The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Странный traceroute"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Странный traceroute"  +/
Сообщение от Cognac on 23-Июн-09, 19:20 
Доброго времени суток.
При конфигурировании фри в качестве маршрутизатора столкнулся с такой проблемой: при пинге из сети внешнего интерфейса маршрутизатора (10.1.2.2), он нормально пингуется.

traceroute to 10.1.2.2 (10.1.2.2), 30 hops max, 60 byte packets
1  10.1.2.2 (10.1.2.2)  0.395 ms  0.368 ms  0.372 ms

PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.
64 bytes from 10.1.2.2: icmp_seq=1 ttl=64 time=0.507 ms
64 bytes from 10.1.2.2: icmp_seq=2 ttl=64 time=0.493 ms

А вот пинг и traceroute до следующего хопа в сети не проходят. При этом

traceroute to 10.1.2.1 (10.1.2.1), 30 hops max, 60 byte packets
1  10.86.2.110 (10.86.2.110)  0.394 ms  0.368 ms  0.363 ms

rc.conf на роутере такой:

defaultrouter="10.1.2.1"
gateway_enable="YES"
hostname="host.domain.name"
ifconfig_re0="inet 10.1.2.2  netmask 255.255.255.248"
ifconfig_re1="inet 10.86.2.110 netmask 255.255.255.0"
static_route="dmz net"
route_dmz="-net 10.1.2.0/29 -iface re0"
route_net="-net 10.86.2.0/24 -iface re1"
keymap="ru.koi8-r"

Таблица маршрутизации такая:

Destination        Gateway            Flags    Refs      Use  Netif Expire
default            10.1.2.1           UGS         0      339    re0
10.1.2/24          link#1             UC          0        0    re0
10.1.2.1           00:24:c4:5d:a5:d8  UHLW        2      263    re0    654
10.86.2/24         link#2             UC          0        0    re1
10.86.2.88         00:1e:68:96:17:98  UHLW        1      732    re1   1186
127.0.0.1          127.0.0.1          UH          0       32    lo0

Вот. Как обычно, это все достаточно срочно. Помогите, пожалуйста, решить задачку.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Странный traceroute"  +/
Сообщение от Pahanivo email(ok) on 23-Июн-09, 19:44 
начнем с того что кто тебе вообще сказал что трейсы должны проходить? ))
там и фильтр может стоять )


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Странный traceroute"  +/
Сообщение от Cognac on 23-Июн-09, 19:56 
>начнем с того что кто тебе вообще сказал что трейсы должны проходить?
>))
>там и фильтр может стоять )

это свежеустановленная фря и это мой сервер. там ничего нет)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Странный traceroute"  +/
Сообщение от Pahanivo email(ok) on 23-Июн-09, 20:14 
>>начнем с того что кто тебе вообще сказал что трейсы должны проходить?
>>))
>>там и фильтр может стоять )
>
>это свежеустановленная фря и это мой сервер. там ничего нет)

там это где? хоть бы схему нарисовал ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Странный traceroute"  +/
Сообщение от Cognac on 23-Июн-09, 20:25 
>>>начнем с того что кто тебе вообще сказал что трейсы должны проходить?
>>>))
>>>там и фильтр может стоять )
>>
>>это свежеустановленная фря и это мой сервер. там ничего нет)
>
>там это где? хоть бы схему нарисовал ...

там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110 маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)

отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические знания есть, а вот практических - маловато.(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Странный traceroute"  +/
Сообщение от Pahanivo email(ok) on 24-Июн-09, 11:11 
>[оверквотинг удален]
>>>
>>>это свежеустановленная фря и это мой сервер. там ничего нет)
>>
>>там это где? хоть бы схему нарисовал ...
>
>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110
>маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
>
>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические
>знания есть, а вот практических - маловато.(

схема тут не нужна - она тут необходима
из ваших слов ну нихрена непонятно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Странный traceroute"  +/
Сообщение от Cognac on 24-Июн-09, 12:43 
>[оверквотинг удален]
>>>там это где? хоть бы схему нарисовал ...
>>
>>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110
>>маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
>>
>>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические
>>знания есть, а вот практических - маловато.(
>
>схема тут не нужна - она тут необходима
>из ваших слов ну нихрена непонятно

Есть локальная сеть с адресным диапазоном 10.86.2.0/24 Маршрутизатором на ней служит компьютер с установленной на нем вышеобозначенной FreeBSD 6.4, один интерйес которого светит в локалку с адресом 10.86.2.110, а второй в dmz с адресом 10.1.2.2 На FreeBSD поднят маршрутизатор, rc.conf и routing table я приводил выше.
Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. Однако traceroute до этого же адреса показывает, что это следующий хоп. А такого не может быть, так как между хостом в сети и интерфейсом в dmz есть еще интерфейс в локалке.
Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все сделано верно, однако не работает.
Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то конкретно не понятно, задавайте, пожалуйста, вопорсы.
Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Странный traceroute"  +/
Сообщение от Deac (ok) on 24-Июн-09, 12:58 
>Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом >пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется. Однако >traceroute до этого же адреса показывает, что это следующий хоп. А такого не может быть, >так как между хостом в сети и интерфейсом в dmz есть еще интерфейс в локалке.

Такое может быть, если используется IPSTEALTH?

>Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он не доступен, а >traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
>Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все >сделано верно, однако не работает.

Покажи netstat -rn, правила firewall-а и вывод tcpdump на обоих интерфейсах во время ping-а.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Странный traceroute"  +/
Сообщение от Pahanivo email(ok) on 24-Июн-09, 12:58 
>[оверквотинг удален]
>>>>там это где? хоть бы схему нарисовал ...
>>>
>>>там - это на маршрутизаторе. схема не нужна. все стандартно (локалка 10.86.2.0/24)-(10.86.2.110
>>>маршрутизатор 10.1.2.2/24)-(10.1.2.1 cisco)
>>>
>>>отрезок перед циской роль dmz выполняет. первый раз с таким сталкиваюсь, теоретические
>>>знания есть, а вот практических - маловато.(
>>
>>схема тут не нужна - она тут необходима
>>из ваших слов ну нихрена непонятно

бум разбираться последовательно ...
>Есть локальная сеть с адресным диапазоном 10.86.2.0/24 Маршрутизатором на ней служит компьютер
>с установленной на нем вышеобозначенной FreeBSD 6.4, один интерйес которого светит
>в локалку с адресом 10.86.2.110, а второй в dmz с адресом
>10.1.2.2 На FreeBSD поднят маршрутизатор, rc.conf и routing table я приводил
>выше.
>Пингом с хоста из сети 10.86.2.0/24 я проверял работу маршрутизатора. Первым делом
>пинговал второй его интерфес, который в dmz, адрес 10.1.2.2. Он пингуется.
>Однако traceroute до этого же адреса показывает, что это следующий хоп.
>А такого не может быть, так как между хостом в сети
>и интерфейсом в dmz есть еще интерфейс в локалке.

начнем с того, что такое может быть если на фре включен режим stealth
>Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он
>не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
>
>Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все
>сделано верно, однако не работает.
>Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то
>конкретно не понятно, задавайте, пожалуйста, вопорсы.
>Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Странный traceroute"  +/
Сообщение от Cognac on 25-Июн-09, 11:53 
>[оверквотинг удален]
>начнем с того, что такое может быть если на фре включен режим
>stealth
>>Следующим делом я попытался пингануть другой хост в dmz, адрес 10.1.2.1. Он
>>не доступен, а traceroute тормозится на 10.86.2.110 - внутренним интерфейсе маршрутизатора.
>>
>>Я прошу посмотреть, правильно ли настроен маршрутизатор. Насколько я могу судить, все
>>сделано верно, однако не работает.
>>Картинки вставлять нельзя, а как объяснить подробнее я не знаю. Если что-то
>>конкретно не понятно, задавайте, пожалуйста, вопорсы.
>>Спасибо.

Писал вчера ответ, однако он, по каким-то причинам, не добавился.
Во-первых, всем спасибо.
Во--вторых, посмотрел вывод tcpdump с обоих интерфейсов и на обоих были пакеты icmp из сети до dmz, но ни одного ответа. Значит, маршрутизация все-таки работает и это какой-то косяк с настройкой cisco, а это уже в другой тред.
Прочитал про stealth, действительно, похоже. Сегодня проверю. Однако откуда он на свежеустановленной фре с еще ни разу не пересобраным ядром - не понимаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Странный traceroute"  +/
Сообщение от Cognac on 25-Июн-09, 12:52 
>[оверквотинг удален]
>
>Писал вчера ответ, однако он, по каким-то причинам, не добавился.
>Во-первых, всем спасибо.
>Во--вторых, посмотрел вывод tcpdump с обоих интерфейсов и на обоих были пакеты
>icmp из сети до dmz, но ни одного ответа. Значит, маршрутизация
>все-таки работает и это какой-то косяк с настройкой cisco, а это
>уже в другой тред.
>Прочитал про stealth, действительно, похоже. Сегодня проверю. Однако откуда он на свежеустановленной
>фре с еще ни разу не пересобраным ядром - не понимаю.
>

Как и ожидалось, в GENERIC ничего подобного нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру