Hello Александр,
Wednesday, November 2, 2011, 10:39:02 PM, you wrote:
> да нету там ничего такого - обычные удп-тцп
>> Format: PC
>> TCP Ports
>> 27030-27039
>> UDP Ports
>> 1200,27000-27015
>> On Mon, Oct 31, 2011 at 10:58:15PM +0200, Alexander Bolshakov wrote:
>>> Добрый вечер сообществу! Подскажите, плз: есть роутер с двумя
>>> аплинками, за ним сетка. Фаервол организован на связке pf+ipfw. На
>>> ipfw реализован биллинг и шейпинг, на pf - нат (реализация автора
>>> биллинга). Часть сетки пробросили на второго аплинка средствами pf. Но
>>> стали жаловаться клиенты, что не могут связаться с серверами контры.
>>> Tcpdump-ом на внешнем интерфейсе вижу запросы и ответы, но клиент
>>> жалуется, что связи нет. Увы, посмотреть, что творится в сторону
>>> клиента сейчас не могу - клиенты ходят через pptp, а сейчас около 150
>>> подключенных. pf.ctl:
>>>
>>> set limit states 128000
>>> set optimization aggressive
>>> nat pass on re0 from 10.0.0.0/8 to any -> re0
>>> rdr on re0 from ${OIF2} to any -> ${GW2}
>>> pass in route-to { (re0 ${GW2}) } from 10.5.5.0/24 to !10.5.0.0/21 keep
>>> state
>>>
>>> pass in on re0 reply-to ${OIF2} keep state
>>>
>>> Я, к сожалению, pf знаю плохо - больше по ipfw. Подскажите, всё ли
>>> нормально в конфиге? Может, у контры есть какие-то особенности в
>>> протоколе, наподобие ftp? Спасибо!
АРХ> Настройки re0 покажите? В какой адрес Вы натите соединения?
АРХ> Дайте полный конфиг pf и интерфейсов.
Простите за задержку - был в командировке...
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 00:0a:cd:17:07:48
inet xx.xxx.xxx.229 netmask 0xffffff00 broadcast xx.xxx.xxx 255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
шлюз для этого интерфейса - xx.xxx.xxx.1
есть ещё три интерфейса - em0 - основной канал наружу,
em1 - 10.5.0.1, 10.5.1.1, 10.5.2.1 - локалка,
fxp0 - 10.5.5.1 - небольшой сегмент локалки, трафик с которого я
пытаюсь завернуть через re0. А конфиг, приведённый выше и есть -
полный.
PS: Вот, буквально дня три назад, возвращаясь из командировки,
перечитывая архив uafug, наткнулся на описание похожей проблемы: у
человека с pf в качестве основного механизма при использовании
конструкции route-to udp-трафик в новый шлюз не заворачивался. Может,
и здесь та же самая проблема?
--
Best regards,
Alexander mailto:[email protected]
