Re: Re: [freebsd] PBR и подземный стук.

2013-06-03 Пенетрантность Yuriy B. Borysov 
  Hi!

On Thu, May 23, 2013 at 05:22:41PM +0700, Eugene Grosbein writes:

 Меня собственно смущает вот ещё что, я не вижу и входящих пакетов на 
 интерфейсе, на который отроучены IP. Т.е. фик с ним с исходом, это 
 может быть кривой bpr. Но входные то пакеты должны быть в любом 
 случае?
 
 Или нет?

 Необязательно. И зависит от того, как именно запускать tcpdump.

Ну даже если запустить tcpdump -i ng2 (ng2 интерфейс, через который 
провайдер роутит доп. ip), на входе ничего нет от хоста, с которого 
запущен ping.
 
Пробовал и tcpdump -i ng2 icmp и 
tcpdump -i ng2 dst or src ip машины, с которой пингаю

Как я понимаю, снятие дампа с внешнего интерфейса должно проходить до 
обработки ipfw/pf.



-- 
WBR, Yuriy B. Borysov
YOKO-UANIC | YOKO-RIPE

Re: Re: [freebsd] PBR и подземный стук.

2013-05-23 Пенетрантность Yuriy B. Borysov 
  Hi!

On Wed, May 22, 2013 at 03:35:20PM +0700, Eugene Grosbein writes:
 
 Пробовал и с ipfw fwd - add fwd 110.77.149.1 ip from 103.10.229.32/29 to any
 
 Это не вывод правил файрвола. В выводе есть информативные счетчики, тут их 
 нет.
 И да, вывод нужен весь, без купюр.
 
 И tcpdump'ом надо смотреть не только ICMP, но и ARP-трафик, потому что до 
 успешного
 прохождения ARP никакого ICMP не начнётся. И смотреть надо не только на том 
 интерфейсе,
 где ожидаются пакеты, но и на остальных - они могли уйти не туда, и нужно 
 знать,
 куда на самом деле уходят запросы. И уходят ли вообще хоть куда-то.

Спасибо, поснимаю дампы со всех интерфейсов.

Меня собственно смущает вот ещё что, я не вижу и входящих пакетов на 
интерфейсе, на который отроучены IP. Т.е. фик с ним с исходом, это 
может быть кривой bpr. Но входные то пакеты должны быть в любом 
случае?

Или нет?


-- 
WBR, Yuriy B. Borysov
YOKO-UANIC | YOKO-RIPE

Re: Re: [freebsd] PBR и подземный стук.

2013-05-22 Пенетрантность Yuriy B. Borysov 
  Hi!

On Wed, May 22, 2013 at 01:06:25PM +0700, Eugene Grosbein writes:
 
 Ничего не понятно. Надо не только пересказывать своими словами, но и 
 показывать вывод
 ifconfig, netstat -rn, правил файрвола, показывать, как ping запускаешь.
 

Да, немного сумбурно вышло, исправляюсь:

Интерфейсы наружу

ng1: flags=88d1UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST metric 0 mtu 
1492
inet 101.109.244.66 -- 101.109.244.1 netmask 0x 
ng2: flags=88d1UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST metric 0 mtu 
1492
inet 110.77.149.75 -- 110.77.149.1 netmask 0x 
ng3: flags=88d1UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST metric 0 mtu 
1492
inet 110.77.214.242 -- 110.77.214.1 netmask 0x 


Интерфейс, на котором прибит ip из сети, отроученой провайдером на ng1:

vlan15: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST metric 0 mtu 1500
options=103RXCSUM,TXCSUM,TSO4
ether 00:25:90:00:00:a4
inet 101.109.244.129 netmask 0xfffc broadcast 101.109.244.131
media: Ethernet autoselect (1000baseT full-duplex)
status: active
vlan: 15 parent interface: em0

Интерфейс, на котором прибит ip из сети, отроученой провайдером на ng2:

vlan16: flags=8843UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST metric 0 mtu 1500
options=103RXCSUM,TXCSUM,TSO4
ether 00:25:90:00:00:a4
inet 103.10.229.33 netmask 0xfff8 broadcast 103.10.229.39
media: Ethernet autoselect (1000baseT full-duplex)
status: active
vlan: 16 parent interface: em0


netstat -rn (только то, что относится к вопросу)
default110.77.214.1   UGS 0 39320711ng3
101.109.244.128/30 link#18U   0   114509 vlan15
101.109.244.129link#18UHS 00lo0
103.10.229.32/29   link#19U   00 vlan16
103.10.229.33  link#19UHS 00lo0

pbr для ip с ng1, который нормально работает:

pass out route-to (ng1 101.109.244.66) proto tcp from 101.109.244.130 to any 
flags S/SA keep state
pass out route-to (ng1 101.109.244.66) proto { udp, icmp } from 101.109.244.130 
to any keep state
pass in on ng1 reply-to (ng1 101.109.244.66) proto tcp from any to 
101.109.244.130 flags S/SA keep state
pass in on ng1 reply-to (ng1 101.109.244.66) proto { udp, icmp } from any to 
101.109.244.130 keep state 

pass in on ng1 reply-to (ng1 ng1:peer) from any to (ng1:network)


pbr для ip с ng2, который не работает:

table cat { 103.10.229.34, 103.10.229.35, 103.10.229.36, 103.10.229.37, 
103.10.229.38 }
pass out route-to (ng2 110.77.149.75) proto tcp from cat to any flags S/SA 
keep state
pass out route-to (ng2 110.77.149.75) proto { udp, icmp } from cat to any 
keep state
pass in on ng2 reply-to (ng2 110.77.149.75) proto tcp from any to cat flags 
S/SA keep state
pass in on ng2 reply-to (ng2 110.77.149.75) proto { udp, icmp } from any to 
cat keep state

pass in on ng2 reply-to (ng2 ng2:peer) from any to (ng2:network)

Пробовал и с ipfw fwd - add fwd 110.77.149.1 ip from 103.10.229.32/29 to any

Пинг пробовал по разному: 

ping -S 103.10.229.33 8.8.8.8 локально с маршрутизатора.
Глухо, tcpdump -i ng2 icmp ничего не показывает.

Включал в vlan16 бук с прибитым ip 103.10.229.34/29

ping с 33 на 34 и обратно - проходит, наружу - нет.




-- 
WBR, Yuriy B. Borysov
YOKO-UANIC | YOKO-RIPE