Jump to content

Куда-то пропали сто мегабит аплинка!

В Густелёв
 Share

Recommended Posts

В Густелёв

В Густелёв

Posted
Posted

Ребята,

 

снаружи:

[root@kopengagen /usr/home/kr]# netstat -d -h -w 1 -I vlan158

input (vlan158) output

packets errs idrops bytes packets errs bytes colls drops

222k 0 0 86M 209k 0 32M 0 0

224k 0 0 86M 211k 0 32M 0 0

230k 0 0 87M 216k 0 32M 0 0

228k 0 0 86M 215k 0 33M 0 0

229k 0 0 86M 217k 0 33M 0 0

231k 0 0 87M 219k 0 33M 0 0

228k 0 0 86M 215k 0 33M 0 0

226k 0 0 86M 212k 0 32M 0 0

221k 0 0 85M 208k 0 32M 0 0

 

внутри:

[root@kopengagen /usr/home/kr]# netstat -d -h -w 1 -I igb0

input (igb0) output

packets errs idrops bytes packets errs bytes colls drops

57k 0 0 20M 71k 0 73M 0 0

58k 0 0 20M 71k 0 73M 0 0

59k 0 0 20M 72k 0 74M 0 0

59k 0 0 20M 71k 0 72M 0 0

59k 0 0 20M 72k 0 74M 0 0

59k 0 0 20M 72k 0 73M 0 0

59k 0 0 20M 72k 0 74M 0 0

58k 0 0 20M 71k 0 73M 0 0

59k 0 0 20M 72k 0 74M 0 0

58k 0 0 19M 72k 0 74M 0 0

 

ipfw show

00100 skipto 200 ip from any to any out

00110 nat tablearg ip from any to table(72) in recv vlan158

00120 allow ip from any to any

00200 nat tablearg ip from table(71) to any out xmit vlan158

65535 allow ip from any to any

 

посмотрел tcpdump-ом трафик, не предназначенный для наших сетей на внешний интерфейс.

А там пусто.

 

Это нормально на ваш взгляд?

В Густелёв

В Густелёв

Posted
  • Author
Posted

NiTr0

 

а все, разобрался, действительно:

00100 skipto 200 ip from any to any out

00110 nat tablearg ip from any to table(72) in recv vlan158

00120 allow ip from any to any

00200 nat tablearg ip from table(71) to any out xmit vlan158

 

00500 allow log logamount 1000 ip from any to any

 

при включенном one_pass пакеты должны выходить в правилах ната, а весь левый траф пойдет в последнее правило.

посмотрел лог - а там пакеты, которые предназначаются нам, отправляются обратно out xmit vlan158 - то есть в аплинк:

ipfw: 500 Accept TCP 85.26.234.160:54570 МОЙ.ПУЛ.IP.АДРЕС:6881 out via vlan158

 

соответственно, после всех правил НАТа поставил запрет:

00100 skipto 200 ip from any to any out

00110 nat tablearg ip from any to table(72) in recv vlan158

00120 allow ip from any to any

00200 nat tablearg ip from table(71) to any out xmit vlan158

00210 deny ip from any to table(72) out xmit vlan158 - если трафик пришёл на один из наших внешних адресов, то не позволять ему убегать обратно в аплинк!

 

и все сразу стало хорошо.

 

В Густелёв

похоже, кто-то забыл поставить в nat config опцию deny_in

boco

boco

Posted
Posted

соответственно, после всех правил НАТа поставил запрет:

 

00210 deny ip from any to table(72) out xmit vlan158 - если трафик пришёл на один из наших внешних адресов, то не позволять ему убегать обратно в аплинк!

наверное вместо этого можно было сделать "ip route x.x.x.x/x Null0", лишнее правило в фаерволе - не айс.

  • 7 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.