|
Название: помогите советом. freeebsd nat ipfw Отправлено: YuSHa от 17 Июля 2013, 16:11:33 Прошу помощи в решении вопроса.
в приложении примерная схема сети. клиенты Nanoostation и им подобные подключаются к БС. На БС стоят рокеты, которые подключены к микротикам типа РБ750, на этих микротиках подняты EoIP туннели с сервером PPPoE. Абонентские наносы получают IP вида 10.10.x.x и маршрутизируются на сервер NAT(стооял Centos). В данный момент на сервера NAT я установил freeebsd 9.1 пересобрал ядро, включил pf и ipfw (правила из коробки)+ добавил 2 правила, чтоб IP адреса подсети 10.10.0.0/16 проходили свободно для клиентов со старого биллинга и постепенным переводом абонентов на ноый. Цитировать ${f} add 55 allow ip from 10.10.0.0/16 to any после смены ОС появился хаотичный флуд${f} add 56 allow ip from any to 10.10.0.0/16 от IP клиента на сервер ната или от IP клиента на IP гругого внутреннего сервера. флудит 4-5 мбит и дает около 4к пакетов В следствии этого падают EoIP тунели, которые ходят через UBNT радиоканалы и соответственно вываливаются абоны пачками. Если на радиоканале стоит железо от Mikrotik то все нормально. Так же не отпадают клиенты PPPoE которые работают по кабелю в городе. Сначала грешили на сетевушки, потом на их драйвера em. скачка исходников с сайта мелкософта и их устанвка проблему не решила. Когда стоял centos с одним правилом маскарада в iptabless такого не происходило. Вопрос: может ли что-то быть в правилах фаервола? что какой-то пакет зацикливает или просто не знает куда его засунуть. Проблема актуальна и как работать без использования EoIP пока не представляю. заводить все интерфейсы в бридж по радио считаю не разумным. Название: Re: помогите советом. freeebsd nat ipfw Отправлено: elite от 17 Июля 2013, 17:42:20 а чего нат решили поменять?
Название: Re: помогите советом. freeebsd nat ipfw Отправлено: YuSHa от 17 Июля 2013, 22:40:40 нат решили поменять из-за перехода на нодени. хочется на NATах видеть шейп+нат+заглушку+коллектор
в данный момент шейпы на микротике. вечером убил все правила в фаерволе кроме allow ip from any to any на обоих натах. утром посмотрю, падало или нет. если падало - попробую включить нат на ipfw вместо pf. если не поможет - буду на локале искать бубен шаманский ;D Название: Re: помогите советом. freeebsd nat ipfw Отправлено: YuSHa от 18 Июля 2013, 10:09:14 правила iptabless на старом линухе было такое.
Цитировать # Generated by iptables-save v1.3.5 on Sat Feb 4 21:36:38 2012 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [5309669:3257891022] :OUTPUT ACCEPT [160694:17079134] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -i eth2 -j ACCEPT -A INPUT -i ppp0 -j ACCEPT -A INPUT -i ppp1 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT -A INPUT -s 194.146.197.4 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 8004 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 27015 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 27016 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 27006 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT -A INPUT -p gre -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT #Completed on Sat Feb 4 21:36:38 2012 #Generated by iptables-save v1.3.5 on Sat Feb 4 21:36:38 2012 *nat :PREROUTING ACCEPT [344113:25006827] :POSTROUTING ACCEPT [4960:461198] :OUTPUT ACCEPT [11:753] #-A POSTROUTING -s 192.168.1.105/255.255.255.255 -o eth2 -j MASQUERADE -A POSTROUTING -s 10.10.0.0/255.255.0.0 -o eth0 -j MASQUERADE #-A POSTROUTING -s 10.10.0.0/255.255.0.0 -o eth1 -j MASQUERADE COMMIT # Completed on Sat Feb 4 21:36:38 2012 вечером оставил с такими правилами Цитировать root@nat1:/etc # ipfw list в 12 ночи опять упало пол сетки. админ выключил натящие сервера и включил нат на микротике.00100 allow ip from any to any 65535 deny ip from any to any уже голова идет кругом((( :-\ сейчас хочу заблочить весь ICMP Название: Re: помогите советом. freeebsd nat ipfw Отправлено: ser970 от 18 Июля 2013, 10:14:58 снимите tcpdump трафик в когда упало
на свиче вланы ? Название: Re: помогите советом. freeebsd nat ipfw Отправлено: YuSHa от 18 Июля 2013, 10:21:03 нет вланов на портах.
Название: Re: помогите советом. freeebsd nat ipfw Отправлено: YuSHa от 01 Августа 2013, 22:51:28 вроде побороли
5 часов аптайма без падений добавили такие строки в /etc/rc.firewall Цитировать /sbin/ipfw add 15 drop ip from 10.0.0.0/8 to any via bce0 in где bce0 интерфейс в мир./sbin/ipfw add 16 drop ip from 172.16.0.0/12 to any via bce0 in /sbin/ipfw add 17 drop ip from 192.168.0.0/16 to any via bce0 in /sbin/ipfw add 18 drop ip from any to 10.0.0.0/8 via bce0 out /sbin/ipfw add 19 drop ip from any to 172.16.0.0/12 via bce0 out /sbin/ipfw add 20 drop ip from any to 192.168.0.0/16 via bce0 out за 5 часов работы имеем на счетчиках такое Цитировать 00015 3277 225936 deny ip from 10.0.0.0/8 to any via bce0 in пока полет нормальный. и нат подняли тут же на ipfw00016 1039 83963 deny ip from 172.16.0.0/12 to any via bce0 in 00017 1020 83196 deny ip from 192.168.0.0/16 to any via bce0 in 00018 39060 3037490 deny ip from any to 10.0.0.0/8 via bce0 out 00019 10785 838432 deny ip from any to 172.16.0.0/12 via bce0 out 00020 534922 37945534 deny ip from any to 192.168.0.0/16 via bce0 out дальше будем посмотреть :) |