У меня начали чудеса происходить, торговая площадка Сбербанк АСТ перестала работать через сервер на машине с Windows XP. При подключении на прямую через маршрутизатор работает. При подключении через сервер страничка открывается, но не входит ни по логину ни по USB-сертификату через Internet Explorer, как будто ответа не получает. Через Firefox на этой же машине можно войти по логину и паролю. На других машинах с Windows XP тоже нельзя войти через Internet Explorer, только через Firefox. На машинах с Windows 7 спокойно заходит через Internet Explorer и Firefox. До этого все работало через сервер нормально.
VVD писал(а):
Да любая будет работать. А проброс порта нужен, если у тебя внешний IP белый - это сильно облегчает скачку.
ADSL маршрутизатор и сервер FreeBSD
_________________ Гробы разработчиков надо делать круглыми, чтоб переворачиваться было удобно!
Причина была в TCP segmentation offload (TSO). Я его отключил на обоих интерфейсах, так как он резал исходящий траффик. Внешнему интерфейсу пошло на пользу, а вот внутреннему не очень. Включение обратно TSO на внутреннем интерфейсе решило проблему.
_________________ Гробы разработчиков надо делать круглыми, чтоб переворачиваться было удобно!
Опять та же хрень вернулась. Только с отключенным файрволом нормально работает.
00001 allow ip from any to any via em0 00002 allow ip from any to any via lo0 00003 fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via bge0 00004 divert 8668 ip from any to any in via bge0 00005 check-state 00100 skipto 800 udp from any to 192.168.1.1 dst-port 53 out via bge0 keep-state 00101 skipto 800 tcp from any to any dst-port 80 out via bge0 setup keep-state 00102 skipto 800 tcp from any to any dst-port 443 out via bge0 setup keep-state 00103 skipto 800 tcp from any to any dst-port 25 out via bge0 setup keep-state 00104 skipto 800 tcp from any to any dst-port 110 out via bge0 setup keep-state 00105 skipto 800 tcp from any to any dst-port 143 out via bge0 setup keep-state 00106 skipto 800 tcp from any to any dst-port 465 out via bge0 setup keep-state 00107 skipto 800 tcp from any to any dst-port 993 out via bge0 setup keep-state 00108 skipto 800 tcp from any to any dst-port 995 out via bge0 setup keep-state 00109 skipto 800 tcp from any to any dst-port 20 out via bge0 setup keep-state 00110 skipto 800 tcp from any to any dst-port 21 out via bge0 setup keep-state 00111 skipto 800 tcp from any to any dst-port 1024 out via bge0 setup keep-state 00112 skipto 800 tcp from any to any dst-port 5000-5003 out via bge0 setup keep-state 00113 skipto 800 udp from any to any dst-port 55777 out via bge0 keep-state 00114 skipto 800 tcp from any to any dst-port 9091 out via bge0 setup keep-state 00115 skipto 800 tcp from any to any dst-port 2000-2007 out via bge0 setup keep-state 00116 skipto 800 tcp from any to any dst-port 5190,5222 out via bge0 setup keep-state 00117 skipto 800 icmp from any to any out via bge0 keep-state 00118 skipto 800 tcp from any to any dst-port 37 out via bge0 setup keep-state 00119 skipto 800 tcp from any to any dst-port 22 out via bge0 setup keep-state 00120 skipto 800 tcp from any to any dst-port 43 out via bge0 setup keep-state 00121 skipto 800 udp from any to any dst-port 123 out via bge0 keep-state 00201 deny ip from 172.16.0.0/12 to any in via bge0 00203 deny ip from 127.0.0.0/8 to any in via bge0 00204 deny ip from 0.0.0.0/8 to any in via bge0 00205 deny ip from 169.254.0.0/16 to any in via bge0 00206 deny ip from 192.0.2.0/24 to any in via bge0 00207 deny ip from 204.152.64.0/23 to any in via bge0 00208 deny ip from 224.0.0.0/3 to any in via bge0 00209 deny tcp from any to any dst-port 113 in via bge0 00210 deny tcp from any to any dst-port 137 in via bge0 00211 deny tcp from any to any dst-port 138 in via bge0 00212 deny tcp from any to any dst-port 139 in via bge0 00213 deny tcp from any to any dst-port 81 in via bge0 00214 deny ip from any to any frag in via bge0 00215 deny tcp from any to any established in via bge0 00216 allow tcp from any to me dst-port 22 in via bge0 setup limit src-addr 2 00300 deny log ip from any to any in via bge0 00301 deny log ip from any to any out via bge0 00800 divert 8668 ip from any to any out via bge0 00801 allow ip from any to any 00999 deny log ip from any to any 65535 allow ip from any to any
_________________ Гробы разработчиков надо делать круглыми, чтоб переворачиваться было удобно!
Вот похоже хозяева с торговой площадки Сбербанк АСТ как раз поигрались с MTU в меньшую сторону, а у меня в файрволе ICMP на входящий не прописан был. В итоге клиент с Windows XP через сервак отправляет данные с большим MTU чем может принять сервер торговой площадки и тот в обратку кидает ICMP с запросом уменьшения размера пакета. Запрос ICMP соответственно через файрвол сервера не проходит и в итоге на обоих концах ждут ответа. Будем надеяться, что я наконец нашел причину и завтра тоже все будет работать.
Если причина в разных MTU, то почему это влияет только на Windows XP с браузером IE?
_________________ Гробы разработчиков надо делать круглыми, чтоб переворачиваться было удобно!
Member
Статус: Не в сети Регистрация: 22.04.2003 Откуда: Санкт-Петербург
Ребята, помогите Изучаю freebsd 9.0, пытаюсь на базе системного блока сделать альтернативу шлюзу/рутеру linksys: Одна сетевая карта была встроена в мат.плату, ещё три поставил в PCI слоты, объединил их в If_bridge и захотел включить DHCP, но на этом споткнулся. составил следующий конфиг dhcpd.conf:
в результате на команду: # /usr/local/etc/rc.d/isc-dhcpd start получаю ответ:
Код:
Starting dhcpd. Internet Systems Consortium DHCP Server 4.2.3-P1 Copyright 2004-2011 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Wrote 0 class decls to leases file. Wrote 0 deleted host decls to leases file. Wrote 0 new dynamic host decls to leases file. Wrote 0 leases to leases file.
No subnet declaration for bridge0 (192.168.0.1). ** Ignoring requests on bridge0. If this is not what you want, please write a subnet declaration in your dhcpd.conf file for the network segment to which interface bridge0 is attached. **
Not configured to listen on any interfaces!
If you did not get this software from ftp.isc.org, please get the latest from ftp.isc.org and install that before requesting help.
If you did get this software from ftp.isc.org and have not yet read the README, please read it before requesting help. If you intend to request help from the dhcp-server@isc.org mailing list, please read the section on the README about submitting bug reports and requests for help.
Please do not under any circumstances send requests for help directly to the authors of this software - please send them to the appropriate mailing list as described in the README file.
exiting. /usr/local/etc/rc.d/isc-dhcpd: WARNING: failed to start dhcpd
в файле sysctl.conf записана лишь одна строчка: net.inet.ip.forwarding=1
конфиг pf.conf, думаю, тут лишний: в нём реализован NAT, фаервол, по сути отключён: правил block'a нет. Мост реализован добавлением строчки в конфигурацию ядра: device if_bridge Устройство bpf из конфигурации ядра не удалял.
Никак не соображу, где ошибка. Уже возникли подозрения (не без помощи знакомых) о том, что DHCPD не дружит с мостами, однако прямого упоминания об этом нигде не встретил. Для примера в мане на pfctl прямо сказано, что ALTQ не будет работать с мостами, но при работе с DHCP нигде таких упоминаний не встречал.
re0 у меня в роли WAN интерфейса. В bridge0 входят 3 сетевых карты 3com, они у меня в роли LAN. По совету знакомого пробовал убрать из rc.conf упоминания о bridge0 и перевесить всё на один из xl, но ничего не изменилось, точно также жалуется на xl
Сделал по той инструкции для сервака с RAID, DHCP, DNS, IPFW, NAT, Squid, Samba http://www.bsdguides.org/2012/upgrading ... sd-update/ После установки пришлось еще перекомпилировать и устанавливать ядро с моими опциями, потому что при обновлении встает ядро со стандартными настройками. Еще пришлось обновлять named.root, а то DNS не работал.
_________________ Гробы разработчиков надо делать круглыми, чтоб переворачиваться было удобно!
TSC! Russia member
Статус: Не в сети Регистрация: 13.04.2008 Откуда: Смоленск
А кто-нибудь использует или использовал когда-нибудь фряху на десктопе? Хотелось бы узнать впечатления. Ставил в виртуалку однажды, но что-то не получилось и я забросил это дело, так и не познакомившись с системой. Думаю, а не повторить ли?..
_________________ «Ты можешь рассчитывать на человечество, они всегда сведут все к наименьшему знаменателю и насрут на все сверху!» Lemmy Kilmister
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения