Hello Александр,
Tuesday, November 15, 2011, 10:51:52 PM, you wrote:
>>> да нету там ничего такого - обычные удп-тцп
>>>> Format: PC
>>>> TCP Ports
>>>> 27030-27039
>>>> UDP Ports
>>>> 1200,27000-27015
>>>>> Добрый вечер сообществу! Подскажите, плз: есть роутер с двумя
>>>>> аплинками, за ним сетка. Фаервол организован на связке pf+ipfw. На
>>>>> ipfw реализован биллинг и шейпинг, на pf - нат (реализация автора
>>>>> биллинга). Часть сетки пробросили на второго аплинка средствами pf. Но
>>>>> стали жаловаться клиенты, что не могут связаться с серверами контры.
>>>>> Tcpdump-ом на внешнем интерфейсе вижу запросы и ответы, но клиент
>>>>> жалуется, что связи нет. Увы, посмотреть, что творится в сторону
>>>>> клиента сейчас не могу - клиенты ходят через pptp, а сейчас около 150
>>>>> подключенных. pf.ctl:
>>>>>
>>>>> set limit states 128000
>>>>> set optimization aggressive
>>>>> nat pass on re0 from 10.0.0.0/8 to any -> re0
>>>>> rdr on re0 from ${OIF2} to any -> ${GW2}
>>>>> pass in route-to { (re0 ${GW2}) } from 10.5.5.0/24 to !10.5.0.0/21 keep
>>>>> state
>>>>>
>>>>> pass in on re0 reply-to ${OIF2} keep state
>>>>>
>>>>> Я, к сожалению, pf знаю плохо - больше по ipfw. Подскажите, всё ли
>>>>> нормально в конфиге? Может, у контры есть какие-то особенности в
>>>>> протоколе, наподобие ftp? Спасибо!
АРХ>>> Настройки re0 покажите? В какой адрес Вы натите соединения?
АРХ>>> Дайте полный конфиг pf и интерфейсов.
>> Простите за задержку - был в командировке...
>> re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
>>
>> options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
>> ether 00:0a:cd:17:07:48
>> inet xx.xxx.xxx.229 netmask 0xffffff00 broadcast xx.xxx.xxx 255
>> media: Ethernet autoselect (100baseTX <full-duplex>)
>> status: active
>> шлюз для этого интерфейса - xx.xxx.xxx.1
>> есть ещё три интерфейса - em0 - основной канал наружу,
>> em1 - 10.5.0.1, 10.5.1.1, 10.5.2.1 - локалка,
>> fxp0 - 10.5.5.1 - небольшой сегмент локалки, трафик с которого я
>> пытаюсь завернуть через re0. А конфиг, приведённый выше и есть -
>> полный.
>> PS: Вот, буквально дня три назад, возвращаясь из командировки,
>> перечитывая архив uafug, наткнулся на описание похожей проблемы: у
>> человека с pf в качестве основного механизма при использовании
>> конструкции route-to udp-трафик в новый шлюз не заворачивался. Может,
>> и здесь та же самая проблема?
АРХ> Если это полный конфиг, то где нат на em0?
Нету. em0 воткнут в другой тазик, на котором крутится зебра и нат
сделан на ipfw. Есть мысли и канал с re0 перекинуть на тот тазик, но
пока доехать не получается... :( Здесь же конфигурация досталась в
наследство вместе с биллингом. Там весьма своеобразно сделана работа
с ipfw, потому переделывать наживую я не возьмусь. Я пытался на этапе
внедрения переписать всё только на ipfw, но заказчик сказал "Надо
быстро" и заказал пуско-наладочные работы у автора... :(
--
Best regards,
Alexander mailto:[email protected]
