Неожиданно началось... Обычно когда что то происходит в сети вспоминаешь, а не трогал что недавно. Тут ничего не трогал. ситуация загадочная. что происходит непонимаю.
Итак. есть сеть на win2000 winXP штук 60. Сервер на фре 6.1 Есть ещё сервер на 2000 на 2003 и LINUX ASP. но главный герой FREEBSD. что происходит - неожиданно блокируются IP адреса.
Тоесть один из компов сети теряет связь с фрёй. пинги не проходят. со всеми остальными компами сеть работат, как у фри так и у потерявшего конект компа. Через пару секунд-минут востанавливается. Впечатление что сервер становится немил компам сети на некоторое время.
Уже слышу - фаервол и т.д. На компах в сети никаких фаерволов нет! На фре ipfw соследующей конфигурацией -
#!/bin/sh# $FreeBSD: src/etc/rc.firewall,v 1.47.10.1 2005/11/19 06:06:59 ume Exp $
#
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
ipfw zero
oif="bge0"
onet="************"
omask="***********"
oip="*************"
iif="bge1"
inet="10.0.0.0"
imask="255.255.255.0"
iip="10.0.0.64"
#${fwcmd} add 50 divert natd all from any to any via ${natd_interface}
${fwcmd} add 100 pass all from any to any via lo0
${fwcmd} add 200 deny all from any to 127.0.0.0/8
${fwcmd} add 300 deny ip from 127.0.0.0/8 to any
######${fwcmd} add 30000 pass all from any to any
${fwcmd} add 10000 allow ip from 10.0.0.0/24 to ${iip} via ${iif}
${fwcmd} add 10010 allow ip from ${iip} to 10.0.0.0/24 via ${iif}
# Allow TCP through if setup succeeded
#${fwcmd} add pass tcp from any to any established
# ICMP
${fwcmd} add 3000 deny icmp from any to any in icmptype 5,9,13,14,15,16,
17
${fwcmd} add 3100 allow icmp from any to any via ${oif}
# Allow IP fragments to pass through
#${fwcmd} add pass all from any to any frag
# Allow setup of outgoing TCP connections only
#${fwcmd} add pass tcp from ${ip} to any setup
# Disallow setup of all other TCP connections
#${fwcmd} add deny tcp from any to any setup
# Stop spoofing
${fwcmd} add 400 deny all from ${inet}:${imask} to any in via ${oif}
${fwcmd} add 500 deny all from ${onet}:${omask} to any in via ${iif}
# Stop RFC1918 nets on the outside interface
${fwcmd} add 600 deny all from any to 10.0.0.0/24 via ${oif}
${fwcmd} add 700 deny all from 10.0.0.0/24 to any via ${oif}
${fwcmd} add 700 deny all from any to 172.16.0.0/12 via ${oif}
${fwcmd} add 800 deny all from 172.16.0.0/12 to any via ${oif}
${fwcmd} add 900 deny all from any to 192.168.0.0/16 via ${oif}
${fwcmd} add 1000 deny all from 192.168.0.0/16 to any via ${oif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
${fwcmd} add 1100 deny all from any to 0.0.0.0/8 via ${oif}
${fwcmd} add 1200 deny all from 0.0.0.0/8 to any via ${oif}
${fwcmd} add 1300 deny all from any to 169.254.0.0/16 via ${oif}
${fwcmd} add 1400 deny all from 169.254.0.0/16 to any via ${oif}
${fwcmd} add 1500 deny all from any to 192.0.2.0/24 via ${oif}
${fwcmd} add 1600 deny all from 192.0.2.0/24 to any via ${oif}
${fwcmd} add 1700 deny all from any to 224.0.0.0/4 via ${oif}
${fwcmd} add 1800 deny all from 224.0.0.0/4 to any via ${oif}
${fwcmd} add 1900 deny all from any to 240.0.0.0/4 via ${oif}
${fwcmd} add 2000 deny all from 240.0.0.0/4 to any via ${oif}
# SENDMAIL
${fwcmd} add 2100 allow tcp from any to any 25 via ${oif}
${fwcmd} add 2110 allow tcp from any 25 to any via ${oif}
# Allow access to our DNS
${fwcmd} add 2200 allow udp from any to any 53 via ${oif}
# Allow access to our WWW
${fwcmd} add 2400 allow tcp from any to any 80,443 via ${oif}
${fwcmd} add 2410 allow tcp from any 80,443 to any via ${oif}
# Reject&Log all setup of incoming connections from the outside
${fwcmd} add 10020 deny log tcp from any to any in via ${oif} setup
# NTP
${fwcmd} add 2600 allow udp from any to any 123 via ${oif}
${fwcmd} add 2610 allow udp from any 123 to any via ${oif}
# POP3
${fwcmd} add 2700 allow tcp from any to any 110 via ${oif}
${fwcmd} add 2710 allow tcp from any 110 to any via ${oif}
# SSH
${fwcmd} add 2800 allow tcp from any to any 22 via ${oif}
${fwcmd} add 2900 allow tcp from any 22 to any via ${oif}
# FTP
${fwcmd} add 3200 allow tcp from any to any 20,21 via ${oif}
${fwcmd} add 3300 allow tcp from any 20,21 to any via ${oif}
# WHUIS
${fwcmd} add 3400 allow tcp from any to any 43 via ${oif}
${fwcmd} add 3500 allow tcp from any 43 to any via ${oif}
# CVSUP
${fwcmd} add 3600 allow tcp from any to any 5999 via ${oif}
${fwcmd} add 3700 allow tcp from any 5999 to any via ${oif}
# mIRC
#${fwcmd} add 3720 allow tcp from any to any 6667-6669 via ${oif}
#${fwcmd} add 3730 allow tcp from any 6667-6669 to any via ${oif}
# WEBADM
${fwcmd} add 3800 deny tcp from any to any 10000 via ${oif}
${fwcmd} add 3900 deny tcp from any 10000 to any via ${oif}
# SWAT
#${fwcmd} add 3910 deny tcp from any to any 901 via ${oif}
#${fwcmd} add 3920 deny tcp from any 901 to any via ${oif}
#UDS
${fwcmd} add 3930 allow udp from any to any 7060 via ${oif}
${fwcmd} add 3940 allow udp from any 7060 to any via ${oif}
# TRACERT
${fwcmd} add 3950 allow udp from any to any 33434-33523
Вот. ну вроде нету ошибок грубых. да и работало всё нормально. Есть ещё порт сентри.
но там тоже внутренний стек разрещён.
В момент пропадания связи фаервол выключал. делал всем везде. выгружал портсентри, смотрел тспдумп и трафсшоу. блин..... не понимаю.
Самое интересное что чтоб коннект восстановился быстро ДОСТАТОЧНО ВЫКЛЮЧИТЬ И ВКЛЮЧИТЬ интерфейс на локальной машине!!!!!! Теперь такая работа - при пропадании инета на одной из машин сети (на других всё нормально. компы блокируются по отдельности) пользователь выключает сетевуха и включает. и всё рабоатет. и т.д. ну и фигня.....
Есть вариант - компы сами невзлюбили сервер и за что то его банят. вопрос чем? отпадает. коллизия в сети - кто то вбил себе одинаковый ийпишник с сервером. (такое было. еле успел исправить пока днс не прописался....). проверил всех - чисто. у всех свои.
Было вот ещё что за несколько дней мне меняли ADSL модем. только модем. в сервере две сетевухи. одна в мир с чесным IP другая в сеть. всё просто. так вот после замены модема (все адреса не менялись) сервер никак не хотел видеть модем. перезагрузки не помагали.
Он его что по мак-адресу запомнил? спасло ifconfig down , смена IP на временный, ifconfig up, после чего опять тоже самое но вернул адрес предыдуший. Всё заработало. Кэш DNS чистил. не помагает. hosts прописан... короче всё было рабочее. не первый раз и т.д....
Что это за цирк с модемом был? и что за мистика в сети.....
Прошу помочь... никто из знакомых UNIXойдов такого не видел..
А! железо рабочее! тестил.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 25-Апр-07, 19:20 
