BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: Пропадают пакеты к vnet-клеткам
СообщениеДобавлено: Чт 01 июл, 2021 12:16 pm 
Не в сети

Зарегистрирован: Чт 04 фев, 2021 3:36 pm
Сообщения: 7
Прошу помощи в следующей непонятной для меня ситуации.
Есть сервер Freebsd 12.2 с клетками, клетки есть как обычные так и vnet. Одна из клеток vnet - сервер vpn, назначение которого - давать при необходимости хостам внутренней сети прямой доступ в Инет. Внутри vpn клетки (mpd5+strongswan) работает ipfw, единственная задача которого - nat-ить трафик от vpn-клиентов , т.е. после прохождения этого файрволла пакет от клиента с адресом 192.168.1.100 для всех остальных виден как пакет от самого vpn-сервера с адресом 192.168.1.9.

Далее на родительском хосте тоже есть ipfw, там много чего для всех клеток, в том числе и nat наружу. На vnet-клетке с Заббиксом ipfw выставлен в состояние open.

Проблема - пингую от vpn-клиента простую клетку 192.168.1.2 - ок; от vpn-клетки клетку Заббикса - ок; от vpn-клиента клетку Заббикса - ответов нет. Слушаю tcpdump-ом интерфейс внутри Заббикса - получаю запросы, но нет ответов.
Что не дало результатов - выключение ipfw в клетке Заббикса, добавление в ipfw хоста первым правилом ipfw add 00001 allow ip from any to any, добавление в ipfw vpn и хоста правила ipfw disable one_pass.
Что дает результат - выключение ipfw на хосте.

Подскажите, в чем проблема, почему теряются пакеты от vpn-клиента к любой vnet-клетке при прохождении через второй ipfw (родительского хоста) даже если в нем первое правило пускает все ото всех ко всем?

На всякий случай ipfw vpn-клетки:
# ipfw show
00002 52 3168 nat 1 ip4 from any to any in recv eth1
00010 0 0 check-state :default
00290 0 0 allow ip from any to any via lo0
00800 1591 102203 nat 1 ip4 from any to any out xmit eth1
00900 8842 933153 allow ip from any to any
65535 0 0 deny ip from any to any

Ну и схема для наглядности:
Вложение:
jails.jpg
jails.jpg [ 31.17 КБ | Просмотров: 427 ]


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика