Доброго времени суток.
При конфигурировании фри в качестве маршрутизатора столкнулся с такой проблемой: при пинге из сети внешнего интерфейса маршрутизатора (10.1.2.2), он нормально пингуется.traceroute to 10.1.2.2 (10.1.2.2), 30 hops max, 60 byte packets
1 10.1.2.2 (10.1.2.2) 0.395 ms 0.368 ms 0.372 msPING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.
64 bytes from 10.1.2.2: icmp_seq=1 ttl=64 time=0.507 ms
64 bytes from 10.1.2.2: icmp_seq=2 ttl=64 time=0.493 msА вот пинг и traceroute до следующего хопа в сети не проходят. При этом
traceroute to 10.1.2.1 (10.1.2.1), 30 hops max, 60 byte packets
1 10.86.2.110 (10.86.2.110) 0.394 ms 0.368 ms 0.363 msrc.conf на роутере такой:
defaultrouter="10.1.2.1"
gateway_enable="YES"
hostname="host.domain.name"
ifconfig_re0="inet 10.1.2.2 netmask 255.255.255.248"
ifconfig_re1="inet 10.86.2.110 netmask 255.255.255.0"
static_route="dmz net"
route_dmz="-net 10.1.2.0/29 -iface re0"
route_net="-net 10.86.2.0/24 -iface re1"
keymap="ru.koi8-r"Таблица маршрутизации такая:
Destination Gateway Flags Refs Use Netif Expire
default 10.1.2.1 UGS 0 339 re0
10.1.2/24 link#1 UC 0 0 re0
10.1.2.1 00:24:c4:5d:a5:d8 UHLW 2 263 re0 654
10.86.2/24 link#2 UC 0 0 re1
10.86.2.88 00:1e:68:96:17:98 UHLW 1 732 re1 1186
127.0.0.1 127.0.0.1 UH 0 32 lo0Вот. Как обычно, это все достаточно срочно. Помогите, пожалуйста, решить задачку.
начнем с того что кто тебе вообще сказал что трейсы должны проходить? ))
там и фильтр может стоять )
>начнем с того что кто тебе вообще сказал что трейсы должны проходить?
>))
>там и фильтр может стоять )это свежеустановленная фря и это мой сервер. там ничего нет)
>>начнем с того что кто тебе вообще сказал что трейсы должны проходить?
>>))
>>там и фильтр может стоять )
>
>это свежеустановленная фря и это мой сервер. там ничего нет)там это где? хоть бы схему нарисовал ...
>>>начнем с того что кто тебе вообще сказал что трейсы должны проходить?
>>>))
>>>там и фильтр может стоять )
>>
>>это свежеустановленная фря и это мой сервер. там ничего нет)
>
>там это где? хоть бы схему нарисовал ...там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110 маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические знания есть, а вот практических - маловато.(
>[оверквотинг удален]
>>>
>>>это свежеустановленная фря и это мой сервер. там ничего нет)
>>
>>там это где? хоть бы схему нарисовал ...
>
>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110
>маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
>
>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические
>знания есть, а вот практических - маловато.(схема тут не нужна - она тут необходима
из ваших слов ну нихрена непонятно
>[оверквотинг удален]
>>>там это где? хоть бы схему нарисовал ...
>>
>>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110
>>маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
>>
>>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические
>>знания есть, а вот практических - маловато.(
>
>схема тут не нужна - она тут необходима
>из ваших слов ну нихрена непонятноЕсть локальная сеть с адресным диапазоном 10.86.2.0/24 Маршрутизатором на ней служит компьютер с установленной на нем вышеобозначенной FreeBSD 6.4, один интерйес которого светит в локалку с адресом 10.86.2.110, а второй в dmz с адресом 10.1.2.2 На FreeBSD поднят маршрутизатор, rc.conf и routing table я приводил выше.
Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. Однако traceroute до этого же адреса показывает, что это следующий хоп. А такого не может быть, так как между хостом в сети и интерфейсом в dmz есть еще интерфейс в локалке.
Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все сделано верно, однако не работает.
Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то конкретно не понятно, задавайте, пожалуйста, вопорсы.
Спасибо.
>Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом >пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. Однако >traceroute до этого же адреса показывает, что это следующий хоп. А такого не может быть, >так как между хостом в сети и интерфейсом в dmz есть еще интерфейс в локалке.Такое может быть, если используется IPSTEALTH?
>Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он не доступен, а >traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
>Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все >сделано верно, однако не работает.Покажи netstat -rn, правила firewall-а и вывод tcpdump на обоих интерфейсах во время ping-а.
>[оверквотинг удален]
>>>>там это где? хоть бы схему нарисовал ...
>>>
>>>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110
>>>маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
>>>
>>>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические
>>>знания есть, а вот практических - маловато.(
>>
>>схема тут не нужна - она тут необходима
>>из ваших слов ну нихрена непонятнобум разбираться последовательно ...
>Есть локальная сеть с адресным диапазоном 10.86.2.0/24 Маршрутизатором на ней служит компьютер
>с установленной на нем вышеобозначенной FreeBSD 6.4, один интерйес которого светит
>в локалку с адресом 10.86.2.110, а второй в dmz с адресом
>10.1.2.2 На FreeBSD поднят маршрутизатор, rc.conf и routing table я приводил
>выше.
>Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом
>пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется.
>Однако traceroute до этого же адреса показывает, что это следующий хоп.
>А такого не может быть, так как между хостом в сети
>и интерфейсом в dmz есть еще интерфейс в локалке.начнем с того, что такое может быть если на фре включен режим stealth
>Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он
>не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
>
>Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все
>сделано верно, однако не работает.
>Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то
>конкретно не понятно, задавайте, пожалуйста, вопорсы.
>Спасибо.
>[оверквотинг удален]
>начнем с того, что такое может быть если на фре включен режим
>stealth
>>Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он
>>не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
>>
>>Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все
>>сделано верно, однако не работает.
>>Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то
>>конкретно не понятно, задавайте, пожалуйста, вопорсы.
>>Спасибо.Писал вчера ответ, однако он, по каким-то причинам, не добавился.
Во-первых, всем спасибо.
Во--вторых, посмотрел вывод tcpdump с обоих интерфейсов и на обоих были пакеты icmp из сети до dmz, но ни одного ответа. Значит, маршрутизация все-таки работает и это какой-то косяк с настройкой cisco, а это уже в другой тред.
Прочитал про stealth, действительно, похоже. Сегодня проверю. Однако откуда он на свежеустановленной фре с еще ни разу не пересобраным ядром - не понимаю.
>[оверквотинг удален]
>
>Писал вчера ответ, однако он, по каким-то причинам, не добавился.
>Во-первых, всем спасибо.
>Во--вторых, посмотрел вывод tcpdump с обоих интерфейсов и на обоих были пакеты
>icmp из сети до dmz, но ни одного ответа. Значит, маршрутизация
>все-таки работает и это какой-то косяк с настройкой cisco, а это
>уже в другой тред.
>Прочитал про stealth, действительно, похоже. Сегодня проверю. Однако откуда он на свежеустановленной
>фре с еще ни разу не пересобраным ядром - не понимаю.
>Как и ожидалось, в GENERIC ничего подобного нет.