roma33rus Posted January 28, 2013 (edited) Народ привет. Ситуация такая. Есть FreeBSD 9.1. Сразу скажу, что в ней я не шарю. На ней стоит bgp и маршрутизация и впринципе все. Аплинк к провайдеру весит на em0, на em1 висят vlan с названиями интерфейсов vlan*. Стоит abills, который генерит правила для доступа и ограничения скорости абонентам по dummynet, все данные он берет с соседнего сервака. Суть в том, что когда в ipfw висит правило по умолчанию, разрешающее доступ всем пользователям, так вот когда скрипт биллинга отрабатыает и создает правила для доступа и ограничения, то пользователям закрывается инет. Привожу правила, которые у меня получаются. Помогите, пожалуйста, разобраться, где косяк. Где 1.1.1.1 - ip соседнего сервака, где стоит mysql, откуда беруться все данные, и 1.1.2.2 и 1.1.2.3 - ip адреса клиентов. Ядро скомпилированно с такими опциями: options IPFIREWALL options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET 00010 allow tcp from any to 1.1.1.1 dst-port 9443 via vlan* 00011 allow tcp from any to 1.1.1.1 dst-port 3306 via vlan* 00012 allow tcp from 1.1.1.1 3306 to any via vlan* 00013 allow tcp from 1.1.1.1 9443 to any via vlan* 00014 allow tcp from any to 1.1.1.1 dst-port 80 via vlan* 00015 allow tcp from 1.1.1.1 80 to any via vlan* 08000 pipe tablearg ip from table(15) to table(2,2) in recv vlan* 08010 pipe tablearg ip from table(2,2) to table(14) out xmit vlan* 09000 pipe tablearg ip from table(13) to table(2,1) in recv vlan* 09010 pipe tablearg ip from table(2,1) to table(12) out xmit vlan* 10000 pipe tablearg ip from table(11) to any in recv vlan* 10010 pipe tablearg ip from any to table(10) out xmit vlan* 10020 allow ip from table(9) to any in recv vlan* 10025 allow ip from any to table(9) out xmit vlan* 30004 allow ip from 1.1.2.2 to any 30004 allow ip from any to 1.1.2.2 30006 allow ip from 1.1.2.3 to any 30006 allow ip from any to 1.1.2.3 64100 allow icmp from any to me via vlan* 64101 allow icmp from me to any via vlan* 64400 allow udp from any to 1.1.1.1 dst-port 53 64450 allow udp from 1.1.1.1 53 to any 65000 deny ip from not table(10) to any via vlan* in 65535 allow ip from any to any Edited January 28, 2013 by roma33rus Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
blizz Posted January 30, 2013 Опишите более подробно, в какой момент у юзеров отваливаеься инет. Из конфига понятнл что обычные смертные попадают в таблицы ипфв. Дополнительные юзеры идут по своим правилам(отдельным). Видимо в момент генерирования правил происходит сброс правил, пайпов, таблиц. Собственно что и привлдит к описанной проблемме Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma33rus Posted January 31, 2013 Опишите более подробно, в какой момент у юзеров отваливаеься инет. Из конфига понятнл что обычные смертные попадают в таблицы ипфв. Дополнительные юзеры идут по своим правилам(отдельным). Видимо в момент генерирования правил происходит сброс правил, пайпов, таблиц. Собственно что и привлдит к описанной проблемме Спасибо за ответ. Я уже разобрался. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...