В Густелёв Posted November 28, 2012 Ребята, снаружи: [root@kopengagen /usr/home/kr]# netstat -d -h -w 1 -I vlan158 input (vlan158) output packets errs idrops bytes packets errs bytes colls drops 222k 0 0 86M 209k 0 32M 0 0 224k 0 0 86M 211k 0 32M 0 0 230k 0 0 87M 216k 0 32M 0 0 228k 0 0 86M 215k 0 33M 0 0 229k 0 0 86M 217k 0 33M 0 0 231k 0 0 87M 219k 0 33M 0 0 228k 0 0 86M 215k 0 33M 0 0 226k 0 0 86M 212k 0 32M 0 0 221k 0 0 85M 208k 0 32M 0 0 внутри: [root@kopengagen /usr/home/kr]# netstat -d -h -w 1 -I igb0 input (igb0) output packets errs idrops bytes packets errs bytes colls drops 57k 0 0 20M 71k 0 73M 0 0 58k 0 0 20M 71k 0 73M 0 0 59k 0 0 20M 72k 0 74M 0 0 59k 0 0 20M 71k 0 72M 0 0 59k 0 0 20M 72k 0 74M 0 0 59k 0 0 20M 72k 0 73M 0 0 59k 0 0 20M 72k 0 74M 0 0 58k 0 0 20M 71k 0 73M 0 0 59k 0 0 20M 72k 0 74M 0 0 58k 0 0 19M 72k 0 74M 0 0 ipfw show00100 skipto 200 ip from any to any out 00110 nat tablearg ip from any to table(72) in recv vlan158 00120 allow ip from any to any 00200 nat tablearg ip from table(71) to any out xmit vlan158 65535 allow ip from any to any посмотрел tcpdump-ом трафик, не предназначенный для наших сетей на внешний интерфейс. А там пусто. Это нормально на ваш взгляд? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted November 28, 2012 Могу поспорить, что пропавшие 100 мбит - UDP трафик от торрентов и прочего, ожидающего full cone NAT, а натыкающегося на restricted cone... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
В Густелёв Posted November 28, 2012 NiTr0 Вполне возможно. Но как это доказать? Поставить счётчик на RST пакеты? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
В Густелёв Posted November 28, 2012 NiTr0 а все, разобрался, действительно: 00100 skipto 200 ip from any to any out 00110 nat tablearg ip from any to table(72) in recv vlan158 00120 allow ip from any to any 00200 nat tablearg ip from table(71) to any out xmit vlan158 00500 allow log logamount 1000 ip from any to any при включенном one_pass пакеты должны выходить в правилах ната, а весь левый траф пойдет в последнее правило. посмотрел лог - а там пакеты, которые предназначаются нам, отправляются обратно out xmit vlan158 - то есть в аплинк: ipfw: 500 Accept TCP 85.26.234.160:54570 МОЙ.ПУЛ.IP.АДРЕС:6881 out via vlan158 соответственно, после всех правил НАТа поставил запрет: 00100 skipto 200 ip from any to any out 00110 nat tablearg ip from any to table(72) in recv vlan158 00120 allow ip from any to any 00200 nat tablearg ip from table(71) to any out xmit vlan158 00210 deny ip from any to table(72) out xmit vlan158 - если трафик пришёл на один из наших внешних адресов, то не позволять ему убегать обратно в аплинк! и все сразу стало хорошо. В Густелёв похоже, кто-то забыл поставить в nat config опцию deny_in Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boco Posted November 28, 2012 соответственно, после всех правил НАТа поставил запрет: 00210 deny ip from any to table(72) out xmit vlan158 - если трафик пришёл на один из наших внешних адресов, то не позволять ему убегать обратно в аплинк! наверное вместо этого можно было сделать "ip route x.x.x.x/x Null0", лишнее правило в фаерволе - не айс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted July 22, 2013 (edited) поделитесь инфой, кто блочит 6881. блочите весь диапазон или один порт? Edited July 22, 2013 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
