nicol@s Опубликовано 7 июля, 2010 · Жалоба Добрый день. Цель задачи - синхронизировать стейты на NAT1 и NAT2. Вот схема соединения. Клиент: IP 10.0.0.1 GW 10.0.0.222 Сервер: IP 1.1.1.1 GW 1.1.1.111 Конфиги pf на NAT1 и NAT2 одинаковые: nat pass on em2 from 10.0.0.0/24 to any -> x.x.x.0/24 source-hash abracadabra static-port pass quick from any to any PFSYNC настроен на синхронизацию через интерфейс em0 на обеих машинах: 1. ifconfig для NAT1: em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4> ether 00:15:17:8e:ed:a8 inet 192.168.254.253 netmask 0xffffff00 broadcast 192.168.254.255 media: Ethernet autoselect (1000baseT <full-duplex>) status: active 2. ifconfig для NAT2: em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4> ether 00:1b:21:50:0c:a6 inet 192.168.254.254 netmask 0xffffff00 broadcast 192.168.254.255 media: Ethernet autoselect (1000baseT <full-duplex>) status: active В /etc/rc.conf: 1. NAT1 ##pfsync ifconfig_em0="inet 192.168.254.253 netmask 255.255.255.0" pfsync_enable="YES" pfsync_syncdev="em0" pfsync_syncpeer="192.168.254.254" 2. NAT2 ##pfsync ifconfig_em0="inet 192.168.254.254 netmask 255.255.255.0" pfsync_enable="YES" pfsync_syncdev="em0" pfsync_syncpeer="192.168.254.253" Запускаю с клиента: ping 1.1.1.1 Ответа нет. При этом смотрю стейты на NAT1 и NAT2: 1. NAT1 all icmp x.x.x.249:30010 <- 1.1.1.1 0:0 all icmp 1.1.1.1:30010 -> x.x.x.249 0:0 all icmp 1.1.1.1:512 <- 10.0.0.1 0:0 2. NAT2 all icmp 1.1.1.1:512 <- 10.0.0.1 0:0 all icmp 10.0.0.1:512 -> x.x.x.249:30010 -> 1.1.1.1 0:0 all icmp 1.1.1.1:30010 -> x.x.x.249 0:0 Из последнего видно, что на NAT1 нету стейта: all icmp 10.0.0.1:512 -> x.x.x.249:30010 -> 1.1.1.1 0:0 tcpdump`ом выяснил, что пакеты от 1.1.1.1 доходят до интерфейса em2 NAT1 и дальше в сеть не попадают. Подскажите, куда копать? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 июля, 2010 · Жалоба set skip on em0 попробовать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pilferst Опубликовано 14 января, 2011 · Жалоба здравствуйте, set skip вам помог? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...