Доброго времени суток, господа!
У меня сложилась весёлая проблема:
2 линукс-машины за натом (никаких фильтраций в отношении траффика нет).
Так вот:
С одной из машин не пингуется адрес 80.93.50.204, причём трассировка вообще какую-то хрень выводит. Ниже пояснение
машина номер раз (с которой всё норм):gentoo vorona # ifconfig
eth0 Link encap:Ethernet HWaddr 00:50:56:89:00:00
inet addr:192.168.0.54 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:230522234 errors:500 dropped:29135 overruns:0 frame:0
TX packets:337202212 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3333645676 (3.1 GiB) TX bytes:2265295649 (2.1 GiB)
Interrupt:18 Base address:0x2000lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:11657128 errors:0 dropped:0 overruns:0 frame:0
TX packets:11657128 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4590161530 (4.2 GiB) TX bytes:4590161530 (4.2 GiB)gentoo vorona # netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth0gentoo vorona # ping ya.ru -c1
PING ya.ru (77.88.21.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (77.88.21.3): icmp_req=1 ttl=57 time=4.92 ms--- ya.ru ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 4.920/4.920/4.920/0.000 msКак видно, интернеты тут есть
gentoo vorona # ping 80.93.50.204 -c1
PING 80.93.50.204 (80.93.50.204) 56(84) bytes of data.
64 bytes from 80.93.50.204: icmp_req=1 ttl=54 time=15.4 ms--- 80.93.50.204 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 15.499/15.499/15.499/0.000 msgentoo vorona # traceroute 80.93.50.204
traceroute to 80.93.50.204 (80.93.50.204), 30 hops max, 60 byte packets
1 gw.hq.msk.fru-it.ru (192.168.0.254) 0.628 ms 0.186 ms 0.174 ms
2 10.73.16.1 (10.73.16.1) 8.537 ms 9.095 ms 9.917 ms
3 10.72.64.4 (10.72.64.4) 4.902 ms 4.838 ms 4.997 ms
4 gw.linkline.ru (91.200.224.1) 4.966 ms 5.005 ms 4.991 ms
5 * * *
6 m120-1-321-spb-ru.xe-0-0-0-0.peterstar.net (82.196.95.165) 19.175 ms 15.729 ms 15.814 ms
7 93.153.196.86 (93.153.196.86) 15.380 ms 18.073 ms 18.466 ms
8 sphere.viphosts.ru (80.93.50.204) 18.139 ms 15.366 ms 15.058 msИ всё нормально работает
И машина номер 2:
bkpsrv vorona # ifconfig
eth0 Link encap:Ethernet HWaddr 00:14:2a:c2:78:42
inet addr:192.168.0.250 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:292971142 errors:0 dropped:5757 overruns:0 frame:0
TX packets:143676884 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3237028719 (3.0 GiB) TX bytes:1970628921 (1.8 GiB)
Interrupt:23 Base address:0xee00lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:12275 errors:0 dropped:0 overruns:0 frame:0
TX packets:12275 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1255939 (1.1 MiB) TX bytes:1255939 (1.1 MiB)bkpsrv vorona # netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth0
127.0.0.0 127.0.0.1 255.0.0.0 UG 0 0 0 lo
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0bkpsrv vorona # ping ya.ru -c1
PING ya.ru (87.250.250.3) 56(84) bytes of data.
64 bytes from www.yandex.ru (87.250.250.3): icmp_req=1 ttl=58 time=3.30 ms--- ya.ru ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 3.309/3.309/3.309/0.000 msТут интернеты тоже есть
bkpsrv vorona # ping 80.93.50.204 -c1
PING 80.93.50.204 (80.93.50.204) 56(84) bytes of data.
From 192.168.0.250 icmp_seq=1 Destination Host Unreachable--- 80.93.50.204 ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0msbkpsrv vorona # traceroute 80.93.50.204
traceroute to 80.93.50.204 (80.93.50.204), 30 hops max, 60 byte packets
1 192.168.0.250 (192.168.0.250) 3004.868 ms !H 3004.846 ms !H 3004.819 ms !HНо вот здесь засада...
tcpdump -n | grep "80.93.50.204" ничего не ловит, но вот tcpdump -n -ilo вывел следующее:bkpsrv vorona # tcpdump -n -ilo
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
02:43:57.721061 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable, length 92
02:43:57.721077 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable, length 92
02:43:57.721087 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable, length 92
02:44:01.721056 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable, length 92
02:44:01.721072 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable, length 92почему эти пакеты идут не lo? - мне не понятно...
Причём вроде как тут всё работало, но найти причину отвала я просто не могу =(
iptables на 2-й машине даже не стоитПрошу помочь разобраться. Заранее благодарен!
>[оверквотинг удален]
> 02:43:57.721087 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable,
> length 92
> 02:44:01.721056 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable,
> length 92
> 02:44:01.721072 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable,
> length 92
> почему эти пакеты идут не lo? - мне не понятно...
> Причём вроде как тут всё работало, но найти причину отвала я просто
> не могу =(
> iptables на 2-й машине даже не стоит- другие внешние имена/ИП пингуются/трассируются со 2-й машины?
- странный порядок правил в выводе роутов на 2-й машине (по идее пофиг, но вдруг Вас на какую мысль натолкнет - м/б Вы там скрипты писали)
- посмотреть шлюз (обе машины в серой сети)
- какая команда активна была пока Вы tcpdump со второй машины делали? попробуйте сделать tcpdump -n|grep '80.93.50.204' на обеих машинах
>[оверквотинг удален]
>> length 92
>> 02:44:01.721056 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable,
>> length 92
>> 02:44:01.721072 IP 192.168.0.250 > 192.168.0.250: ICMP host 80.93.50.204 unreachable,
>> length 92
>> почему эти пакеты идут не lo? - мне не понятно...
>> Причём вроде как тут всё работало, но найти причину отвала я просто
>> не могу =(
>> iptables на 2-й машине даже не стоит
> - другие внешние имена/ИП пингуются/трассируются со 2-й машины?Другие пингуются и трассируются, но не все. К примеру, distfiles.gentoo.org некоторое время не пинговался с теми же симптомами, но через некоторое время вроде бы пошел
> - странный порядок правил в выводе роутов на 2-й машине (по идее
> пофиг, но вдруг Вас на какую мысль натолкнет - м/б Вы
> там скрипты писали)Скрипты на маршрутизацию не писал. тут просто гента, на которой крутится только крон, который запускает скачивание бекапов.
Содержимое /etc/conf.d/net
# This blank configuration will automatically use DHCP for any net.*
# scripts in /etc/init.d. To create a more complete configuration,
# please review /usr/share/doc/openrc/net.example and save your configuration
# in /etc/conf.d/net (this file :]!).
dns_domain_lo="*почикано*"
dns_search_lo="*почикано*"
config_eth0=("192.168.0.250/24")
routes_eth0=("default via 192.168.0.254")
dns_servers_eth0=( "192.168.0.4 192.168.0.9" )
dns_domain_eth0="*почикано*"
dns_search_eth0="*почикано*"
> - посмотреть шлюз (обе машины в серой сети)В смысле?
> - какая команда активна была пока Вы tcpdump со второй машины делали?
ping 80.93.50.204
> попробуйте сделать tcpdump -n|grep '80.93.50.204' на обеих машинах
Во время пинга tcpdump -n|grep '80.93.50.204' ничего не выдал (на 2-й машине)
На 1-й во время пинга:
gentoo vorona # tcpdump -n|grep '80.93.50.204'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:36:41.731998 IP 192.168.0.54 > 80.93.50.204: ICMP echo request, id 8119, seq 110, length 64
17:36:41.747746 IP 80.93.50.204 > 192.168.0.54: ICMP echo reply, id 8119, seq 110, length 64
17:36:42.733137 IP 192.168.0.54 > 80.93.50.204: ICMP echo request, id 8119, seq 111, length 64
17:36:42.748246 IP 80.93.50.204 > 192.168.0.54: ICMP echo reply, id 8119, seq 111, length 64
17:36:43.734549 IP 192.168.0.54 > 80.93.50.204: ICMP echo request, id 8119, seq 112, length 64
17:36:43.751559 IP 80.93.50.204 > 192.168.0.54: ICMP echo reply, id 8119, seq 112, length 64
17:36:44.735897 IP 192.168.0.54 > 80.93.50.204: ICMP echo request, id 8119, seq 113, length 64
........................
>>[оверквотинг удален]
>> - посмотреть шлюз (обе машины в серой сети)
> В смысле?в том смысле, что раз обе машины в серой сети, то доступ в инет идет ч/з какой-то шлюз. на первый взгляд настройки на машинах нормальные => не мешало бы проверить настройки шлюза для них и найти отличия.. как один из вариантов поиска причин неадекватной работы.
топология сети (хотя бы в отношении этих двух машин) так же остается за гранью предоставленной Вами информации.
>>>[оверквотинг удален]
>>> - посмотреть шлюз (обе машины в серой сети)
>> В смысле?
> в том смысле, что раз обе машины в серой сети то доступ
> в инет идет ч/з какой-то шлюз. на первый взгляд настройки на
> машинах нормальные => не мешало бы проверить настройки шлюза для них
> и найти отличия.. как один из вариантов.
> топология сети (хотя бы в отношении этих двух машин) так же остается
> за гранью предоставленной Вами информации.2-я машина - физ.
1-я машина - виртуальная на vmware-esx, подключена к виртуальному свитчу. виртуальный свитч wmware-esx, 2-я машина и шлюз, подключены к одному физ свитчу (неуправляемому длинку). Шлюз подключен к интернетам с серым айпи, на который провайдер заворачивает еще и белый айпи (но на самом интерфейсе настроен 10.х.х.х).
При перемене мест адресов между 1-й и второй машиной ситуация сохраняется.
Могу дать конфиг pf.conf шлюза, но что-то мне подсказывает, что проблема не в нём =)
>[оверквотинг удален]
>> за гранью предоставленной Вами информации.
> 2-я машина - физ.
> 1-я машина - виртуальная на vmware-esx, подключена к виртуальному свитчу. виртуальный свитч
> wmware-esx, 2-я машина и шлюз, подключены к одному физ свитчу (неуправляемому
> длинку) шлюз подключен к интернетам с серым айпи, на который провайдер
> заворачивает еще и белый айпи (но на самом интерфейсе настроен 10.х.х.х).
> подключены к одному свитчу.
> При перемене мест адресов между 1-й и второй машиной ситуация сохраняется.
> Могу дать конфиг pf.conf шлюза, но что-то мне подсказывает, что проблема не
> в нём =)1)
кстати sphere.viphosts.ru со второй машины пингуется (именно по имени, а не по ИП)?2)
ну надо было сразу про ВМ сказать. тут разбор полетов совсем другой может быть.
>[оверквотинг удален]
>> подключены к одному свитчу.
>> При перемене мест адресов между 1-й и второй машиной ситуация сохраняется.
>> Могу дать конфиг pf.conf шлюза, но что-то мне подсказывает, что проблема не
>> в нём =)
> 1)
> кстати sphere.viphosts.ru со второй машины пингуется (именно по имени, а не по
> ИП)?
> 2)
> ну надо было сразу про ВМ сказать. тут разбор полетов совсем другой
> может быть.1) Не-а:
vorona@bkpsrv ~ $ ping sphere.viphosts.ru
PING sphere.viphosts.ru (80.93.50.204) 56(84) bytes of data.
From 192.168.0.250 icmp_seq=2 Destination Host Unreachable
From 192.168.0.250 icmp_seq=3 Destination Host Unreachable
From 192.168.0.250 icmp_seq=4 Destination Host Unreachable
From 192.168.0.250 icmp_seq=6 Destination Host Unreachable
From 192.168.0.250 icmp_seq=7 Destination Host Unreachable
2)Так на ВМ-то всё работает, проблема с физ. машиной
>[оверквотинг удален]
>> топология сети (хотя бы в отношении этих двух машин) так же остается
>> за гранью предоставленной Вами информации.
> 2-я машина - физ.
> 1-я машина - виртуальная на vmware-esx, подключена к виртуальному свитчу. виртуальный свитч
> wmware-esx, 2-я машина и шлюз, подключены к одному физ свитчу (неуправляемому
> длинку). Шлюз подключен к интернетам с серым айпи, на который провайдер
> заворачивает еще и белый айпи (но на самом интерфейсе настроен 10.х.х.х).
> При перемене мест адресов между 1-й и второй машиной ситуация сохраняется.
> Могу дать конфиг pf.conf шлюза, но что-то мне подсказывает, что проблема не
> в нём =)т.е топология примерно такая выходит?
[1 virt host]->[1 virt switch]->3
[2 hard host]->3
[3 hard switch]->4
[4 hard router]->[nat]inetвиртуалки подняты на железе машины 2? видимо нет..
>[оверквотинг удален]
>> заворачивает еще и белый айпи (но на самом интерфейсе настроен 10.х.х.х).
>> При перемене мест адресов между 1-й и второй машиной ситуация сохраняется.
>> Могу дать конфиг pf.conf шлюза, но что-то мне подсказывает, что проблема не
>> в нём =)
> т.е топология примерно такая выходит?
> [1 virt host]->[1 virt switch]->3
> [2 hard host]->3
> [3 hard switch]->4
> [4 hard router]->[nat]inet
> виртуалки подняты на железе машины 2 или где?--->internet->freeBsd router-->switch d-link
machine#1 (с которой всё ок)<---virtual switch<---switch d-link---->machine #2 (которая не пашет)
Ну да, как, собственно, ты и понял
Машина #1 виртуалка, поднятая на одном железе, Машина #2 - физ. над ругом железе
>[оверквотинг удален]
>> [2 hard host]->3
>> [3 hard switch]->4
>> [4 hard router]->[nat]inet
>> виртуалки подняты на железе машины 2 или где?
> --->internet->freeBsd router-->switch d-link
> machine#1 (с которой всё ок)<---virtual switch<---switch d-link---->machine #2 (которая
> не пашет)
> Ну да, как, собственно, ты и понял
> Машина #1 виртуалка, поднятая на одном железе, Машина #2 - физ. над
> ругом железея редактировал пост, ты на старую редакцию ответил. хочу уточнить. машина #1-виртуалка, #2-железо и #1 работает не на железе #2. так?
наверное тогда стоит посмотреть настройки сети на железе #1 для начала... route, ping итд с нее дайте
PS
думаю потом Вам все равно придется заглянуть на шлюз.
>[оверквотинг удален]
>> --->internet->freeBsd router-->switch d-link
>> machine#1 (с которой всё ок)<---virtual switch<---switch d-link---->machine #2 (которая
>> не пашет)
>> Ну да, как, собственно, ты и понял
>> Машина #1 виртуалка, поднятая на одном железе, Машина #2 - физ. над
>> ругом железе
> я редактировал пост, ты на старую редакцию ответил. хочу уточнить. машина #1-виртуалка,
> #2-железо и #1 работает не на железе #2. так?
> наверное тогда стоит посмотреть настройки сети на железе #1 для начала... route,
> ping итд с нее дайтеНу да, так, а с железом #1 что может быть? Просто на железо #1 я не знаю ни логина, ни пароля, но! Есть еще одна (Ну вернее не одна, но сейчас не об этом) физ машина, включенная в тот же физ свитч, что и железо #2, только виндовая (на ней тоже всё ок) - могу пинг, трейс, ипконфиг и роут оттуда показать - он будет отличаться от виртуалки только ip-адресом.
>[оверквотинг удален]
>> #2-железо и #1 работает не на железе #2. так?
>> наверное тогда стоит посмотреть настройки сети на железе #1 для начала... route,
>> ping итд с нее дайте
> Ну да, так, а с железом #1 что может быть? Просто на
> железо #1 я не знаю ни логина, ни пароля, но! Есть
> еще одна (Ну вернее не одна, но сейчас не об этом)
> физ машина, включенная в тот же физ свитч, что и железо
> #2, только виндовая (на ней тоже всё ок) - могу пинг,
> трейс, ипконфиг и роут оттуда показать - он будет отличаться от
> виртуалки только ip-адресом.виртуалка - надстройка над физикой. а в конечном счете все сигналы по проводам идут - по физике. виртуалка - это воображариум - там какие угодно настройки сделать можно, НО пойдут они в конечном итоге ч/з физику реального железа. в данном случае железа #1.
если нет доступа к настройкам железа #1, то да - конечно дай настройки #3 железного хоста в той же сети - м/б поможет..
route, ping итд
>[оверквотинг удален]
>> #2, только виндовая (на ней тоже всё ок) - могу пинг,
>> трейс, ипконфиг и роут оттуда показать - он будет отличаться от
>> виртуалки только ip-адресом.
> виртуалка - надстройка над физикой. а в конечном счете все сигналы по
> проводам идут - по физике. виртуалка - это воображариум - там
> какие угодно настройки сделать можно, НО пойдут они в конечном итоге
> ч/з физику реального железа. в данном случае железа #1.
> если нет доступа к настройкам железа #1, то да - конечно дай
> настройки #3 железного хоста в той же сети - м/б поможет..
> route, ping итдipconfig:
*почикано*
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Минипорт MAC-моста
Физический адрес. . . . . . . . . : 86-C9-B2-73-AB-7F
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.42
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.254
DNS-серверы . . . . . . . . . . . : 192.168.0.4
192.168.0.9
Мост могу убрать, но полагаю он не помешает, во второй сетевухе вообще ничего не торчит[vorona@HQ C:\]# route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
0x3 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
0x4 ...7a 79 05 45 27 13 ...... Hamachi Network Interface
0x10006 ...86 c9 b2 73 ab 7f ...... ╠шэшяюЁЄ MAC-ьюёЄр
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.42 20
5.0.0.0 255.0.0.0 5.69.39.19 5.69.39.19 20
5.69.39.19 255.255.255.255 127.0.0.1 127.0.0.1 20
5.255.255.255 255.255.255.255 5.69.39.19 5.69.39.19 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.0.42 192.168.0.42 20
192.168.0.0 255.255.255.0 192.168.0.42 192.168.0.42 20
192.168.0.42 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.42 192.168.0.42 20
192.168.64.0 255.255.255.0 192.168.64.1 192.168.64.1 20
192.168.64.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.64.255 255.255.255.255 192.168.64.1 192.168.64.1 20
192.168.133.0 255.255.255.0 192.168.133.1 192.168.133.1 20
192.168.133.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.133.255 255.255.255.255 192.168.133.1 192.168.133.1 20
224.0.0.0 240.0.0.0 5.69.39.19 5.69.39.19 20
224.0.0.0 240.0.0.0 192.168.0.42 192.168.0.42 20
224.0.0.0 240.0.0.0 192.168.64.1 192.168.64.1 20
224.0.0.0 240.0.0.0 192.168.133.1 192.168.133.1 20
255.255.255.255 255.255.255.255 5.69.39.19 5.69.39.19 1
255.255.255.255 255.255.255.255 192.168.0.42 192.168.0.42 1
255.255.255.255 255.255.255.255 192.168.64.1 192.168.64.1 1
255.255.255.255 255.255.255.255 192.168.133.1 192.168.133.1 1
Основной шлюз: 192.168.0.254
===========================================================================
Постоянные маршруты:
Отсутствуетvmnet-ы - от vmware-player'а, на нём ничего не крутится, для тестов.
Hamachi тоже ни к чему не подключен[vorona@HQ C:\]# ping 80.93.50.204
Обмен пакетами с 80.93.50.204 по 32 байт:
Ответ от 80.93.50.204: число байт=32 время=100мс TTL=54
Ответ от 80.93.50.204: число байт=32 время=92мс TTL=54
Ответ от 80.93.50.204: число байт=32 время=77мс TTL=54
Ответ от 80.93.50.204: число байт=32 время=85мс TTL=54Статистика Ping для 80.93.50.204:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 77мсек, Максимальное = 100 мсек, Среднее = 88 мсек[vorona@HQ C:\]# tracert 80.93.50.204
Трассировка маршрута к sphere.viphosts.ru [80.93.50.204]
с максимальным числом прыжков 30:1 1 ms 2 ms 1 ms 192.168.0.254
2 5 ms 4 ms 4 ms 10.73.16.1
3 71 ms 72 ms 71 ms 10.72.64.4
4 88 ms 86 ms 85 ms gw.linkline.ru [91.200.224.1]
5 * * * Превышен интервал ожидания для запроса.
6 77 ms 81 ms 80 ms mx960-1-321-spb-ru.xe-0-2-0-7.peterstar.net [93.
153.147.177]
7 95 ms 98 ms 96 ms 93.153.196.86
8 113 ms 118 ms 107 ms sphere.viphosts.ru [80.93.50.204]Трассировка завершена.
Ну и напоследок:
[vorona@HQ C:\]# tracert 192.168.0.54
Трассировка маршрута к test.lan [192.168.0.54]
с максимальным числом прыжков 30:1 6 ms 3 ms 2 ms test.lan [192.168.0.54]
Трассировка завершена.
[vorona@HQ C:\]# tracert 192.168.0.250
Трассировка маршрута к 192.168.0.250 с максимальным числом прыжков 30
1 7 ms 1 ms <1 мс 192.168.0.250
Трассировка завершена.
пингани-ка шлюз (192.168.0.254) с #2и покажи IPT все же
> пингани-ка шлюз (192.168.0.254) с #2
> и покажи IPT все жеvorona@bkpsrv ~ $ ping 192.168.0.254
PING 192.168.0.254 (192.168.0.254) 56(84) bytes of data.
64 bytes from 192.168.0.254: icmp_req=1 ttl=64 time=0.341 ms
64 bytes from 192.168.0.254: icmp_req=2 ttl=64 time=0.308 ms
^C
--- 192.168.0.254 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.308/0.324/0.341/0.024 ms[root@gw /home/Vorona]# cat /etc/pf.conf
#interface
lan_if = "vr0"
wan_if = "xl0"
wan_ip = "*внешний_ip*"
wan_ip2 = "10.73.16.2"
vpn_net = "192.168.1.0/24"
lan_net = "{192.168.0.0/24 192.168.0.1 192.168.8 192.168.0.11 192.168.0.254 192.168.1.0/24 10.0.6.0/24}"
vpn_server = "*ip_сервера_на колокейшене*"
ntsrv1 = "192.168.0.3"
ex01 = "192.168.0.8"
ex02 = "192.168.0.5"
dns_servers = "{192.168.0.4 192.168.0.9 192.168.0.132}"
ex01_ports = "{25 110 443 993 2525 995}"
ex02_ports = "{25 110 443 993 2525 995}"
service_port = "{22 25 80 443 3306}"
table <badguys> persist
table <ddos> persist
table <sshguard> persist#localhost
set loginterface xl0
set skip on lo0
set block-policy drop#normalise traffic
scrub in all fragment reassemble#NAT
#nat on $wan_if inet from $lan_if to any -> $wan_ip
nat on xl0 from vr0:network to any -> xl0
nat on xl0 from $vpn_net to any -> xl0
#nat on vr0 from vr0:network to 192.168.0.54 -> 192.168.0.253#KOCTblJlb
no nat on $wan_if proto gre all
no nat on $wan_if proto tcp from any to any port = pptp
no nat on $wan_if proto tcp from any port = pptp to any###REDIRECT
#rdr on $lan_if proto { tcp } from $lan_net to any port 80 -> 127.0.0.1 port 3128 #transparent squid
rdr on $lan_if proto tcp from any to $wan_ip -> $wan_ip2
rdr on $wan_if proto tcp from any to any port 88 -> 192.168.0.1 port 88 #webconsole
#rdr on $wan_if proto tcp from any to any port 8888 -> 192.168.0.1 port 80
rdr on $wan_if proto tcp from any to any port smtp -> 192.168.0.5 port smtp
rdr on $wan_if proto tcp from any to any port 21 -> 192.168.0.54 port 2221
rdr on $wan_if proto tcp from any to any port 20 -> 192.168.0.54 port 2220
rdr on $wan_if proto tcp from any to any port 60000:61000 -> 192.168.0.54 port 60000:61000
rdr on $wan_if proto tcp from any to any port 110 -> 192.168.0.5 port 110
rdr on $wan_if proto tcp from any to any port 993 -> 192.168.0.5 port 993
rdr on $wan_if proto tcp from any to any port 2289 -> 192.168.0.54 port 22
rdr on $wan_if proto tcp from any to any port 995 -> 192.168.0.5 port 995
rdr on $wan_if proto tcp from any to any port 2525 -> 192.168.0.5 port 25
#rdr on $wan_if proto tcp from any to any port 3306 -> 192.168.0.54 port 3306
rdr on $wan_if proto tcp from any to any port 33389 -> 192.168.0.201 port 3389
rdr on $wan_if proto tcp from any to any port 13389 -> 192.168.0.43 port 3389
rdr on $wan_if proto tcp from any to any port 12389 -> 192.168.0.55 port 3389
rdr on $wan_if proto tcp from any to any port 13489 -> 192.168.0.36 port 3389
rdr on $wan_if proto tcp from any to any port 777 -> 192.168.0.41 port 3389
rdr on $wan_if proto tcp from any to any port 14389 -> 192.168.0.44 port 3389
rdr on $wan_if proto tcp from any to $wan_if port 53389 -> 192.168.0.37 port 3389
rdr on $wan_if proto tcp from any to $wan_if port 3389 -> 192.168.0.4 port 3389
rdr on $wan_if proto tcp from any to $wan_if port 444 -> 192.168.0.4 port 443
rdr on $wan_if proto tcp from any to $wan_if port 2221 -> 192.168.0.132 port 2221
rdr on $wan_if proto tcp from $vpn_server to $wan_if port 25 -> 192.168.0.5 port smtp
rdr on $wan_if proto tcp from any to $wan_if port 7389 -> 192.168.0.202 port 3389
rdr on $wan_if proto tcp from any to $wan_if port 12344 -> 192.168.0.38 port 3389
rdr on $wan_if proto tcp from any to $wan_if port 11389 -> 192.168.0.40 port 3389
rdr on $wan_if proto tcp from any to $wan_if port 44389 -> 192.168.0.35 port 3389
#DC++
rdr on $wan_ip2 proto tcp from any to any port 29393 -> 192.168.0.13 port 29393
rdr on $wan_ip2 proto udp from any to any port 11034 -> 192.168.0.13 port 11034#torrent
rdr on $wan_if proto tcp from any to $wan_if port 30180 -> 192.168.0.13 port 30180 #torrent#RULES
block in on $wan_if
#block in on $lan_if
#block out on $wan_if proto udp
#block in on $lan_if proto udp
block in log quick from <sshguard> label "ssh bruteforce"
block in log quick on $wan_if from <badguys>
block in log quick on $wan_if from <ddos>pass out on $wan_if inet proto tcp from $wan_if to any keep state
pass out on $wan_if inet proto udp from $wan_if to any keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.1 port 88 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.3 port 80 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.1 port 80 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.54 port 2221 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.54 port 2220 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.54 port 60000:61000 keep state
pass in on $wan_if inet proto tcp from any to $ex02 port $ex02_ports keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.201 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.41 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.55 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.54 port 22 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.44 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.43 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.36 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.35 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.38 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.5 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.13 port 30180 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.37 port 3389 keep state
pass in on $wan_if inet proto tcp from any to $wan_if port 8080 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.132 keep state
pass in on $wan_if inet proto tcp from $vpn_server to 192.168.0.5 port smtp keep state
pass in log on $wan_if proto tcp to any port {ssh} keep state (max-src-conn-rate 3/30, overload <badguys> flush global)
pass in on $wan_if inet proto tcp from any to 192.168.0.202 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.40 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.4 port 3389 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.4 port 443 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.54 port 80 keep state
#DDOS
pass in on $wan_if proto tcp to any port $service_port flags S/SA keep state ( max-src-conn-rate 100/5, overload <ddos> flush)#DC++RULES
pass in on $wan_if inet proto tcp from any to $wan_if port 29393 keep state
pass in on $wan_if inet proto udp from any to $wan_if port 11034 keep state
pass in on $wan_if inet proto tcp from any to 192.168.0.13 port 29393 keep state
pass in on $wan_if inet proto udp from any to 192.168.0.13 port 11034 keep state#DNS
#pass out on $wan_if proto udp from any to any port 53 keep state
pass in on $lan_if inet proto udp from $dns_servers to any port 53 keep state#VPN
#pass out on $wan_if inet proto udp from $mail to any to $mail port 2000 keep state
#pass in on $lan_if inet proto udp from any to $vpn_server port 2000 keep statepass quick on $wan_if inet proto tcp from any to any port 1723
pass quick on $wan_if inet proto tcp from any port 1723 to any
pass quick on $wan_if inet proto gre from any to any#pass out on $wan_if inet proto gre from any to any
#pass in on $lan_if inet proto gre from any to any
#pass out on $lan_if inet proto gre from any to any
#SSH
pass in on $wan_if inet proto tcp from any to $wan_if port ssh keep state
pass in on $lan_if inet proto tcp from any to $lan_if port ssh keep state#ICMP
pass in on $wan_if inet proto icmp from any to $wan_if
pass in on $lan_if inet proto icmp from any to $lan_if[root@gw /home/Vorona]# cat /etc/ipfw.script
#!/bin/sh
/sbin/ipfw -q /dev/stdin <<RULES
flush
nat 10 config if xl0
add 10 nat 10 gre from any to any
add 11 nat 10 tcp from any to any dst-port pptp
add 12 nat 10 tcp from any pptp to any
add allow all from any to any
RULESкусок rc.conf
#PF
pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""#ipfw
firewall_enable="YES"
firewall_nat_enable="YES"
firewall_script="/etc/ipfw.script"P.S.: на сегодня пока закругляюсь - продолжение в понедельник
>[оверквотинг удален]
> pf_rules="/etc/pf.conf"
> pf_flags=""
> pflog_enable="YES"
> pflog_logfile="/var/log/pflog"
> pflog_flags=""
> #ipfw
> firewall_enable="YES"
> firewall_nat_enable="YES"
> firewall_script="/etc/ipfw.script"
> P.S.: на сегодня пока закругляюсь - продолжение в понедельникя конечно почитаю, что Вы выдали, только до этого было:
"
Причём вроде как тут всё работало, но найти причину отвала я просто не могу =(
iptables на 2-й машине даже не стоит
"теперь всплывает фряха...
а до этого VM..давайте напишите уже все как есть.
>[оверквотинг удален]
>> P.S.: на сегодня пока закругляюсь - продолжение в понедельник
> я конечно почитаю, что Вы выдали, только до этого было:
> "
> Причём вроде как тут всё работало, но найти причину отвала я просто
> не могу =(
> iptables на 2-й машине даже не стоит
> "
> теперь всплывает фряха...
> а до этого VM..
> давайте напишите уже все как есть.на той машине, с которой проблемы, стоит гента без iptables. На шлюзе фряха с ipfw. Весь офис и виртуалки работают через этот шлюз - везде всё норм, кроме этого одного сервака.
>[оверквотинг удален]
>> P.S.: на сегодня пока закругляюсь - продолжение в понедельник
> я конечно почитаю, что Вы выдали, только до этого было:
> "
> Причём вроде как тут всё работало, но найти причину отвала я просто
> не могу =(
> iptables на 2-й машине даже не стоит
> "
> теперь всплывает фряха...
> а до этого VM..
> давайте напишите уже все как есть.Вот это прикол! Такого я не ожидал! Короче, сегодня просто взял и переподключил проблемную машину к другому порту свитча и сразу всё поднялось. Похоже, что порт выгорел. Но почему были недоступны только некоторые адреса, а не просто не было линка - ума не приложу =) В общем данная тема закрыта. Большое спасибо за участие! =)
>[оверквотинг удален]
>> iptables на 2-й машине даже не стоит
>> "
>> теперь всплывает фряха...
>> а до этого VM..
>> давайте напишите уже все как есть.
> Вот это прикол! Такого я не ожидал! Короче, сегодня просто взял и
> переподключил проблемную машину к другому порту свитча и сразу всё поднялось.
> Похоже, что порт выгорел. Но почему были недоступны только некоторые адреса,
> а не просто не было линка - ума не приложу =)Ничего удивительного. Вполне обычная ситуация.
> В общем данная тема закрыта. Большое спасибо за участие! =)
Аллилуйя.