Muff's website forum

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

SMF - Just Installed!

Автор Тема: ipfw, nat -- как заставить работать ping  (Прочитано 26894 раз)

solaris

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 14
    • Просмотр профиля
Re:ipfw, nat -- как заставить работать ping
« Ответ #15 : Апреля 04, 2011, 07:41:01 pm »

Собственно говоря, это и есть "наружу".
У меня три хопа по дороге...
Ну тогда я не понимаю ничего... :(

Готов предоставить root login на сервер, увидите сами...
Записан

muff

  • Administrator
  • Долгожитель
  • ***
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 283
    • Просмотр профиля
    • IT, Network, Beer!
Re:ipfw, nat -- как заставить работать ping
« Ответ #16 : Апреля 18, 2011, 10:20:59 pm »

"А ларчик просто открывался..."

Достаточно было разрешить запрос входящего эха на внешнем интерфейсе... Перед НАТом добавляем такое правило:
ipfw add 1350 allow icmp from any to 195.98.163.142 icmptypes 8 in via rl0
Записан
Если нет ответа, то давайте подумаем...

solaris

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 14
    • Просмотр профиля
Re:ipfw, nat -- как заставить работать ping
« Ответ #17 : Апреля 19, 2011, 12:14:01 am »

"А ларчик просто открывался..."
muff, ты - гений! Спасибо большое :-*

А теперь можно пару слов, как ты понял, в чём было дело?
« Последнее редактирование: Апреля 19, 2011, 10:56:48 am от solaris »
Записан

muff

  • Administrator
  • Долгожитель
  • ***
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 283
    • Просмотр профиля
    • IT, Network, Beer!
Re:ipfw, nat -- как заставить работать ping
« Ответ #18 : Апреля 19, 2011, 11:17:46 am »

Просниферил трафик. Обнаружил, что проблема в том, что запрещены именно входящие icmp-запросы к серверу. А потом немного пришлось подумать над поведением трафика. Ознакомился еще раз с типами ICMP и сложил детализированное правило, чтобы только определенный тип трафика под него попадал.

Кста, "хозяйке на заметку":

Типы ICMP пакетов (неполный список)
0 Эхо-ответ
3 Адресат недоступен
4 Сдерживание источника (отключение источника при переполнении очереди)
5 Перенаправление
8 Эхо-запрос
9 Объявление маршрутизатора
10 Запрос маршрутизатора
11 Превышение временно́го интервала (для дейтаграммы время жизни истекло)
12 Неверный параметр (проблема с параметрами дейтаграммы: ошибка в IP-заголовке или отсутствует необходимая опция)
13 Запрос метки времени
14 Ответ с меткой времени
15 Информационный запрос
16 Информационный ответ
17 Запрос адресной маски
18 Отклик на запрос адресной маски
Записан
Если нет ответа, то давайте подумаем...

solaris

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 14
    • Просмотр профиля
Re:ipfw, nat -- как заставить работать ping
« Ответ #19 : Апреля 22, 2011, 04:06:26 pm »

Просниферил трафик. Обнаружил, что проблема в том, что запрещены именно входящие icmp-запросы к серверу. А потом немного пришлось подумать над поведением трафика. Ознакомился еще раз с типами ICMP и сложил детализированное правило, чтобы только определенный тип трафика под него попадал.
Ясно. Но если разрешить любой ICMP, а не только echo (убрать из правила "icmptypes 8"), работать не будет.

И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?
Записан

muff

  • Administrator
  • Долгожитель
  • ***
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 283
    • Просмотр профиля
    • IT, Network, Beer!
Re:ipfw, nat -- как заставить работать ping
« Ответ #20 : Апреля 23, 2011, 02:18:44 pm »

Ясно. Но если разрешить любой ICMP, а не только echo (убрать из правила "icmptypes 8"), работать не будет.
Конечно. Если разрешить, например, еще и эхо-ответ (icmptypes 0), то пинг из локальной сети уже не будет работать, поскольку ответ от удаленного ресурса будет сразу обрабатываться сервером напрямую, не попадая в НАТ.

И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?

Есть замечания, но не знаю, насколько они обьективны. Обычно я правила строю по другой схеме.
Обрати внимание на то, что под правило "deny log logamount 20 ip from any to any" не попадает ни один пакет, что заставляет задуматься...
Записан
Если нет ответа, то давайте подумаем...

solaris

  • Пионер
  • *
  • Karma: 0
  • Оффлайн Оффлайн
  • Сообщений: 14
    • Просмотр профиля
Re:ipfw, nat -- как заставить работать ping
« Ответ #21 : Апреля 26, 2011, 10:44:30 am »

И последний вопрос в этой теме. Учитывая твой большой опыт с одной стороны и то, что ты вник в этот набор правил с другой, как тебе вообще мой набор правил?

Есть замечания, но не знаю, насколько они обьективны. Обычно я правила строю по другой схеме.
Обрати внимание на то, что под правило "deny log logamount 20 ip from any to any" не попадает ни один пакет, что заставляет задуматься...
Ну да, но мне что-то в голову не приходит, как можно по-другому сделать.
Может, ты кинешь сюда свои правила, дабы я помедитировал над ними?
Записан
 

Страница сгенерирована за 0.064 секунд. Запросов: 28.