ping: sendto: Permission denied

[evp]

Сразу после загрузки системы (FreeBSD 8.0-RELEASE-p3) при попытке пинга внешнего ресурса имеем вот такое:

# ipfw show
00050  53   4725 allow tcp from any to me dst-port 22
00051  43   7068 allow tcp from me 22 to any
00100   0      0 allow ip from any to any via lo0
00105 690 214283 allow ip from any to any via rl0
00110  65   4896 nat 1 ip from any to any via nfe0
00120   0      0 deny ip from any to any
65535   0      0 deny ip from any to any
# ping 217.69.128.43
PING 217.69.128.43 (217.69.128.43): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
^C
--- 217.69.128.43 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Однако после рестарта ipfw все нормализуется:

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Flushed all rules.
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00100 allow ip from any to any via lo0
00105 allow ip from any to any via rl0
ipfw nat 1 config if nfe0 same_ports reset
00110 nat 1 ip from any to any via nfe0
00120 deny ip from any to any
Firewall rules loaded.
# ipfw show
00050   8   528 allow tcp from any to me dst-port 22
00051   5   556 allow tcp from me 22 to any
00100   0     0 allow ip from any to any via lo0
00105 240 76918 allow ip from any to any via rl0
00110  23  1316 nat 1 ip from any to any via nfe0
00120   0     0 deny ip from any to any
65535   0     0 deny ip from any to any
# ping 217.69.128.43
PING 217.69.128.43 (217.69.128.43): 56 data bytes
64 bytes from 217.69.128.43: icmp_seq=0 ttl=116 time=63.717 ms
64 bytes from 217.69.128.43: icmp_seq=1 ttl=116 time=63.448 ms
64 bytes from 217.69.128.43: icmp_seq=2 ttl=116 time=63.548 ms
64 bytes from 217.69.128.43: icmp_seq=3 ttl=116 time=63.570 ms
^C
--- 217.69.128.43 ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 63.448/63.571/63.717/0.096 ms
#

В чем может быть проблема? Как я понимаю, сообщение ping: sendto: Permission denied генерирует фаерволл. Но после его рестарта, как я вижу, набор правил не меняется, а тем не менее трафик уже не блокируется.

Ядро скомпилировано с опциями:
options         IPFIREWALL
options         IPDIVERT
options         IPFIREWALL_FORWARD
options         DUMMYNET
options         ROUTETABLES=16
options         IPFIREWALL_NAT
options         LIBALIAS

File:rc.firewall

Код:

#!/bin/sh -
f='/sbin/ipfw'

ifWAN='nfe0'
ifLAN='rl0'

${f} -f flush

#${f} add 10 allow ip from any to any

${f} add 50 allow tcp from any to me 22
${f} add 51 allow tcp from me 22 to any

${f} add 100 allow ip from any to any via lo0
${f} add 105 allow ip from any to any via ${ifLAN}

${f} nat 1 config if ${ifWAN} reset same_ports
${f} add 110 nat 1 ip from any to any via ${ifWAN}
${f} add 120 deny all from any to any

File:rc.conf      

Код:

mousechar_start="3"
moused_type="NO"
moused_enable="NO"
saver="blank"
font8x8="cp1251-8x8"
font8x14="cp1251-8x14"
font8x16="cp1251-8x16"
scrnmap="koi8-r2cp866"
keyrate="fast"
keymap="ru.koi8-r"

hostname="mtc.test.local"
gateway_enable="YES"

ifconfig_nfe0="DHCP"
ifconfig_rl0="inet 192.168.47.1  netmask 255.255.255.0"

sshd_enable="YES"
firewall_enable="YES"
ntpd_enable="YES"
inetd_enable="NO"
#named_enable="YES"

fsck_y_enable="YES"
background_fsck="NO"

[stix]

Код:

${f} nat 1 config if ${ifWAN} reset same_ports
${f} add 110 nat 1 ip from any to any via ${ifWAN}

почему from any to any?

[evp]

Все, что проходит через внешний интерфейс заворачиваем в NAT. А что тут такого? Правила то рабочие. Непонятно только почему они начинают работать только после перезапуска ipfw.

[evp]

Вот, что еще удалось выяснить:

# ipfw show
00050   53   4725 allow tcp from any to me dst-port 22
00051   44   7032 allow tcp from me 22 to any
00100    0      0 allow ip from any to any via lo0
00105 1814 452908 allow ip from any to any via rl0
00110   64   8019 nat 1 ip from any to any via nfe0
00120    0      0 deny ip from any to any
65535    0      0 deny ip from any to any
# ping 217.69.128.43
PING 217.69.128.43 (217.69.128.43): 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
^C
--- 217.69.128.43 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
# ipfw nat 1 show config

Тут, по идее, мы должны увидеть конфигурацию nat 1, но ее почему-то нет.

# /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Flushed all rules.
00050 allow tcp from any to me dst-port 22
00051 allow tcp from me 22 to any
00100 allow ip from any to any via lo0
00105 allow ip from any to any via rl0
ipfw nat 1 config if nfe0 same_ports reset
00110 nat 1 ip from any to any via nfe0
00120 deny ip from any to any
Firewall rules loaded.
# ipfw nat 1 show config
ipfw nat 1 config if nfe0 same_ports reset
#

А после перезагрузки ipfw появилась конфигурация nat 1. И, конечно:

# ping 217.69.128.43
PING 217.69.128.43 (217.69.128.43): 56 data bytes
64 bytes from 217.69.128.43: icmp_seq=2 ttl=116 time=63.537 ms
64 bytes from 217.69.128.43: icmp_seq=3 ttl=116 time=63.639 ms
64 bytes from 217.69.128.43: icmp_seq=4 ttl=116 time=63.667 ms
^C
--- 217.69.128.43 ping statistics ---
5 packets transmitted, 3 packets received, 40.0% packet loss
round-trip min/avg/max/stddev = 63.537/63.614/63.667/0.056 ms
#

Получается, что при первоначальной загрузке не читается конфигурация ната? Почему так?

[ser970]

firewall_nat_enable="YES" > /etc/rc.conf

[Aivanzipper]

allow icmp from any to any

[evp]

firewall_nat_enable="YES" > /etc/rc.conf

К сожалению, не сработало. ipfw nat 1 show config - по-прежнему пуст.

allow icmp from any to any

Можно и так, конечно. Но задача вроде как в другом - заставить работать nat при старте системы, а не только после перезагрузки правил ipfw.

Есть еще идеи?

[Maks]

Прописать в Фаэрволе
00001  allow any to any  в общем открыть все.
И пересобрать ядро.
У самого такое было, на фре 7.2

[evp]

Что значит "пересобрать"? С теми же опциями, или что-то изменить надо? Дело в том, что оно было пересобрано за несколько часов до моего поста.

[ser970]

Прописать в Фаэрволе
00001  allow any to any  в общем открыть все.
И пересобрать ядро.
У самого такое было, на фре 7.2

бред
сказано же нат не стратует.

поковырял чуть исходники
днсп
используй скрипт после поднятия апи

[evp]

Пересобрал ядро, все по-прежнему.

Использовать скрипт для рестарта ipfw как-то некошерно, хотелось бы, чтобы работало штатно. А что там такого в исходниках, что вы советуете рестартовать скриптом?

[stix]

а может попробовать юзать другой нат? не через ipfw ?

сделай еще rxcsum ifconfig rl0 -rxcsum -tso

[ser970]

Использовать скрипт для рестарта ipfw как-то некошерно, хотелось бы, чтобы работало штатно. А что там такого в исходниках, что вы советуете рестартовать скриптом?

да не надо рестартовать фаер

всего то

ipfw nat 1 config if nfe0 same_ports reset


но тут есть маленький нюанс
католько передернится апи надо перезапускать 

ipfw nat 1 config if nfe0 same_ports reset

[evp]

а может попробовать юзать другой нат? не через ipfw ?

сделай еще rxcsum ifconfig rl0 -rxcsum -tso

Я понимаю это. Вот тут http://www.lissyara.su/articles/freebsd/tuning/ipfw_nat/#extra_info написано:

- Библиотека libalias, на которой основан ipfw nat, плохо дружит с функциями аппаратного ускорения расчета контрольных сумм и управления потоками, которые доступны на некотроых сетевых адаптерах. Рекомендуется выключать tcp segmentation offloading (TSO), а так же rxcsum на том сетевом адаптере где работает нат (ifconfig em0 -rxcsum -tso).

Но у меня nat как бы работает... В любом случае, отключение этих опций не помогло, а за попытку помочь - спасибо.

[evp]

да не надо рестартовать фаер

всего то

ipfw nat 1 config if nfe0 same_ports reset

Это, конечно, помогает. Спасибо. Но, хотелось бы понять почему при старте системы эта команда не отрабатывается в rc.firewall, хотя другие правила добавляются. Вроде бы так не предусмотрено создателями Буду дальше искать косяк. Если будут у кого идеи, заранее благодарен.