URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90314
[ Назад ]

Исходное сообщение
"пакеты не идут на внешний интерфейс"

Отправлено Zhura , 16-Ноя-10 19:18 
доброго времени суток!

сервер freebsd 7.2 - роутер, вин2003 - ДНС
на роутере два сетевых интерфейса rl0 - интернет rl1 - локалка
смотрю лог ipfw вижу что запрос от ДНС пришел по интерфейсу rl1 и все - дальше тишина. пакет пропал неизвестно куда :(

вот правила ipfw:

ipfw add 110 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 120 allow icmp from any to any

ipfw add 200 deny log all from ${localnet} to any in via rl0
ipfw add 210 deny log all from any to ${localnet} in via rl0

ipfw add 310 allow all from any to any via lo0
ipfw add 400 allow log all from any to any via rl1

ipfw add 420 divert natd tcp from ${localnet} to any dst-port 9080,9443 out via rl0
ipfw add 430 divert natd tcp from 192.168.0.55 3389 to any out via rl0
ipfw add 440 divert natd tcp from ${localnet} to any dst-port 25,110 out via rl0
ipfw add 441 divert natd tcp from ${localnet} to any dst-port 8080 out via rl0
ipfw add 450 fwd 192.168.0.201,3128 log tcp from ${localnet} to any out via rl0

ipfw add 510 divert natd log all from ${localnet} to any out via rl0
ipfw add 600 divert natd log all from any to me in via rl0

ipfw add 720 allow log tcp from me to any out via rl0
ipfw add 729 allow tcp from any to me dst-port 20,21,80,443,1024-65535 in via rl0
ipfw add 730 deny log tcp from any to me in via rl0
ipfw add 740 allow log tcp from any to ${localnet} in via rl0
ipfw add 750 allow log udp from any 53 to 192.168.0.2 in via rl0
ipfw add 770 allow log udp from me to any 53 out via rl0
ipfw add 780 allow log udp from me to any 1024-65535 out via rl0
ipfw add 790 allow log udp from any 1024-65535 to ${localnet} 1024-65535 in via rl0
ipfw add 791 allow log udp from any 1024-65535 to me 1024-65535 in via rl0
ipfw add 800 deny udp from any to any 443 via rl0
ipfw add 800 deny udp from any 443 to any via rl0
ipfw add 810 deny udp from any to any 80 via rl0
ipfw add 810 deny udp from any 80 to any via rl0
ipfw add 820 deny udp from any to me 137 via rl0
ipfw add 830 deny udp from me to any 1-1024 out via rl0

ipfw add 65000 deny log logamount 100 ip from any to any

вот строка лога:
Nov 16 15:53:56 BSDsrv kernel: ipfw: 400 Accept UDP 192.168.0.2:53 192.168.0.201:64860 in via rl1

т.е. правило 400 пакет прошел и все - куку. больше я его нигде не видел :(
что можете подсказать?


Содержание

Сообщения в этом обсуждении
"пакеты не идут на внешний интерфейс"
Отправлено Pahanivo , 16-Ноя-10 20:50 
> доброго времени суток!
> сервер freebsd 7.2 - роутер, вин2003 - ДНС

видимо про конфигурацию их сетевых интерфейсов все должны сами догадаться?
> на роутере два сетевых интерфейса rl0 - интернет rl1 - локалка
> смотрю лог ipfw вижу что запрос от ДНС пришел по интерфейсу rl1
> и все - дальше тишина. пакет пропал неизвестно куда :(

запросы от ДНС не приходят - приходят ответы
разберист сначала что и куда должно прийти

>[оверквотинг удален]
> ipfw add 440 divert natd tcp from ${localnet} to any dst-port 25,110
> out via rl0
> ipfw add 441 divert natd tcp from ${localnet} to any dst-port 8080
> out via rl0
> ipfw add 450 fwd 192.168.0.201,3128 log tcp from ${localnet} to any out
> via rl0
> ipfw add 510 divert natd log all from ${localnet} to any out
> via rl0
> ipfw add 600 divert natd log all from any to me in
> via rl0

тут надо было еще пару десятков дайверт правил чтобы было проше запутаться


>[оверквотинг удален]
> ipfw add 791 allow log udp from any 1024-65535 to me 1024-65535
> in via rl0
> ipfw add 800 deny udp from any to any 443 via rl0
> ipfw add 800 deny udp from any 443 to any via rl0
> ipfw add 810 deny udp from any to any 80 via rl0
> ipfw add 810 deny udp from any 80 to any via rl0
> ipfw add 820 deny udp from any to me 137 via rl0
> ipfw add 830 deny udp from me to any 1-1024 out via
> rl0
> ipfw add 65000 deny log logamount 100 ip from any to any

непонятный набор правил

> вот строка лога:
> Nov 16 15:53:56 BSDsrv kernel: ipfw: 400 Accept UDP 192.168.0.2:53 192.168.0.201:64860
> in via rl1
> т.е. правило 400 пакет прошел и все - куку. больше я его
> нигде не видел :(
> что можете подсказать?

что тут подсказать? пришел ответ от ДНС сервера - ты лучше подскажи что тебе надо от этого пакета?


"пакеты не идут на внешний интерфейс"
Отправлено Zhura , 17-Ноя-10 16:31 
> запросы от ДНС не приходят - приходят ответы
> разберист сначала что и куда должно прийти

т.е. ответы приходят сами по себе, без запроса? когда интуиция подсказывает ДНС-серверу что ответ кому-то требуется? может не мне нужно разобраться?

>> вот строка лога:
>> Nov 16 15:53:56 BSDsrv kernel: ipfw: 400 Accept UDP 192.168.0.2:53 192.168.0.201:64860
>> in via rl1
>> т.е. правило 400 пакет прошел и все - куку. больше я его
>> нигде не видел :(
>> что можете подсказать?
> что тут подсказать? пришел ответ от ДНС сервера - ты лучше подскажи
> что тебе надо от этого пакета?

это не ответ - это запрос. мне надо понять - куда он дальше пошел? на интернет-сервере ДНС не поднят - сам он обработать запрос не может, но и передавать почему-то никуда не собирается :(