Hi!
On Wed, May 22, 2013 at 01:06:25PM +0700, Eugene Grosbein writes:
>
> Ничего не понятно. Надо не только пересказывать своими словами, но и
> показывать вывод
> ifconfig, netstat -rn, правил файрвола, показывать, как ping запускаешь.
>
Да, немного сумбурно вышло, исправляюсь:
Интерфейсы наружу
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu
1492
inet 101.109.244.66 --> 101.109.244.1 netmask 0xffffffff
ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu
1492
inet 110.77.149.75 --> 110.77.149.1 netmask 0xffffffff
ng3: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu
1492
inet 110.77.214.242 --> 110.77.214.1 netmask 0xffffffff
Интерфейс, на котором прибит ip из сети, отроученой провайдером на ng1:
vlan15: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=103<RXCSUM,TXCSUM,TSO4>
ether 00:25:90:00:00:a4
inet 101.109.244.129 netmask 0xfffffffc broadcast 101.109.244.131
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
vlan: 15 parent interface: em0
Интерфейс, на котором прибит ip из сети, отроученой провайдером на ng2:
vlan16: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=103<RXCSUM,TXCSUM,TSO4>
ether 00:25:90:00:00:a4
inet 103.10.229.33 netmask 0xfffffff8 broadcast 103.10.229.39
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
vlan: 16 parent interface: em0
netstat -rn (только то, что относится к вопросу)
default 110.77.214.1 UGS 0 39320711 ng3
101.109.244.128/30 link#18 U 0 114509 vlan15
101.109.244.129 link#18 UHS 0 0 lo0
103.10.229.32/29 link#19 U 0 0 vlan16
103.10.229.33 link#19 UHS 0 0 lo0
pbr для ip с ng1, который нормально работает:
pass out route-to (ng1 101.109.244.66) proto tcp from 101.109.244.130 to any
flags S/SA keep state
pass out route-to (ng1 101.109.244.66) proto { udp, icmp } from 101.109.244.130
to any keep state
pass in on ng1 reply-to (ng1 101.109.244.66) proto tcp from any to
101.109.244.130 flags S/SA keep state
pass in on ng1 reply-to (ng1 101.109.244.66) proto { udp, icmp } from any to
101.109.244.130 keep state
pass in on ng1 reply-to (ng1 ng1:peer) from any to (ng1:network)
pbr для ip с ng2, который не работает:
table <cat> { 103.10.229.34, 103.10.229.35, 103.10.229.36, 103.10.229.37,
103.10.229.38 }
pass out route-to (ng2 110.77.149.75) proto tcp from <cat> to any flags S/SA
keep state
pass out route-to (ng2 110.77.149.75) proto { udp, icmp } from <cat> to any
keep state
pass in on ng2 reply-to (ng2 110.77.149.75) proto tcp from any to <cat> flags
S/SA keep state
pass in on ng2 reply-to (ng2 110.77.149.75) proto { udp, icmp } from any to
<cat> keep state
pass in on ng2 reply-to (ng2 ng2:peer) from any to (ng2:network)
Пробовал и с ipfw fwd - add fwd 110.77.149.1 ip from 103.10.229.32/29 to any
Пинг пробовал по разному:
ping -S 103.10.229.33 8.8.8.8 локально с маршрутизатора.
Глухо, tcpdump -i ng2 icmp ничего не показывает.
Включал в vlan16 бук с прибитым ip 103.10.229.34/29
ping с 33 на 34 и обратно - проходит, наружу - нет.
--
WBR, Yuriy B. Borysov
YOKO-UANIC | YOKO-RIPE
