nixp.ru v3.0

24 мая 2017,
среда,
09:11:10 MSK

DevOps с компанией «Флант»
kalishenko написал 18 мая 2005 года в 14:05 (403 просмотра) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 6 комментариев на сайте.

Такая ситуация. На шлюзовой машине, имеющей адрес 10.0.2.3 настроил ipfw. На моей машины (WinXP SP2, IP — 10.0.2.59) указал шлюзом по-дефолту эту самую 10.0.2.3. Все ок — Инет есть. А вот у коллеги (WinXP SP2, IP — 10.0.2.2) пинги идут, по днс определяется ай-пи нужного сервера, но браузер ничего не выдает, т.е. IP-пакеты похоже что рубаются. Не пойму, в чем проблема. На обеих тачках виндовые фаеры выключены. Вот что показывает ipfw show на шлюзовой машине:

xxx# ipfw show

00100 0 0 allow ip from any to any via lo0

00200 0 0 deny ip from any to 127.0.0.0/8

00300 0 0 deny ip from 127.0.0.0/8 to any

00400 82 5637 divert 8668 ip from any to any via fxp0

00500 6 384 allow tcp from me to any keep-state via fxp0

00600 12 1008 allow icmp from any to any

00700 6 639 allow udp from me to any 53 keep-state

00800 0 0 allow udp from any to me 53

00900 114 11356 allow ip from me to any

01000 84 7807 allow tcp from any to me 80,443,22

01100 0 0 allow tcp from not 10.0.2.0/24 to me 25

01200 0 0 fwd 127.0.0.1,8080 tcp from 10.0.2.0/24 to any 80 out xmit fxp0

65535 251 26768 allow ip from any to any

Где ошибка?

anonymous
kalishenko
Такая ситуация. На шлюзовой машине, имеющей адрес 10.0.2.3 настроил ipfw. На моей машины (WinXP SP2, IP — 10.0.2.59) указал шлюзом по-дефолту эту самую 10.0.2.3. Все ок — Инет есть. А вот у коллеги (WinXP SP2, IP — 10.0.2.2) пинги идут, по днс определяется ай-пи нужного сервера, но браузер ничего не выдает, т.е. IP-пакеты похоже что рубаются. Не пойму, в чем проблема. На обеих тачках  виндовые фаеры выключены. Вот что показывает ipfw show на шлюзовой машине:

xxx# ipfw show

00100   0     0 allow ip from any to any via lo0

00200   0     0 deny ip from any to 127.0.0.0/8

00300   0     0 deny ip from 127.0.0.0/8 to any

00400  82  5637 divert 8668 ip from any to any via fxp0

00500   6   384 allow tcp from me to any keep-state via fxp0

00600  12  1008 allow icmp from any to any

00700   6   639 allow udp from me to any 53 keep-state

00800   0     0 allow udp from any to me 53

00900 114 11356 allow ip from me to any

01000  84  7807 allow tcp from any to me 80,443,22

01100   0     0 allow tcp from not 10.0.2.0/24 to me 25

01200   0     0 fwd 127.0.0.1,8080 tcp from 10.0.2.0/24 to any 80 out xmit fxp0

65535 251 26768 allow ip from any to any

Где ошибка?

Прокси правильно настроил ? :-) Если да, то браузер коллеги ходит через прокси, а не напрямую ?

kalishenko

>> Прокси правильно настроил ? :-) Если да, то браузер коллеги ходит через прокси, а не напрямую ?

На шлюзовой машине ipfw + natd. В браузере в вкладке подключения все убрано, т.е. по-идее данные берутся из подключения. А там только указан шлюз по умолчанию и днс-сервера провайдера.

anonymous
kalishenko
>> Прокси правильно настроил ? :-) Если да, то браузер коллеги ходит через прокси, а не напрямую ?

На шлюзовой машине ipfw + natd. В браузере в вкладке подключения все убрано, т.е. по-идее данные берутся из подключения. А там только указан шлюз по умолчанию и днс-сервера провайдера.

Так убери форвард на свой прокси и сделай

ipfw add <номер> allow tcp from 10.0.2.0/24 to any 80 out via fxp0

ipfw add <номер> allow tcp from any 80 to 10.0.2.0/24 in via fxp0

Либо, что еще лучше, поставь и настрой squid.

kalishenko

>>Либо, что еще лучше, поставь и настрой squid.

Шлюзовая тачка соединена с провом через АДСЛ-модем по ВПН, поэтому не вижу смысла настраивать squid.

>> Так убери форвард на свой прокси и сделай

Если уберу шлюз по умолчанию для сетевого подключения на клиентской машине пакеты будут уходить в никуда. Или я че-то не так понял?

>>ipfw add <номер> allow tcp from 10.0.2.0/24 to any 80 out via fxp0

>>ipfw add <номер> allow tcp from any 80 to 10.0.2.0/24 in via fxp0

У меня ведь уже есть подобные

00500 6 384 allow tcp from me to any keep-state via fxp0

и

01000 84 7807 allow tcp from any to me 80,443,22

anonymous
kalishenko
>>Либо, что еще лучше,  поставь и настрой squid.

Шлюзовая тачка соединена с провом через АДСЛ-модем по ВПН, поэтому не вижу смысла настраивать squid.

Если тобой пользуются как сервером, всегда есть смысл squid поднять. ;-)

>> Так убери форвард на свой прокси и сделай

Если уберу шлюз по умолчанию для сетевого подключения на клиентской машине пакеты будут уходить в никуда. Или я че-то не так понял?

Строчку с ipfw fwd убери.

>>ipfw add <номер> allow tcp from 10.0.2.0/24 to any 80 out via fxp0

>>ipfw add <номер> allow tcp from any 80 to 10.0.2.0/24 in via fxp0

У меня ведь уже есть подобные

00500   6   384 allow tcp from me to any keep-state via fxp0

и

01000  84  7807 allow tcp from any to me 80,443,22

Ну и ? Правило 1000 разрешает обращаться к твоей машине на эти порты.  Короче говоря, примени kiss-принцип и не парь себе голову.

kalishenko

Чепуха какая-то. С моей и других машинах все работает. На машине коллеги (WinXP SP2) и на машине с Win2003 Server — нет. Пинги на них есть, а вот страницы не отображаются. Может все дело не в ipfw, а во внутренних настройках этих машин? Если так, то каких?

anonymous
kalishenko
Чепуха какая-то. С моей и других машинах все работает. На машине коллеги (WinXP SP2) и на машине с Win2003 Server — нет. Пинги на них есть, а вот страницы не отображаются. Может все дело не в ipfw, а во внутренних настройках этих машин? Если так, то каких?

Тебе лучше знать.

kalishenko

На машине с Win2003 Server в IE стоит высокая степень безопасности. Может он сам рубает все пакеты? И как его поставить в среднюю или низкую степень безопасности?

anonymous
kalishenko
На машине с Win2003 Server в IE стоит высокая степень безопасности. Может он сам рубает все пакеты? И как его поставить в среднюю или низкую степень безопасности?

Очевидно, настройками осла.

kalishenko

Ситуация усложняется. Вырубил FreeBSD, врубил Винду с WinRoute (у меня там 2 винта — один с FreeBsd, другой с Виндой 98) в качестве шлюза. На этой заразе (Win2003 Server) все работает. Получается, что фриха какие-то кривые пакеты ей шлет, потому как когда FreeBsd выступает в роли шлюза netstat на Win2003 Server показывает SYN_SENT, т.е. пытается установить ТСР-соединение, и все, а вот когда Винда 98 выполняет роль шлюза — netstat на Win2003 Server показывает ESTABLISHED, т.е. устойчивое соединение. Есть идеи?

anonymous
kalishenko
Ситуация усложняется. Вырубил FreeBSD, врубил Винду с WinRoute (у меня там 2 винта — один с FreeBsd, другой с Виндой 98) в качестве шлюза. На этой заразе (Win2003 Server) все работает. Получается, что фриха какие-то кривые пакеты ей шлет, потому как когда FreeBsd выступает в роли шлюза netstat на Win2003 Server показывает SYN_SENT, т.е. пытается установить ТСР-соединение, и все, а вот когда Винда 98 выполняет роль шлюза — netstat на Win2003 Server показывает ESTABLISHED, т.е. устойчивое соединение. Есть идеи?

Нет, только догадки.

Помнится, я слышал о том, что форточка смотрит в tcp-заголовок пакетов и на основании анализа некоторых опций делает выбор о приоритете обслуживания или не обслуживает вообще. Поиграйся с tcpdump.

kalishenko

Решил попробовать настроить squid на шлюзе, может тогда проблема решится. Вопрос: natd надо будет вырубать?

anonymous
kalishenko
Решил попробовать настроить squid на шлюзе, может тогда проблема решится. Вопрос: natd надо будет вырубать?

Если только не будешь пользоваться софтом, который не умеет работать через прокси, то выключи.