Я постил нижележачюю проблему, спустя 1,5 месяца хочу рассказать всю историю полностью ввиду странных вещей, с к-рыми мне пришлось столкнуться.
Невозможно сразу определить в какую именно рубрику запостить сию историю,
но держу пари, что она подходит по кр. мере под 2 темы - админ-ние и юмор/приколы .
Итак, сами мы сист. интеграторы, возник объект где моей вполне рутинной задачей была установка роутера (на базе FreeBSD 4.9) + прорубание окна
в направлении Инетских просторов по схеме :
|---- внутр. сеть ----| гейт с FreeBSD на борту (NAT router) |-----|Conexant ADSL-рутер|---|Провы на 3 буквы | --- Внешний мир
Адреса гейта и адсл-рутера, смотрящего на наш гейт - из сети с маской /30 .
Сразу замечу, что harware - комплектация этой машины под рутер, состав софта, а також схема подключения к инету являлась ПОЛНЫМ
аналогом комплектации рутера, установленного в контексте пред. заказа
(т е. машины под гейт были настолько идентичны, что установка ПО на данный рутер свелась к операции dd if/of итд с винта пред. гейта),
прошу обратить на этой внимание и запомнить .
После такого вот переноса системы и настройки базовых её параметров (ip-адреса, рутинг/маскарадинг/firewalling ) и пред
варительного тестирования в оффисных условиях ("it works!...") свеже/быстровыпеченный гейт был препровожден в офис заказчика и там подключен
через ADSL-модем/рутером Conexant к инету (таким же образом как и и гейт пред. клиентов) .
Я и не знал на что меня обрекла судьба ...
Итак, боевая сводка .
В благостном неведении соединяюсь по ssh с новорожденной в качестве инет-шлюза машиной - нэт конэкт .
Щупаем пингом - щупается, и ишо как !! Со страшной силой - с 25 дуплицированными пакетами на каждый обычный пакет !
Характерно причем то , что дуп-пакеты кажет только *nixовый ping - с любой винды ping вам покажет только необходимое кол-во icmp-ответов ...
Пингуем ADSLку - пингуется со штатным энтузиазмом, не забывая передавать icmp-приветы в том числе И ОТ ПЛЮЮЩЕГОСЯ ДУП-ПАКЕТАМИ нашего гейта за ним !
Какие мысли возникали в эту пору - что конекзант настроен нерадивыми провами в дебаг-режиме, например .
Однако выяснить это у печально известных провов (это к-рые на 3 большие буквы откликаются, вы поняли, о ком я )
не представлялось возможным ооочень дооолго в силу характерных особенностей работы их службы поддержки (не могу об этом не упомянуть, достали, паразиты!).
Тем не менее, зазевавшийся (т е опрометчиво поднявший трубку на мой 3301 по счёту тел. звонок) и таки принявший заявку сотрудник техсаппорта
довольно скоро облегченно отрапортовал что с его машины все (наш гейт и адсл-рутер конекзант) пингуется и "простА нету нИкакИх прААблЕм!"
(Леонтьев В. (С))) . Точнее, проблемы есть, но они суть теперь только наши .
На осознании чего и закончилось плодотворное
сотрудничество с провским техсаппортом .
Чтож , копаем дальше .
Выясняем :
- пакеты из внутр. сети идущий через пресловутый гейт и далее по конекзанту во внешний мир и обратно ходят вполне успешно - они НЕ дублируются!
Проверено tcpdump'ом, доказано зануссей .
- Также не дублируются icmp-пакеты, пущенные с гейта с адресом сет. адаптера ВНУТРЕННЕЙ СЕТИ .
- tcp/udp соединения с гейта невозможны по причине "отсутствия маршрута к хосту" ... : - |
Icmp трафик тем не менее как то ходит .
- Весь остальной тип исходящего трафика с самого гейта неизменно вызывает дублирование пакетов.
Переназначаем адреса на сет. адаптерах на гейте - картинка та ж .
И наконец откровение :
Коли выгрузить natd , то проблема исчезает ("И тут все стихло ...") ...
Пакеты ходят на гейт и обратно как стайки тропических рыбок в аквариуме . Есесьсьно, в лок. сеть уже не ходит ничего ))
Тем не менее, стОит только снова загрузить natd и , разумеется, забить divert - правило в файрволле, как праздник незамедлительно
берет свежий старт - снова начинается буйство неукротимых пакетов .
Выводы .
Как известно, дублирование пакетов может наблюдаться коли что не впорядке на link - уровне, или же в ситуации когда IP - адрес представляется
как адрес широковещательный . Идиотизмом не страдаю - маска подсети выставлена корректно - была и есть.
Но вот причем тут natd ...
PS
Как же решилась проблема ?
Проблема решилась в добром согласии с наиболее тупыми предложении с форумов ("Поставь ЛинуХ !") - я сначала проверил как все будет
работать через Knoppix с настроенной марш-зацией и НАТом . Работает ! Поставил нормальный дистриб.
Цыть, флеймеры ! Я поставил линух только по той причине, что не годится ставить например w2k в качестве гейта/файрволла с моей точки зрения .
И уж не для того, чтобы продемонстрировать доказательства того, что "линух в сети круче, чем фрюха" . У меня оставалось слишком мало времени,
для того, чтобы пробовать например ipnat и как следствие возиться с ipf. Поставил ту ось, к-рая в данной ситуации делает то, что велено и
к-рую я достаточно неплохо знаю .
ИСКЛЮЧИТЕЛЬНО редко теперь можно увидеть только 1 дуп-ответ на пинг ...
Я прошерстил достаточно материала по аналогичным случаям - о ничем похожем никто слыхом не слыхивал .
Так ли это ?
Что скажете, коллеги ?
Thanx for the patience .
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
23-Ноя-04, 14:02 (MSK)
