Доброго всем времени.Помогите решить такую проблему. Есть сервер - раздает интернет клиентам. На сервере есть FreeBSD 6.3. SNAT делается в pf.
Основной канал имеет тенденцию к падениям. Для этого был подключен ADSL от другого провайдера на резерв. Модем получает по PPPoE адрес и натит траф в инет из Ethernet. Ethernet воткнут в еще одну сетевую на сервере. Между сервером и модемом серые адреса.
На время падения основного канала правило NAT правится для NATa на серый айпи в сторону модема. А в ipfw добавляется правило fwd, чтобы повернуть траф от клиентов в сторону ADSL.
И тут начинается грабль. Трафик icmp (echo request and reply) бегает от клиентов отлично. mysql, ftp и ssh тож нормально. А вот с вебом засада какая-то.
Делаю:
nmap <some ip> -p 80
и получаю filtered.
nmap <some ip> -p 80 -P0
и получаю open.
Но страницы ни браузером, ни telnet'ом по 80 порту вытянуть не получается. Смотрю в это время tcpdump на всех, доступных мне точках. Среди прочего у меня есть пара пакетов обмена между мной и 80 портов сервера в инете. И есть один пакет без ответа. Смотрю на вебсервере в инете - ответ ушел. Но даже до сервера (роутера с FreeBSD) он не дошел. Что может быть за засада?
К слову - если модем воткнуть напрямую в какой-нибудь писюк - там с 80 портом проблем нет. Но и на сервере с FreeBSD с фаером проверно проблем нет.
Еще одна деталь - если траф идет до сервера с FreeBSD от клиента по VPN PPTP (mpd5), то веб не работает (на любом сером айпи из любой подсети - как бы не крутил фаер). Зато напряму из локалку сделав fwd и nat все работает. MTU на PPTP 1460. Больше, насколько я знаю, не резон, чтобы избежать фрагментации в FastEthernet.