BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: Пропадают пакеты к vnet-клеткам
СообщениеДобавлено: Чт 01 июл, 2021 12:16 pm 
Не в сети

Зарегистрирован: Чт 04 фев, 2021 3:36 pm
Сообщения: 7
Прошу помощи в следующей непонятной для меня ситуации.
Есть сервер Freebsd 12.2 с клетками, клетки есть как обычные так и vnet. Одна из клеток vnet - сервер vpn, назначение которого - давать при необходимости хостам внутренней сети прямой доступ в Инет. Внутри vpn клетки (mpd5+strongswan) работает ipfw, единственная задача которого - nat-ить трафик от vpn-клиентов , т.е. после прохождения этого файрволла пакет от клиента с адресом 192.168.1.100 для всех остальных виден как пакет от самого vpn-сервера с адресом 192.168.1.9.

Далее на родительском хосте тоже есть ipfw, там много чего для всех клеток, в том числе и nat наружу. На vnet-клетке с Заббиксом ipfw выставлен в состояние open.

Проблема - пингую от vpn-клиента простую клетку 192.168.1.2 - ок; от vpn-клетки клетку Заббикса - ок; от vpn-клиента клетку Заббикса - ответов нет. Слушаю tcpdump-ом интерфейс внутри Заббикса - получаю запросы, но нет ответов.
Что не дало результатов - выключение ipfw в клетке Заббикса, добавление в ipfw хоста первым правилом ipfw add 00001 allow ip from any to any, добавление в ipfw vpn и хоста правила ipfw disable one_pass.
Что дает результат - выключение ipfw на хосте.

Подскажите, в чем проблема, почему теряются пакеты от vpn-клиента к любой vnet-клетке при прохождении через второй ipfw (родительского хоста) даже если в нем первое правило пускает все ото всех ко всем?

На всякий случай ipfw vpn-клетки:
# ipfw show
00002 52 3168 nat 1 ip4 from any to any in recv eth1
00010 0 0 check-state :default
00290 0 0 allow ip from any to any via lo0
00800 1591 102203 nat 1 ip4 from any to any out xmit eth1
00900 8842 933153 allow ip from any to any
65535 0 0 deny ip from any to any

Ну и схема для наглядности:
Вложение:
jails.jpg
jails.jpg [ 31.17 КБ | Просмотров: 1494 ]


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика