi
;;
esacвсе коменты обрезал как мог.
Люди помогите :) Если я криворукий и что то неправильно делаю так и скажите. Просто сегодня мне нужно разобратся с этой хренью. Если влом долго писать, хоть подскажите где рыть, я сам попробую разобратся, или вынесите какой нибудь вердикт :)
>Люди помогите :) Если я криворукий и что то неправильно делаю так
>и скажите. Просто сегодня мне нужно разобратся с этой хренью. Если
>влом долго писать, хоть подскажите где рыть, я сам попробую разобратся,
>или вынесите какой нибудь вердикт :)
А до прозрачного проксирования все работало нормально?
Таких затыков не наблюдалось?
Стоит я думаю посмотреть (в момент пропадания пинга) загруженность машины (проц, память и тд.).
>А до прозрачного проксирования все работало нормально?
>Таких затыков не наблюдалось?
>Стоит я думаю посмотреть (в момент пропадания пинга) загруженность машины (проц, память
>и тд.).Я недавно принял бразды правления сервером, когда первый день пришел на работу серв тоже не пинговался, но незнаю по какой причине. Ребут - и все в норме, потом ничего подобного не наблюдалось. Загрузка ЦП минимальна во время пропадания пинга, охлаждение в норме. Памяти тоже завались. 900 мегов свободной.
>
>>А до прозрачного проксирования все работало нормально?
>>Таких затыков не наблюдалось?
>>Стоит я думаю посмотреть (в момент пропадания пинга) загруженность машины (проц, память
>>и тд.).
>
>Я недавно принял бразды правления сервером, когда первый день пришел на работу
>серв тоже не пинговался, но незнаю по какой причине. Ребут -
>и все в норме, потом ничего подобного не наблюдалось. Загрузка ЦП
>минимальна во время пропадания пинга, охлаждение в норме. Памяти тоже завались.
>900 мегов свободной.
Может все-таки с железом что-то
кстати какой режим сетевухи установлен, Auto? Half Duplex? Full Duplex
Можно попробовать явно указать например Half Duplex (Если Авто выставлено)
>Может все-таки с железом что-то
>кстати какой режим сетевухи установлен, Auto? Half Duplex? Full Duplex
>Можно попробовать явно указать например Half Duplex (Если Авто выставлено)%ifconfig
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:11:d8:15:69:9b
media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
status: active
ed0: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 193.201.118.150 netmask 0xfffffffc broadcast 193.201.118.151
ether 00:00:b4:56:43:3b
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
>
>>Может все-таки с железом что-то
>>кстати какой режим сетевухи установлен, Auto? Half Duplex? Full Duplex
>>Можно попробовать явно указать например Half Duplex (Если Авто выставлено)
>
>%ifconfig
>sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet 192.168.0.1 netmask 0xffffff00
>broadcast 192.168.0.255
> ether 00:11:d8:15:69:9b
> media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
> status: active
>ed0: flags=108843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
> inet 193.201.118.150 netmask 0xfffffffc
>broadcast 193.201.118.151
> ether 00:00:b4:56:43:3b
>plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
>lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
> inet 127.0.0.1 netmask 0xff000000
>
Попробуйifconfig sk0 media 100baseTX mediaopt half-duplex
И еще вопрос, модель сетевухи?PS: На одном из форумов встретил следующее
В компьютер, куда я установил FreeBSD 5.3 Встроена сетевая карта Marvell Yukon 8001. Я настраиваю Samba. После этого компьютеры с Windows его нормально видят. Но через некоторое время соединение пропадает полностью. Даже ping не проходит. Оборудование исправно - ставил Win98 и всё работает неограниченное время.
Возможно стоит посмотреть в сторону http://www.skd.de/e_en/support/driver.html?navid=14
>Попробуй
>
>ifconfig sk0 media 100baseTX mediaopt half-duplex
>И еще вопрос, модель сетевухи?
>
>PS: На одном из форумов встретил следующее
>В компьютер, куда я установил FreeBSD 5.3 Встроена сетевая карта Marvell Yukon
>8001. Я настраиваю Samba. После этого компьютеры с Windows его нормально
>видят. Но через некоторое время соединение пропадает полностью. Даже ping не
>проходит. Оборудование исправно - ставил Win98 и всё работает неограниченное время.
>
>Возможно стоит посмотреть в сторону http://www.skd.de/e_en/support/driver.html?navid=14elios# ifconfig sk0 media 100baseTX mediaopt half-duplex
ifconfig: SIOCSIFMEDIA (mediaopt): Device not configuredпойдука я выяснять что за чудо сетевая стоит, и может драйвера новые посмотрю.
Выяснил, встроеная в мать :) Сейчас дрова скатаю, может и получится что.
>>Попробуй
>>
>>ifconfig sk0 media 100baseTX mediaopt half-duplex
>>И еще вопрос, модель сетевухи?
>>
>>PS: На одном из форумов встретил следующее
>>В компьютер, куда я установил FreeBSD 5.3 Встроена сетевая карта Marvell Yukon
>>8001. Я настраиваю Samba. После этого компьютеры с Windows его нормально
>>видят. Но через некоторое время соединение пропадает полностью. Даже ping не
>>проходит. Оборудование исправно - ставил Win98 и всё работает неограниченное время.
>>
>>Возможно стоит посмотреть в сторону http://www.skd.de/e_en/support/driver.html?navid=14
>
>elios# ifconfig sk0 media 100baseTX mediaopt half-duplex
>ifconfig: SIOCSIFMEDIA (mediaopt): Device not configured
>
>пойдука я выяснять что за чудо сетевая стоит, и может драйвера новые
>посмотрю.
>
>Выяснил, встроеная в мать :) Сейчас дрова скатаю, может и получится что.
>
прежде чем переводить в half-duplex:- сперва стоит посмотреть потери и коллизии на интерфейсах и выяснить с КАКИМ интерфейсом
проблема: sk0 или ed0, куда и как не идет ping или мб лучше traceroute# netstat -I sk0 -w 1
...- ну и конечно же посмотреть в каком режиме хаб или свитч работает 10/100 full или half
# netstat -m (mbuf в системе)
и тд и тп
# man tuning
Прежде чем качать драйвера и что-то ставить, нужно хотя бы локализовать причину:
- драйвер сетевой карты или adsl чудят
- nat + firewall
- посмотреть ядерные параметры (tuning), ядерные параметры различных буферов
- локализовать первопричину: proxy или nat+firewall или драйвера sk0 или ed0Незачем в крайности ударятся, плюс поиск по группе *freebsd* через gropups.google.com
рулит про 5.3
>>>Попробуй
>>>
>>>ifconfig sk0 media 100baseTX mediaopt half-duplex
>>>И еще вопрос, модель сетевухи?
>>>
>>>PS: На одном из форумов встретил следующее
>>>В компьютер, куда я установил FreeBSD 5.3 Встроена сетевая карта Marvell Yukon
>>>8001. Я настраиваю Samba. После этого компьютеры с Windows его нормально
>>>видят. Но через некоторое время соединение пропадает полностью. Даже ping не
>>>проходит. Оборудование исправно - ставил Win98 и всё работает неограниченное время.
>>>
>>>Возможно стоит посмотреть в сторону http://www.skd.de/e_en/support/driver.html?navid=14
>>
>>elios# ifconfig sk0 media 100baseTX mediaopt half-duplex
>>ifconfig: SIOCSIFMEDIA (mediaopt): Device not configured
>>
>>пойдука я выяснять что за чудо сетевая стоит, и может драйвера новые
>>посмотрю.
>>
>>Выяснил, встроеная в мать :) Сейчас дрова скатаю, может и получится что.
>>
>
>
>прежде чем переводить в half-duplex:
>
>- сперва стоит посмотреть потери и коллизии на интерфейсах и выяснить с
>КАКИМ интерфейсом
>проблема: sk0 или ed0, куда и как не идет ping или мб
>лучше traceroute
>
># netstat -I sk0 -w 1
>...
>
>- ну и конечно же посмотреть в каком режиме хаб или свитч
>работает 10/100 full или half
>
># netstat -m (mbuf в системе)
>
>и тд и тп
>
># man tuning
>
>Прежде чем качать драйвера и что-то ставить, нужно хотя бы локализовать причину:
>
>
>- драйвер сетевой карты или adsl чудят
>- nat + firewall
>- посмотреть ядерные параметры (tuning), ядерные параметры различных буферов
>- локализовать первопричину: proxy или nat+firewall или драйвера sk0 или ed0
>
>Незачем в крайности ударятся, плюс поиск по группе *freebsd* через gropups.google.com
>рулит про 5.3
Что то мне подсказывает, что всё это дело подключено к хабу, скорее всего "Intel"! Если так, мой тебе совет, прикупи умный хаб (свич) и не парся!
>Что то мне подсказывает, что всё это дело подключено к хабу, скорее
>всего "Intel"! Если так, мой тебе совет, прикупи умный хаб (свич)
>и не парся!Compex SAS2224B
походу это и есть свич.Сейчас поеду за сетевой картой, напишите пожалуйсто какую лучше взять для freebsd 5.3
и какие лучше не брать.Сам хочу взять Compex.
>>Что то мне подсказывает, что всё это дело подключено к хабу, скорее
>>всего "Intel"! Если так, мой тебе совет, прикупи умный хаб (свич)
>>и не парся!
>
>Compex SAS2224B
>походу это и есть свич.
>
>Сейчас поеду за сетевой картой, напишите пожалуйсто какую лучше взять для freebsd
>5.3
>и какие лучше не брать.
>
>Сам хочу взять Compex.что? сетевую карту Compex? Intel - man fxp чтобы посмотреть на каких чипсетах
свитч лучше управляемый, кто-нить подскажет какой.
брРррр
Как оно вообще у тебя работает? непонял :)Сначала надо завернуть а потом натить и никак иначе
ipfw add 1100 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
вот это правило должно быть меньше 50, потому что дефолтно-врубленный НАТ падает на 50-ое правило. По-пробуй - вдрук поможет 8-)
ЗЫ читать было всё в лом это первое в глаза бросилось.
>брРррр
>Как оно вообще у тебя работает? непонял :)
>
>Сначала надо завернуть а потом натить и никак иначе
>
>ipfw add 1100 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
>
>вот это правило должно быть меньше 50, потому что дефолтно-врубленный НАТ падает
>на 50-ое правило. По-пробуй - вдрук поможет 8-)
>
>ЗЫ читать было всё в лом это первое в глаза бросилось.Пробую.
Как работает ? :) Да вот так и работает, минут сорок, потом рестарт и еще минут сорок :)
Я пока не силен во freeBSD, стараюсь разобратся что к чему. На линуксе я все это уже запускал, нормально работало, но было это год назад, подзабыл напрочь все. А тут резко пришлось пересесть на FreeBSD. Обучаюсь. :)Не не помогло вот это "
ipfw add 49 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
"
20 минут поработало и каюк.
Фигово даже как то :(
>Пробую.
>Как работает ? :) Да вот так и работает, минут сорок, потом
>рестарт и еще минут сорок :)железо тухлое?
>Я пока не силен во freeBSD, стараюсь разобратся что к чему. На
>линуксе я все это уже запускал, нормально работало, но было это
>год назад, подзабыл напрочь все. А тут резко пришлось пересесть на
>FreeBSD. Обучаюсь. :)а хендбук пробовал читать?
>Не не помогло вот это "
>ipfw add 49 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
>"
>20 минут поработало и каюк.
>Фигово даже как то :(это даже меньше чем 40 :)
так-с, для начала покажи это:
# ipfw sh
# tail -100 /var/log/messages
# cat /var/run/dmesg.boot
>>Пробую.
>>Как работает ? :) Да вот так и работает, минут сорок, потом
>>рестарт и еще минут сорок :)
>
>железо тухлое?нет, просто больше 40 минут прокся не работает. ed0 не пингует внутреннюю сеть.
Что с freeBSD в сеть не достучишся, что с сети до freeBSD.
40 минут все работает отлично потом пинг пропадает, но это после вот этого
/usr/local/squid26/sbin/./squid
ipfw add 1100 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
>
>>Я пока не силен во freeBSD, стараюсь разобратся что к чему. На
>>линуксе я все это уже запускал, нормально работало, но было это
>>год назад, подзабыл напрочь все. А тут резко пришлось пересесть на
>>FreeBSD. Обучаюсь. :)
>
>а хендбук пробовал читать?
Пробывал, обстановка нервная, подгоняют с этим сквидом.
Вот установлю тогда в спокойной обстановке все перечитаю.
Просто уже неделю с лишнем мучаюсь, а эффекта нет. :(
>
>>Не не помогло вот это "
>>ipfw add 49 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
>>"
>>20 минут поработало и каюк.
>>Фигово даже как то :(
>
>это даже меньше чем 40 :)
>
>так-с, для начала покажи это:
>
># ipfw sh
># tail -100 /var/log/messages
># cat /var/run/dmesg.boot
ipfw sh >> x.01
vi x.0100100 20 1040 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
01002 0 0 count ip from any to 192.168.0.2
01003 12 10283 count ip from any to 192.168.0.3
01004 0 0 count ip from any to 192.168.0.4
01005 0 0 count ip from any to 192.168.0.5
01006 0 0 count ip from any to 192.168.0.6
01007 0 0 count ip from any to 192.168.0.7
01008 0 0 count ip from any to 192.168.0.8
01009 2 80 count ip from any to 192.168.0.9
01010 85 95636 count ip from any to 192.168.0.10
01011 0 0 count ip from any to 192.168.0.11
01012 980 888087 count ip from any to 192.168.0.12
01013 0 0 count ip from any to 192.168.0.13
01014 113 66412 count ip from any to 192.168.0.14
01015 0 0 count ip from any to 192.168.0.15
01016 0 0 count ip from any to 192.168.0.16
01017 0 0 count ip from any to 192.168.0.17
01018 0 0 count ip from any to 192.168.0.18
01019 0 0 count ip from any to 192.168.0.19
01020 2 80 count ip from any to 192.168.0.20
01021 0 0 count ip from any to 192.168.0.21
02186 0 0 count ip from 192.168.0.186 to any
02187 0 0 count ip from 192.168.0.187 to any
02188 0 0 count ip from 192.168.0.188 to any
02189 0 0 count ip from 192.168.0.189 to any
02190 0 0 count ip from 192.168.0.190 to any
02191 0 0 count ip from 192.168.0.191 to any
02192 0 0 count ip from 192.168.0.192 to any
02193 0 0 count ip from 192.168.0.193 to any
02194 0 0 count ip from 192.168.0.194 to any
02195 0 0 count ip from 192.168.0.195 to any
02196 0 0 count ip from 192.168.0.196 to any
02197 0 0 count ip from 192.168.0.197 to any
02198 0 0 count ip from 192.168.0.198 to any
02199 0 0 count ip from 192.168.0.199 to any
02200 0 0 count ip from 192.168.0.200 to any
02201 0 0 count ip from 192.168.0.201 to any
02202 0 0 count ip from 192.168.0.202 to any
02203 0 0 count ip from 192.168.0.203 to any
02204 0 0 count ip from 192.168.0.204 to any
02205 0 0 count ip from 192.168.0.205 to any
02206 0 0 count ip from 192.168.0.206 to any
02207 0 0 count ip from 192.168.0.207 to any
02208 0 0 count ip from 192.168.0.208 to any
02209 0 0 count ip from 192.168.0.209 to any
02210 0 0 count ip from 192.168.0.210 to any
02211 0 0 count ip from 192.168.0.211 to any
02212 0 0 count ip from 192.168.0.212 to any
02213 0 0 count ip from 192.168.0.213 to any
02214 0 0 count ip from 192.168.0.214 to any
02215 0 0 count ip from 192.168.0.215 to any
02216 0 0 count ip from 192.168.0.216 to any
02217 0 0 count ip from 192.168.0.217 to any
02218 0 0 count ip from 192.168.0.218 to any
02219 0 0 count ip from 192.168.0.219 to any
02220 0 0 count ip from 192.168.0.220 to any
02221 0 0 count ip from 192.168.0.221 to any
02222 0 0 count ip from 192.168.0.222 to any
02223 0 0 count ip from 192.168.0.223 to any
02224 0 0 count ip from 192.168.0.224 to any
02225 0 0 count ip from 192.168.0.225 to any
02226 0 0 count ip from 192.168.0.226 to any
02227 0 0 count ip from 192.168.0.227 to any
02228 0 0 count ip from 192.168.0.228 to any
02229 0 0 count ip from 192.168.0.229 to any
02230 0 0 count ip from 192.168.0.230 to any
02231 0 0 count ip from 192.168.0.231 to any
02232 0 0 count ip from 192.168.0.232 to any
02233 0 0 count ip from 192.168.0.233 to any
02234 0 0 count ip from 192.168.0.234 to any
02235 0 0 count ip from 192.168.0.235 to any
02236 0 0 count ip from 192.168.0.236 to any
02237 0 0 count ip from 192.168.0.237 to any
02238 0 0 count ip from 192.168.0.238 to any
02239 0 0 count ip from 192.168.0.239 to any
02240 0 0 count ip from 192.168.0.240 to any
02241 0 0 count ip from 192.168.0.241 to any
02242 0 0 count ip from 192.168.0.242 to any
02243 0 0 count ip from 192.168.0.243 to any
02244 0 0 count ip from 192.168.0.244 to any
02245 0 0 count ip from 192.168.0.245 to any
02246 0 0 count ip from 192.168.0.246 to any
02247 0 0 count ip from 192.168.0.247 to any
02248 0 0 count ip from 192.168.0.248 to any
02249 0 0 count ip from 192.168.0.249 to any
02250 0 0 count ip from 192.168.0.250 to any
02251 0 0 count ip from 192.168.0.251 to any
02252 0 0 count ip from 192.168.0.252 to any
02253 0 0 count ip from 192.168.0.253 to any
02254 0 0 count ip from 192.168.0.254 to any
10000 6886 6016716 divert 8668 ip from any to 193.201.118.150 in via ed0
20000 6255 867296 divert 8668 ip from 192.168.0.0/24 to any out via ed0
65000 27476 13876701 allow ip from any to any
65535 0 0 allow ip from any to anyelios# tail -100 /var/log/messages
Aug 1 13:30:06 elios kernel: ipfw: Entry 1205 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2205 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1206 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2206 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1207 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2207 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1208 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2208 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1209 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2209 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1210 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2210 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1211 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2211 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1212 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2212 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1213 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2213 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1214 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2214 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1215 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2215 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1216 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2216 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1217 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2217 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1218 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2218 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 1219 cleared.
Aug 1 13:30:06 elios kernel: ipfw: Entry 2219 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1220 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2220 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1221 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2221 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1222 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2222 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1223 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2223 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1224 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2224 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1225 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2225 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1226 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2226 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1227 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2227 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1228 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2228 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1229 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2229 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1230 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2230 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1231 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2231 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1232 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2232 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1233 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2233 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1234 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2234 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1235 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2235 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1236 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2236 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1237 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2237 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1238 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2238 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1239 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2239 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1240 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2240 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1241 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2241 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1242 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2242 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1243 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2243 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1244 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2244 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1245 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2245 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1246 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2246 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1247 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2247 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1248 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2248 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1249 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2249 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1250 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2250 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 1251 cleared.
Aug 1 13:30:07 elios kernel: ipfw: Entry 2251 cleared.
Aug 1 13:30:08 elios kernel: ipfw: Entry 1252 cleared.
Aug 1 13:30:08 elios kernel: ipfw: Entry 2252 cleared.
Aug 1 13:30:08 elios kernel: ipfw: Entry 1253 cleared.
Aug 1 13:30:08 elios kernel: ipfw: Entry 2253 cleared.
Aug 1 13:30:08 elios kernel: ipfw: Entry 1254 cleared.
Aug 1 13:30:08 elios kernel: ipfw: Entry 2254 cleared.elios# cat /var/run/dmesg.boot
Copyright (c) 1992-2004 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD 5.3-RELEASE #4: Sat Jan 19 16:10:55 MSK 2002
root@.ipc.ru:/usr/src/sys/i386/compile/SERV
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Intel(R) Celeron(R) CPU 2.26GHz (2271.83-MHz 686-class CPU)
Origin = "GenuineIntel" Id = 0xf33 Stepping = 3
Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLUSH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE>
real memory = 1073414144 (1023 MB)
avail memory = 1040867328 (992 MB)
ACPI APIC Table: <A M I OEMAPIC >
ioapic0: Changing APIC ID to 1
ioapic0 <Version 2.0> irqs 0-23 on motherboard
npx0: [FAST]
npx0: <math processor> on motherboard
npx0: INT 16 interface
acpi0: <A M I OEMRSDT> on motherboard
acpi0: Power Button (fixed)
Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
acpi_timer0: <24-bit timer at 3.579545MHz> port 0x808-0x80b on acpi0
cpu0: <ACPI CPU> on acpi0
pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
pci0: <ACPI PCI bus> on pcib0
agp0: <Intel 82865 host to AGP bridge> mem 0xf8000000-0xfbffffff at device 0.0 on pci0
pcib1: <ACPI PCI-PCI bridge> at device 1.0 on pci0
pcib1: could not get PCI interrupt routing table for \\_SB_.PCI0.P0P1 - AE_NOT_FOUND
pci1: <ACPI PCI bus> on pcib1
pci1: <display, VGA> at device 0.0 (no driver attached)
pci0: <serial bus, USB> at device 29.0 (no driver attached)
pci0: <serial bus, USB> at device 29.1 (no driver attached)
pci0: <serial bus, USB> at device 29.2 (no driver attached)
pci0: <serial bus, USB> at device 29.3 (no driver attached)
pci0: <serial bus, USB> at device 29.7 (no driver attached)
pcib2: <ACPI PCI-PCI bridge> at device 30.0 on pci0
pci2: <ACPI PCI bus> on pcib2
pci2: <serial bus, FireWire> at device 3.0 (no driver attached)
atapci0: <Promise PDC20378 SATA150 controller> port 0xd880-0xd8ff,0xdfa0-0xdfaf,0xdf00-0xdf3f mem 0xfeac0000-0xfeadffff,0xfeafe000-0xfeafefff irq 23 at device 4.0 on pci2
atapci0: failed: rid 0x20 is memory, requested 4
ata2: channel #0 on atapci0
ata3: channel #1 on atapci0
ata4: channel #2 on atapci0
skc0: <Marvell Gigabit Ethernet> port 0xd400-0xd4ff mem 0xfeaf8000-0xfeafbfff irq 22 at device 5.0 on pci2
skc0: Yukon Gigabit Ethernet 10/100/1000Base-T Adapter
sk0: <Marvell Semiconductor, Inc. Yukon> on skc0
sk0: Ethernet address: 00:11:d8:15:69:9b
miibus0: <MII bus> on sk0
e1000phy0: <Marvell 88E1000 Gigabit PHY> on miibus0
e1000phy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, 1000baseTX-FDX, auto
ed0: <NE2000 PCI Ethernet (RealTek 8029)> port 0xdf80-0xdf9f irq 23 at device 11.0 on pci2
ed0: [GIANT-LOCKED]
ed0: Ethernet address: 00:00:b4:56:43:3b
ed0: if_start running deferred for Giant
type NE2000 (16 bit)
isab0: <PCI-ISA bridge> at device 31.0 on pci0
isa0: <ISA bus> on isab0
atapci1: <Intel ICH5 UDMA100 controller> port 0xfc00-0xfc0f,0x376,0x170-0x177,0x3f6,0x1f0-0x1f7 at device 31.1 on pci0
ata0: channel #0 on atapci1
ata1: channel #1 on atapci1
pci0: <serial bus, SMBus> at device 31.3 (no driver attached)
pci0: <multimedia, audio> at device 31.5 (no driver attached)
acpi_button0: <Power Button> on acpi0
atkbdc0: <Keyboard controller (i8042)> port 0x64,0x60 irq 1 on acpi0
atkbd0: <AT Keyboard> irq 1 on atkbdc0
kbd0 at atkbd0
atkbd0: [GIANT-LOCKED]
sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
sio0: type 16550A
sio1: <16550A-compatible COM port> port 0x2f8-0x2ff irq 3 on acpi0
sio1: type 16550A
fdc0: <floppy drive controller (FDE)> port 0x3f7,0x3f0-0x3f5 irq 6 drq 2 on acpi0
fdc0: [FAST]
fd0: <1440-KB 3.5" drive> on fdc0 drive 0
ppc0: <ECP parallel printer port> port 0x778-0x77b,0x378-0x37f irq 7 drq 3 on acpi0
ppc0: SMC-like chipset (ECP/EPP/PS2/NIBBLE) in COMPATIBLE mode
ppc0: FIFO with 16/16/9 bytes threshold
ppbus0: <Parallel port bus> on ppc0
plip0: <PLIP network interface> on ppbus0
lpt0: <Printer> on ppbus0
lpt0: Interrupt-driven port
ppi0: <Parallel I/O> on ppbus0
pmtimer0 on isa0
sc0: <System console> at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x300>
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
Timecounter "TSC" frequency 2271829383 Hz quality 800
Timecounters tick every 10.000 msec
IP Filter: v3.4.35 initialized. Default = pass all, Logging = enabled
ipfw2 initialized, divert enabled, rule-based forwarding enabled, default to accept, logging limited to 100 packets/entry by default
acd0: CDRW <NEC CD-RW NR-9400A/R800> at ata0-master UDMA33
ad8: 76319MB <ST380011A/8.01> [155061/16/63] at ata4-master UDMA100
ad9: 76319MB <ST380011A/8.01> [155061/16/63] at ata4-slave UDMA100
ar0: 76319MB <ATA RAID1 array> [9729/255/63] status: READY subdisks:
disk0 READY on ad8 at ata4-master
disk1 READY on ad9 at ata4-slave
Mounting root from ufs:/dev/ar0s1aСобственно вот.
правдо "ipfw add 49 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80" вот это еще не ввел.
и сквид не запустил.
не понял!вот это есть в rc.firewall
case ${firewall_type} in
[Oo][Pp][Ee][Nn]|[Cc][Ll][Ii][Ee][Nn][Tt])
case ${natd_enable} in
[Yy][Ee][Ss])
if [ -n "${natd_interface}" ]; then
${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
fi
;;
esac
esacа почему оно у тебя не срабатывает? - это раз
два - убери пока все count-правила
три - откатись на сквид 2.5.Х - потому что он STABLE и в 2.6 синтаксис изменился
четыре - делай так...===rc.conf===
natd_enable="YES"
natd_interface="ed0"
natd_flags="-u -s -m"
squid_enable="YES"
===rc.conf===вот так загрузись - пока что без прозрачного правила. Правила 10000 и 20000 тоже пока убери.
Потом если у тебя появилось правило 50 с натом, сделай правило 40 для прозрачного проксирования и тестируй - если опять упадёт - пиши.ЗЫ правильнее будет
ipfw add 40 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via ed0
>ЗЫ правильнее будет
>ipfw add 40 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80 via
>ed0
и в догонку...# uname -a
и что в ядро дописывал?
>и в догонку...
>
># uname -a
FreeBSD elios.ipc.ru 5.3-RELEASE FreeBSD 5.3-RELEASE #4: Sat Jan 19 16:10:55 MSK 2002 root@.ipc.ru:/usr/src/sys/i386/compile/SERV i386
>и что в ядро дописывал?
К сожалению не могу сказать, я ядро не собирал, сервер остался по наследству :(Завтро попробую сделать все как ты написал, надеюсь получится, если нет всеравно расскажу что вышло :)
>>и в догонку...
>>
>># uname -a
>FreeBSD elios.ipc.ru 5.3-RELEASE FreeBSD 5.3-RELEASE #4: Sat Jan 19 16:10:55 MSK 2002
> root@.ipc.ru:/usr/src/sys/i386/compile/SERV i386ммм... а ты знаешь что в 5.3 fwd поломали? :) как оно работает низнаю 8-)
в то время ходили патчи, но я их не пробовал, насчёт работоспособности ни чего сказать не могу.
так что апдейтись до 5.4 как минимум, лучше конечно до 5.5 :)
>>и что в ядро дописывал?
>К сожалению не могу сказать, я ядро не собирал, сервер остался по
>наследству :(а поглядеть конфиг? на тему
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_FORWARD
и ещё без надобности, но желательно
options IPFIREWALL_FORWARD_EXTENDED
Нефига не вышло. Ладно сейчас буду апдейтить, потом конфиг посмотрю.Всем спасибо за помощь, проблема конечно не решена, но все равно сильно помогли.
А ядро собиралось походу вот из какого конфига.# IPFW:
options MROUTING # Multicast routing
options PIM # Protocol Independent Multicast
options IPFIREWALL #firewall
options IPFIREWALL_VERBOSE #enable logging to syslogd(8)
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity
options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default
#options IPV6FIREWALL #firewall for IPv6
#options IPV6FIREWALL_VERBOSE
#options IPV6FIREWALL_VERBOSE_LIMIT=100
#options IPV6FIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT #divert sockets
options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging
#options IPFILTER_DEFAULT_BLOCK #block all packets by default
options IPSTEALTH #support for stealth forwarding
options TCPDEBUG
Мне кажется проблема с MARVELL-ом!
Сам за...ся на 5.4 Фрее ставить, так что надо копать в эту сторону. ИМХО.
Проблема решилась при смене сетевухи.
Система стала гораздо стабильней работать, пропали коллизии.
>Проблема решилась при смене сетевухи.
>Система стала гораздо стабильней работать, пропали коллизии.
я же говорил железо тухлое :)