user_anonymous Posted March 11, 2008 Posted March 11, 2008 (edited) Решил тут я сделать небольшой сервер доступа на FreeBSD 7.0, mpd5 и файерволе pf для фильтрации и ната. И натолкнулся на очень странную картину - пакеты, идущие по PPPoE туннелю почему-то не натятся, хотя, по идее, все должно работать. Подскажите плиз, где мой косяк и в чем может быть причина такой странной ситуации. Сеть устроена так: во внешний мир смотрит интерфейс vlan607 с белым ИП (базируется на rl1), во внутренний - rl0. Во внутренней сети ходят адреса из 192.168.1.0/24. Хочется организовать туда же туннели PPPoE, по которым выдавть адреса из 192.168.25.0/24 и пропускать во внешнку только хосты из 192.168.25.0/24. # pfctl -s all | head -18 No ALTQ support in kernel ALTQ related functions disabled TRANSLATION RULES: nat on vlan607 inet from 192.168.25.0/24 to any -> (vlan607) round-robin FILTER RULES: scrub in all fragment reassemble block return in log all pass quick on lo0 all flags S/SA keep state pass in quick on rl1 proto udp from any to (rl1) port = domain keep state pass in quick on rl1 proto icmp from any to (rl1) keep state pass in quick on vlan607 proto udp from any to (vlan607) port = domain keep state pass in quick on vlan607 proto icmp from any to (vlan607) keep state pass in quick on rl0 inet proto tcp from 192.168.1.0/24 to (rl0) port = ssh flags S/SA keep state pass in quick on rl0 inet proto udp from 192.168.1.0/24 to (rl0) port = domain keep state pass out quick proto tcp all flags S/SA keep state pass out quick proto udp all keep state pass out quick proto icmp all keep state pass in quick inet from 192.168.25.0/24 to any flags S/SA keep state Через подобный набор правил бы направлен пинг на внешний подконтрольный сервер, где tcpdump показал, что пакеты идут не с белого ИП, а с серого адреса в сети, выделенной для туннелей PPPoE. PS Я знаю, что карточки rl не фонтан, но для данного случая их производительности вполне хватает. PPS черт, не в той теме сообщение создал -перенесите плиз в софт. Edited March 11, 2008 by user_anonymous Вставить ник Quote
dsk Posted March 11, 2008 Posted March 11, 2008 (edited) Попробуйте "топором": nat from 192.168.25.0/24 to any -> ваш_внешний_ип т.е. все без указания интерфейсов для начала. Edited March 11, 2008 by dsk Вставить ник Quote
user_anonymous Posted March 11, 2008 Author Posted March 11, 2008 Попробуйте "топором": nat from 192.168.25.0/24 to any -> ваш_внешний_ип т.е. все без указания интерфейсов для начала. Попробовал. Увы, не помогло... 17:35:58.402720 IP 192.168.25.6 > xxxxxxxxx.ru: ICMP echo request, id 1280, seq 512, length 40 17:35:58.402752 IP xxxxxxxxxx.ru > 192.168.25.6: ICMP echo reply, id 1280, seq 512, length 40 Вставить ник Quote
Nafanya Posted March 11, 2008 Posted March 11, 2008 а пакеты в pf попадают? pfctl -s info что показывает? Вставить ник Quote
IvanI Posted March 11, 2008 Posted March 11, 2008 При выборе ната 2 года назад пробовал PF, IPNAT, NATD и NG_NAT все на фре 6.2 - с PF и IPNAT криво работали ICMP и GRE, NATD медленный, острновился на NG_NAT для пулов и NATD для спейифических трансляий. Вставить ник Quote
dsk Posted March 12, 2008 Posted March 12, 2008 17:35:58.402720 IP 192.168.25.6 > xxxxxxxxx.ru: ICMP echo request, id 1280, seq 512, length 40 17:35:58.402752 IP xxxxxxxxxx.ru > 192.168.25.6: ICMP echo reply, id 1280, seq 512, length 40 А как это у вас??? Судя по этому у вас все работает, вы просто слушаете на интерфейсе уже после ната. Вставить ник Quote
user_anonymous Posted March 12, 2008 Author Posted March 12, 2008 (edited) 17:35:58.402720 IP 192.168.25.6 > xxxxxxxxx.ru: ICMP echo request, id 1280, seq 512, length 40 17:35:58.402752 IP xxxxxxxxxx.ru > 192.168.25.6: ICMP echo reply, id 1280, seq 512, length 40 А как это у вас??? Судя по этому у вас все работает, вы просто слушаете на интерфейсе уже после ната. Нет, это tcpdump с другого сервера. (Как раз тот самый xxxxxxxxx.ru) 2 Nafanya а пакеты в pf попадают?pfctl -s info что показывает? Небыло времени попробовать, но в ближайшее время покажу. Вообще у меня сложилось крайне неприятное впечатление, что трафик идет в обход pf, так как несмотря на длительный пинг в таблице состояний было пусто. Edited March 12, 2008 by user_anonymous Вставить ник Quote
dwemer Posted March 13, 2008 Posted March 13, 2008 может он у вас выключен? включить: pfctl -e Вставить ник Quote
user_anonymous Posted March 13, 2008 Author Posted March 13, 2008 может он у вас выключен? включить: pfctl -e Все заработало. Анализ произошедшего показывает, что виною всему был я сам, так как хотя и прописал в rc.conf pf_enable="YES", но вот сервер после этого не перегружал (просто забыл) - соответственно и прописка эта не применилась. Так что вы как в воду глядели. Именно так все и оказалось. Я - LOL :( Всем откликнувшимся спасибо за помощь и участие. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.