Прошу помощи в следующей непонятной для меня ситуации.
Есть сервер Freebsd 12.2 с клетками, клетки есть как обычные так и vnet. Одна из клеток vnet - сервер vpn, назначение которого - давать при необходимости хостам внутренней сети прямой доступ в Инет. Внутри vpn клетки (mpd5+strongswan) работает ipfw, единственная задача которого - nat-ить трафик от vpn-клиентов , т.е. после прохождения этого файрволла пакет от клиента с адресом 192.168.1.100 для всех остальных виден как пакет от самого vpn-сервера с адресом 192.168.1.9.
Далее на родительском хосте тоже есть ipfw, там много чего для всех клеток, в том числе и nat наружу. На vnet-клетке с Заббиксом ipfw выставлен в состояние open.
Проблема - пингую от vpn-клиента простую клетку 192.168.1.2 - ок; от vpn-клетки клетку Заббикса - ок; от vpn-клиента клетку Заббикса - ответов нет. Слушаю tcpdump-ом интерфейс внутри Заббикса - получаю запросы, но нет ответов.
Что не дало результатов - выключение ipfw в клетке Заббикса, добавление в ipfw хоста первым правилом ipfw add 00001 allow ip from any to any, добавление в ipfw vpn и хоста правила ipfw disable one_pass.
Что дает результат - выключение ipfw на хосте.
Подскажите, в чем проблема, почему теряются пакеты от vpn-клиента к любой vnet-клетке при прохождении через второй ipfw (родительского хоста) даже если в нем первое правило пускает все ото всех ко всем?
На всякий случай ipfw vpn-клетки:
# ipfw show
00002 52 3168 nat 1 ip4 from any to any in recv eth1
00010 0 0 check-state :default
00290 0 0 allow ip from any to any via lo0
00800 1591 102203 nat 1 ip4 from any to any out xmit eth1
00900 8842 933153 allow ip from any to any
65535 0 0 deny ip from any to any
Ну и схема для наглядности:
Вложение:
jails.jpg [ 31.17 КБ | Просмотров: 1493 ]