https://www.opennet.ru/openforum/vsluhforumID1/85708.html Доброго времени суток.<br>При конфигурировании фри в качестве маршрутизатора столкнулся с такой проблемой: при пинге из сети внешнего интерфейса маршрутизатора (10.1.2.2), он нормально пингуется.<br><br>traceroute to 10.1.2.2 (10.1.2.2), 30 hops max, 60 byte packets<br> 1 10.1.2.2 (10.1.2.2) 0.395 ms 0.368 ms 0.372 ms<br><br>PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.<br>64 bytes from 10.1.2.2: icmp_seq=1 ttl=64 time=0.507 ms<br>64 bytes from 10.1.2.2: icmp_seq=2 ttl=64 time=0.493 ms<br><br>А вот пинг и traceroute до следующего хопа в сети не проходят. При этом <br><br>traceroute to 10.1.2.1 (10.1.2.1), 30 hops max, 60 byte packets<br> 1 10.86.2.110 (10.86.2.110) 0.394 ms 0.368 ms 0.363 ms<br><br>rc.conf на роутере такой:<br><br>defaultrouter="10.1.2.1"<br>gateway_enable="YES"<br>hostname="host.domain.name"<br>ifconfig_re0="inet 10.1.2.2 netmask 255.255.255.248"<br>ifconfig_re1="inet 10.86.2.110 netmask 255.255.255.0"<br>static_route="dmz net"<br>route_dmz="-net 10.1.2.0/29 -iface re0"<br>route_net="-net 10.86.2.0/24 -iface re1"<br>keymap="ru.koi https://www.opennet.ru/openforum/vsluhforumID1/85708.html#10 Thu, 25 Jun 2009 08:52:52 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Писал вчера ответ, однако он, по каким-то причинам, не добавился. <br>&gt;Во-первых, всем спасибо. <br>&gt;Во--вторых, посмотрел вывод tcpdump с обоих интерфейсов и на обоих были пакеты <br>&gt;icmp из сети до dmz, но ни одного ответа. Значит, маршрутизация <br>&gt;все-таки работает и это какой-то косяк с настройкой cisco, а это <br>&gt;уже в другой тред. <br>&gt;Прочитал про stealth, действительно, похоже. Сегодня проверю. Однако откуда он на свежеустановленной <br>&gt;фре с еще ни разу не пересобраным ядром - не понимаю. <br>&gt;<br><br>Как и ожидалось, в GENERIC ничего подобного нет.<br> https://www.opennet.ru/openforum/vsluhforumID1/85708.html#9 Thu, 25 Jun 2009 07:53:57 GMT &gt;[оверквотинг удален]<br>&gt;начнем с того, что такое может быть если на фре включен режим <br>&gt;stealth <br>&gt;&gt;Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он <br>&gt;&gt;не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора. <br>&gt;&gt;<br>&gt;&gt;Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все <br>&gt;&gt;сделано верно, однако не работает. <br>&gt;&gt;Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то <br>&gt;&gt;конкретно не понятно, задавайте, пожалуйста, вопорсы. <br>&gt;&gt;Спасибо. <br><br>Писал вчера ответ, однако он, по каким-то причинам, не добавился.<br>Во-первых, всем спасибо.<br>Во--вторых, посмотрел вывод tcpdump с обоих интерфейсов и на обоих были пакеты icmp из сети до dmz, но ни одного ответа. Значит, маршрутизация все-таки работает и это какой-то косяк с настройкой cisco, а это уже в другой тред.<br>Прочитал про stealth, действительно, похоже. Сегодня проверю. Однако откуда он на свежеустановленной фре с еще ни разу не пересобраным ядром https://www.opennet.ru/openforum/vsluhforumID1/85708.html#8 Wed, 24 Jun 2009 08:58:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;там это где? хоть бы схему нарисовал ... <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110 <br>&gt;&gt;&gt;маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco) <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические <br>&gt;&gt;&gt;знания есть, а вот практических - маловато.( <br>&gt;&gt;<br>&gt;&gt;схема тут не нужна - она тут необходима <br>&gt;&gt;из ваших слов ну нихрена непонятно <br><br>бум разбираться последовательно ...<br>&gt;Есть локальная сеть с адресным диапазоном 10.86.2.0/24 Маршрутизатором на ней служит компьютер <br>&gt;с установленной на нем вышеобозначенной FreeBSD 6.4, один интерйес которого светит <br>&gt;в локалку с адресом 10.86.2.110, а второй в dmz с адресом <br>&gt;10.1.2.2 На FreeBSD поднят маршрутизатор, rc.conf и routing table я приводил <br>&gt;выше.<br>&gt;Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом <br>&gt;пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. <br>&gt;Однако traceroute до этого https://www.opennet.ru/openforum/vsluhforumID1/85708.html#7 Wed, 24 Jun 2009 08:58:41 GMT &gt;Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом &gt;пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. Однако &gt;traceroute до этого же адреса показывает, что это следующий хоп. А такого не может быть, &gt;так как между хостом в сети и интерфейсом в dmz есть еще интерфейс в локалке.<br><br>Такое может быть, если используется IPSTEALTH?<br><br>&gt;Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он не доступен, а &gt;traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.<br>&gt;Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все &gt;сделано верно, однако не работает.<br><br>Покажи netstat -rn, правила firewall-а и вывод tcpdump на обоих интерфейсах во время ping-а.<br> https://www.opennet.ru/openforum/vsluhforumID1/85708.html#6 Wed, 24 Jun 2009 08:43:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;там это где? хоть бы схему нарисовал ... <br>&gt;&gt;<br>&gt;&gt;там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110 <br>&gt;&gt;маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco) <br>&gt;&gt;<br>&gt;&gt;отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические <br>&gt;&gt;знания есть, а вот практических - маловато.( <br>&gt;<br>&gt;схема тут не нужна - она тут необходима <br>&gt;из ваших слов ну нихрена непонятно <br><br>Есть локальная сеть с адресным диапазоном 10.86.2.0/24 Маршрутизатором на ней служит компьютер с установленной на нем вышеобозначенной FreeBSD 6.4, один интерйес которого светит в локалку с адресом 10.86.2.110, а второй в dmz с адресом 10.1.2.2 На FreeBSD поднят маршрутизатор, rc.conf и routing table я приводил выше.<br>Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. Однако traceroute до этого же адреса показывает, что это следующий хоп. А такого не может быть https://www.opennet.ru/openforum/vsluhforumID1/85708.html#5 Wed, 24 Jun 2009 07:11:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;это свежеустановленная фря и это мой сервер. там ничего нет) <br>&gt;&gt;<br>&gt;&gt;там это где? хоть бы схему нарисовал ... <br>&gt;<br>&gt;там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110 <br>&gt;маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco) <br>&gt;<br>&gt;отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические <br>&gt;знания есть, а вот практических - маловато.( <br><br>схема тут не нужна - она тут необходима<br>из ваших слов ну нихрена непонятно <br> https://www.opennet.ru/openforum/vsluhforumID1/85708.html#4 Tue, 23 Jun 2009 16:25:09 GMT &gt;&gt;&gt;начнем с того что кто тебе вообще сказал что трейсы должны проходить? <br>&gt;&gt;&gt;)) <br>&gt;&gt;&gt;там и фильтр может стоять ) <br>&gt;&gt;<br>&gt;&gt;это свежеустановленная фря и это мой сервер. там ничего нет) <br>&gt;<br>&gt;там это где? хоть бы схему нарисовал ... <br><br>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110 маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)<br><br>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические знания есть, а вот практических - маловато.(<br> https://www.opennet.ru/openforum/vsluhforumID1/85708.html#3 Tue, 23 Jun 2009 16:14:26 GMT &gt;&gt;начнем с того что кто тебе вообще сказал что трейсы должны проходить? <br>&gt;&gt;)) <br>&gt;&gt;там и фильтр может стоять ) <br>&gt;<br>&gt;это свежеустановленная фря и это мой сервер. там ничего нет) <br><br>там это где? хоть бы схему нарисовал ...<br> https://www.opennet.ru/openforum/vsluhforumID1/85708.html#2 Tue, 23 Jun 2009 15:56:51 GMT &gt;начнем с того что кто тебе вообще сказал что трейсы должны проходить? <br>&gt;)) <br>&gt;там и фильтр может стоять ) <br><br>это свежеустановленная фря и это мой сервер. там ничего нет)<br><br>