форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD в качестве шлюза"
Сообщение от Max (??) on 16-Ноя-04, 14:32  (MSK)
Есть сеть с выходом в инет через шлюз с ОС FreeBSD 4.9 На шлюзе три интерфейса из них только два физических, тоесть инет у шлюза до прова через VPN и на шлюзе запущен нат и ipfw всем рулит. Всё работает пинги изнутри (с клиентских машин) наружу ходят, и трасероут и телнет. Но вот проблема есть ряд сайтов с которых WWW не идёт, пинг есть, телнет на 80 порт тоже а браузер страницу не открывает. Что делать не знаю а нужно очень... Вот сайты для тесту: www.trigor.ru www.trs.su www.bingo.ru Я думаю дело в фрагментации пакетов??? Но как настроить не знаю...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FreeBSD в качестве шлюза"
Сообщение от Simps (??) on 16-Ноя-04, 16:43  (MSK)
>Есть сеть с выходом в инет через шлюз с ОС FreeBSD 4.9 > >На шлюзе три интерфейса из них только два физических, тоесть инет у >шлюза до прова через VPN и на шлюзе запущен нат и >ipfw всем рулит. >Всё работает пинги изнутри (с клиентских машин) наружу ходят, и трасероут и >телнет. > >Но вот проблема есть ряд сайтов с которых WWW не идёт, пинг >есть, телнет на 80 порт тоже а браузер страницу не открывает. >Что делать не знаю а нужно очень... >Вот сайты для тесту: >www.trigor.ru >www.trs.su >www.bingo.ru > >Я думаю дело в фрагментации пакетов??? Но как настроить не знаю... Проверь mtu на интерфейсе который tun
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD в качестве шлюза"
Сообщение от Max (??) on 17-Ноя-04, 10:30  (MSK)
mtu как раз 1500 я не менял, хотя больше выставить тоже нельзя!!!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "FreeBSD в качестве шлюза"
	Сообщение от boykov (ok) on 17-Ноя-04, 13:26  (MSK)
	>mtu как раз 1500 я не менял, хотя больше выставить тоже нельзя!!! > Во-во. Нужно сделать меньше. подбирается число типа 1500-заголовок_туннеля И, как сказал товарищ, посмотреть нет ли запрета на фрагментацию. И на icmp need to frag.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeBSD в качестве шлюза"
Сообщение от RSR (ok) on 17-Ноя-04, 13:22  (MSK)
>Но вот проблема есть ряд сайтов с которых WWW не идёт, пинг >есть, телнет на 80 порт тоже а браузер страницу не открывает. >Что делать не знаю а нужно очень... >Вот сайты для тесту: >www.trigor.ru >www.trs.su >www.bingo.ru > >Я думаю дело в фрагментации пакетов??? Но как настроить не знаю... а случайно нет запрета на пакеты с флагом frag ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "FreeBSD в качестве шлюза"
Сообщение от Max (??) on 17-Ноя-04, 17:16  (MSK)
А запрет имеется ввиду фаерволом??? Если да то запрета нет. Если не фаером то поясните плиз, очень надо....
	Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "FreeBSD в качестве шлюза"
Сообщение от Max (??) on 17-Ноя-04, 17:17  (MSK)
На всякий случай вот конфиг фаера: ${ipfw} add 100 allow tcp from 10.203.254.254 to me 5896 ${ipfw} add 101 allow tcp from 10.203.0.4 to me 5896 ${ipfw} add 102 allow tcp from 10.203.0.6 to me 5896 ${ipfw} add 103 deny tcp from not 10.203.0.4 to me 5896 ${ipfw} add 104 deny tcp from not 10.203.0.6 to me 5896 ${ipfw} add 105 deny tcp from not 10.203.254.254 to me 5896 ${ipfw} add 106 deny tcp from not 10.203.0.4 to me 5895 ${ipfw} add 107 allow tcp from 10.203.0.4 to me 5895 ${ipfw} add 108 allow all from me to any ${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 ${ipfw} add 201 deny icmp from any to any frag ${ipfw} add 202 reject ip from 10.203.0.0/16 to any in not recv rl0 ${ipfw} add 203 allow icmp from 10.203.0.0/16 to me in via dc0 ${ipfw} add 204 deny all from 10.203.0.0/16 to any in via ng0 ${ipfw} add 205 deny tcp from any to me 20,21 in via ng0 ${ipfw} add 65000 deny udp from 10.203.0.0/16 to me 53 ${ipfw} add 65001 deny tcp from 10.203.0.0/16 to me 53 ${ipfw} add 65002 deny tcp from 10.203.0.0/16 to me 3128 ${ipfw} add 65003 deny tcp from 10.203.0.0/16 to me 80 ${ipfw} add 65004 deny tcp from 10.203.0.0/16 to me 25 ${ipfw} add 65005 deny tcp from 10.203.0.0/16 to me 110 ${ipfw} add 65006 divert natd all from any to any in via ng0 Если ещё чего надо то говорите...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "FreeBSD в качестве шлюза"
	Сообщение от boykov (ok) on 17-Ноя-04, 17:36  (MSK)
	>На всякий случай вот конфиг фаера: > >${ipfw} add 100 allow tcp from 10.203.254.254 to me 5896 >${ipfw} add 101 allow tcp from 10.203.0.4 to me 5896 >${ipfw} add 102 allow tcp from 10.203.0.6 to me 5896 >${ipfw} add 103 deny tcp from not 10.203.0.4 to me 5896 >${ipfw} add 104 deny tcp from not 10.203.0.6 to me 5896 >${ipfw} add 105 deny tcp from not 10.203.254.254 to me 5896 странная какая-то конструкция... последние три строчки должны быть сведены к одной. >${ipfw} add 106 deny tcp from not 10.203.0.4 to me 5895 >${ipfw} add 107 allow tcp from 10.203.0.4 to me 5895 >${ipfw} add 108 allow all from me to any >${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 А вот здесь -- проблема. ты need to frag закрыл > >${ipfw} add 201 deny icmp from any to any frag нахрена? >${ipfw} add 202 reject ip from 10.203.0.0/16 to any in not recv >rl0 >${ipfw} add 203 allow icmp from 10.203.0.0/16 to me in via dc0 > >${ipfw} add 204 deny all from 10.203.0.0/16 to any in via ng0 > >${ipfw} add 205 deny tcp from any to me 20,21 in via >ng0 >${ipfw} add 65000 deny udp from 10.203.0.0/16 to me 53 >${ipfw} add 65001 deny tcp from 10.203.0.0/16 to me 53 >${ipfw} add 65002 deny tcp from 10.203.0.0/16 to me 3128 >${ipfw} add 65003 deny tcp from 10.203.0.0/16 to me 80 >${ipfw} add 65004 deny tcp from 10.203.0.0/16 to me 25 >${ipfw} add 65005 deny tcp from 10.203.0.0/16 to me 110 >${ipfw} add 65006 divert natd all from any to any in via >ng0 > >Если ещё чего надо то говорите... Ситуевина вот какая. Твой браузер (или твоему браузеру) шлют пакет размером 1500. Пакет приходит к началу туннеля и ему говорят: а нифига ты не влезешь, потому как к тебе еще заголовок надо присобачить, а у нас mtu ровно 1500... В общем не пущают. И шлют об этом icmp паект, мол надо того, поменьше. А он, пакет этот, рубится. Потому как файер. И не факт, что только у тебя, воплне возможно, что где-то в сети -- мало ли мудаков админами работают. А посему -- поставь mtu 1300.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "FreeBSD в качестве шлюза"
	Сообщение от Max (??) on 18-Ноя-04, 11:05  (MSK)
	>>На всякий случай вот конфиг фаера: >> >>${ipfw} add 100 allow tcp from 10.203.254.254 to me 5896 >>${ipfw} add 101 allow tcp from 10.203.0.4 to me 5896 >>${ipfw} add 102 allow tcp from 10.203.0.6 to me 5896 >>${ipfw} add 103 deny tcp from not 10.203.0.4 to me 5896 >>${ipfw} add 104 deny tcp from not 10.203.0.6 to me 5896 >>${ipfw} add 105 deny tcp from not 10.203.254.254 to me 5896 >странная какая-то конструкция... последние три строчки должны быть сведены к одной. > >>${ipfw} add 106 deny tcp from not 10.203.0.4 to me 5895 >>${ipfw} add 107 allow tcp from 10.203.0.4 to me 5895 >>${ipfw} add 108 allow all from me to any >>${ipfw} add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 >А вот здесь -- проблема. ты need to frag закрыл >> >>${ipfw} add 201 deny icmp from any to any frag >нахрена? >>${ipfw} add 202 reject ip from 10.203.0.0/16 to any in not recv >>rl0 >>${ipfw} add 203 allow icmp from 10.203.0.0/16 to me in via dc0 >> >>${ipfw} add 204 deny all from 10.203.0.0/16 to any in via ng0 >> >>${ipfw} add 205 deny tcp from any to me 20,21 in via >>ng0 >>${ipfw} add 65000 deny udp from 10.203.0.0/16 to me 53 >>${ipfw} add 65001 deny tcp from 10.203.0.0/16 to me 53 >>${ipfw} add 65002 deny tcp from 10.203.0.0/16 to me 3128 >>${ipfw} add 65003 deny tcp from 10.203.0.0/16 to me 80 >>${ipfw} add 65004 deny tcp from 10.203.0.0/16 to me 25 >>${ipfw} add 65005 deny tcp from 10.203.0.0/16 to me 110 >>${ipfw} add 65006 divert natd all from any to any in via >>ng0 >> >>Если ещё чего надо то говорите... >Ситуевина вот какая. Твой браузер (или твоему браузеру) шлют пакет размером 1500. >Пакет приходит к началу туннеля и ему говорят: а нифига ты >не влезешь, потому как к тебе еще заголовок надо присобачить, а >у нас mtu ровно 1500... В общем не пущают. И шлют >об этом icmp паект, мол надо того, поменьше. А он, пакет >этот, рубится. Потому как файер. И не факт, что только у >тебя, воплне возможно, что где-то в сети -- мало ли мудаков >админами работают. >А посему -- поставь mtu 1300. ОГРОМНОЕ СПАСИБО, как поробую обязательно напишу... А про конструкцию, то это всего лиж ограничение для доступа на консоль сервака через SSH, и ещё там несколько демонов работает а 5896 - это и есть ssh
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "FreeBSD в качестве шлюза"
	Сообщение от Max (??) on 19-Ноя-04, 15:27  (MSK)
	Всем ОГРОМНОЕ спасибо !!!!!!! Помогло... Достаточно было mtu у виртуального интерфейса поставить 1499 вместо 1500... Кстати что ето за величина такая 1500 (в смысле в чём она измеряется ведь вроде это MAX размер пакета, но 65535байт помойму, а тут 1500??)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "FreeBSD в качестве шлюза"
	Сообщение от Дениска (??) on 19-Ноя-04, 15:32  (MSK)
	>Кстати что ето за величина такая 1500 (в смысле в чём она >измеряется ведь вроде это MAX размер пакета, но 65535байт помойму, а >тут 1500??) 1500 - mtu для ethernet, если я не ошибаюсь
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "FreeBSD в качестве шлюза"
	Сообщение от Max (??) on 19-Ноя-04, 15:39  (MSK)
	>>Кстати что ето за величина такая 1500 (в смысле в чём она >>измеряется ведь вроде это MAX размер пакета, но 65535байт помойму, а >>тут 1500??) >1500 - mtu для ethernet, если я не ошибаюсь Тоесть размер пакета для эзернета составляет 1500 байт?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "FreeBSD в качестве шлюза"
	Сообщение от Дениска (??) on 19-Ноя-04, 16:37  (MSK)
	>Тоесть размер пакета для эзернета составляет 1500 байт? угу, но это по стандарту. т.е. видимо, скорее так: все интерфейсы ethernet обязаны уметь принимать фреймы размером 1500 байт.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.