URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 80565
[ Назад ]

Исходное сообщение
"FreeBSD+VLAN+Apache2"

Отправлено blackjackchik , 02-Июн-08 11:26 
Привет всем.
Помогите, а то уже никаких соображений нет.
У меня проблема следующая.
Стоит FreeBSD 7. На ней висит DNS, Apache2, биллинг. Две сетевые карты re0 и dc0.
re0 смотрит в локальную сеть и на ней висит 5 vlan-ов - 11,22,23,25,26.
vlan11 - 172.16.24.0/24
vlan22 - 172.16.22.0/24
vlan23 - 172.16.23.0/24
vlan25 - 172.16.25.0/24
vlan26 - 172.16.26.0/24
dc0 смотрит в интернет xx.xx.xx.xx маска 255.255.255.240
Значит все работает нормально, только проблема в апаче. Значит веб сервер видно из интернета и из двух vlan-ов - 23,26.
Из vlan 11,22,25 - хоть убей не могу понять почему не видно апача.
Все подсети видят одна другую. При запросе странички веб сервер пишет в лог 200 (типа вот отдал страничку). В фаерволле разрешил доступ. DNS работает, интернет есть во всех подсетях. Что еще может быть не могу понять. Помогите пожалуйста.
Вот выкладываю конфиги

--------rc.conf--------------

defaultrouter="81.21.6.209"
gateway_enable="YES"
hostname="router.cn.km.ua"
ifconfig_dc0="inet xx.xx.xx.xx  netmask 255.255.255.240"
ifconfig_re0="inet 172.16.21.124 netmask 255.255.255.0"
cloned_interfaces="vlan11 vlan22 vlan23 vlan25 vlan26"
ifconfig_vlan11="inet 172.16.24.124 netmask 255.255.255.0 vlan 11 vlandev re0"
ifconfig_vlan22="inet 172.16.22.124 netmask 255.255.255.0 vlan 22 vlandev re0"
ifconfig_vlan23="inet 172.16.23.124 netmask 255.255.255.0 vlan 23 vlandev re0"
ifconfig_vlan25="inet 172.16.25.124 netmask 255.255.255.0 vlan 25 vlandev re0"
ifconfig_vlan26="inet 172.16.26.124 netmask 255.255.255.0 vlan 26 vlandev re0"
linux_enable="YES"
named_enable="YES"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
mysql_enable="YES"
apache22_enable="YES"
natd_enable="YES"
natd_interface="dc0"
ipcad_enable="YES"

---------rc.firewall------------
#!/bin/sh

ipfw='/sbin/ipfw -q'
net22='172.16.22.0/24'       # наша локальная сеть
net23='172.16.23.0/24'
net24='172.16.24.0/24'
net25='172.16.25.0/24'
net26='172.16.26.0/24'

ifout='dc0'               # интерфейс смотрящий в инт
iflocal23='vlan23'              # интерфейс смотрящий в ЛС
iflocal26='vlan26'
iflocal22='vlan22'
iflocal24='vlan11'
iflocal25='vlan25'
${ipfw} -f flush

${ipfw} add 10 allow ip from any to ${net22}, ${net23}, ${net24}, ${net25}, ${net26}

${ipfw} add 100 check-state

${ipfw} add 150 allow ip from any to any via lo0

${ipfw} add 200 allow ip from me to any keep-state

${ipfw} add 220 deny ip from not  ${net22}, ${net23}, ${net24}, ${net25}, ${net26} to any via ${iflocal23} in

${ipfw} add 240 deny ip from any to not me via ${ifout} in

# NAT
${ipfw} add 250 divert natd all from any to not  ${net22}, ${net23}, ${net24}, ${net25}, ${net26} via ${ifout}
${ipfw} add 260 allow ip from any to not ${net22}, ${net23}, ${net24}, ${net25}, ${net26} via ${ifout} out

${ipfw} add allow tcp from any to me ssh

${ipfw} add 310 allow tcp from any to me 80
${ipfw} add 310 allow tcp from any to me 443

${ipfw} add 320 allow tcp from any to me 25,110

${ipfw} add 330 allow icmp from any to me

${ipfw} add 340 allow udp from any to me 53 via ${iflocal23}
${ipfw} add 340 allow tcp from any to me 53 via ${iflocal23}
${ipfw} add 340 allow udp from any to me 53 via ${iflocal22}
${ipfw} add 340 allow tcp from any to me 53 via ${iflocal22}
${ipfw} add 340 allow udp from any to me 53 via ${iflocal24}
${ipfw} add 340 allow tcp from any to me 53 via ${iflocal24}
${ipfw} add 340 allow udp from any to me 53 via ${iflocal25}
${ipfw} add 340 allow tcp from any to me 53 via ${iflocal25}
${ipfw} add 340 allow udp from any to me 53 via ${iflocal26}
${ipfw} add 340 allow tcp from any to me 53 via ${iflocal26}

${ipfw} add 350 allow udp from any to me 7723 via ${iflocal22}
${ipfw} add 350 allow udp from any to me 7723 via ${iflocal23}
${ipfw} add 350 allow udp from any to me 7723 via ${iflocal24}
${ipfw} add 350 allow udp from any to me 7723 via ${iflocal25}
${ipfw} add 350 allow udp from any to me 7723 via ${iflocal26}


${ipfw} add 400 deny ip from any to me

${ipfw} add 450 allow ip from any to any via  ${ifout}

${ipfw} add 65400 allow all from any to any


Содержание

Сообщения в этом обсуждении
"FreeBSD+VLAN+Apache2"
Отправлено byteplayer , 02-Июн-08 13:53 
>Привет всем.
>Помогите, а то уже никаких соображений нет.
>У меня проблема следующая.
>Стоит FreeBSD 7. На ней висит DNS, Apache2, биллинг. Две сетевые карты
>re0 и dc0.

Отвечаю совершенно точно, что драйвер re не имеет полноценной поддержки вланов.
Сабинтерфейсы получают mtu 1496. Не работает корректно фрагментация больших пакетов. Не проходят большие пакеты. Отсюда и проблемы с апачем.
Вставьте в комп что-нибудь интелёвое. Поднимите вланы на нём. Всё будет хорошо.


"FreeBSD+VLAN+Apache2"
Отправлено blackjackchik , 02-Июн-08 14:27 
>[оверквотинг удален]
>>Помогите, а то уже никаких соображений нет.
>>У меня проблема следующая.
>>Стоит FreeBSD 7. На ней висит DNS, Apache2, биллинг. Две сетевые карты
>>re0 и dc0.
>
>Отвечаю совершенно точно, что драйвер re не имеет полноценной поддержки вланов.
>Сабинтерфейсы получают mtu 1496. Не работает корректно фрагментация больших пакетов. Не проходят
>большие пакеты. Отсюда и проблемы с апачем.
>Вставьте в комп что-нибудь интелёвое. Поднимите вланы на нём. Всё будет хорошо.
>

спасибо. попробую. отпишусь.


"FreeBSD+VLAN+Apache2"
Отправлено Rush_alex , 02-Июн-08 14:29 
>[оверквотинг удален]
>>Помогите, а то уже никаких соображений нет.
>>У меня проблема следующая.
>>Стоит FreeBSD 7. На ней висит DNS, Apache2, биллинг. Две сетевые карты
>>re0 и dc0.
>
>Отвечаю совершенно точно, что драйвер re не имеет полноценной поддержки вланов.
>Сабинтерфейсы получают mtu 1496. Не работает корректно фрагментация больших пакетов. Не проходят
>большие пакеты. Отсюда и проблемы с апачем.
>Вставьте в комп что-нибудь интелёвое. Поднимите вланы на нём. Всё будет хорошо.
>

Кривая реализация встроенного vlan решается прощетом  ядром
ifconfig_re0="-vlanhwtag up"


"FreeBSD+VLAN+Apache2"
Отправлено blackjackchik , 02-Июн-08 20:12 
>[оверквотинг удален]
>>>re0 и dc0.
>>
>>Отвечаю совершенно точно, что драйвер re не имеет полноценной поддержки вланов.
>>Сабинтерфейсы получают mtu 1496. Не работает корректно фрагментация больших пакетов. Не проходят
>>большие пакеты. Отсюда и проблемы с апачем.
>>Вставьте в комп что-нибудь интелёвое. Поднимите вланы на нём. Всё будет хорошо.
>>
>
>Кривая реализация встроенного vlan решается прощетом  ядром
>ifconfig_re0="-vlanhwtag up"

Спасибо всем за помощ. Помог как первый вариант так и второй.
Еще раз спасибо.


"FreeBSD+VLAN+Apache2"
Отправлено blackjackchik , 11-Июн-08 14:50 
Буду очень признателен если поможете еще раз.
Как я уже говорил все работает нормально, но в сети есть еще FTP сервер и тепер скорость скачки с ФТП нормальная 5-7Мб/с, а закачка на ФТП 25Кб/с очень медленная закачка. Аналогичная ситуация и между подсетями. В общем скачать можна нормально, а выгрузить что-то получается очень медленно. Конфиги те самые.

"FreeBSD+VLAN+Apache2"
Отправлено blackjackchik , 11-Июн-08 14:53 
>Буду очень признателен если поможете еще раз.
>Как я уже говорил все работает нормально, но в сети есть еще
>FTP сервер и тепер скорость скачки с ФТП нормальная 5-7Мб/с, а
>закачка на ФТП 25Кб/с очень медленная закачка. Аналогичная ситуация и между
>подсетями. В общем скачать можна нормально, а выгрузить что-то получается очень
>медленно. Конфиги те самые.

Добавлю еще что сетевушку re0 сменил на em0. Ип фтп 172.16.23.125