Divne chovani stroje / site

Zbyněk Burget zburget at miastudio.cz
Wed Dec 8 14:13:45 CET 2004

Previous message: arp problem - cannot intuit interface index and type for ...
Next message: Divne chovani stroje / site
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zdravim vespolek,
pri reseni jinych problemu jsem narazil na neco divneho:

Odnekud ze sveta (od sebe z prace) spustim ping na muj router, soucasne 
pustim ping z routeru nekam do sveta - napr. GW - vse v pohode.

na routeru napisu nasledujici prikaz

# ipfw -f flush; ipfw -f pipe flush; ipfw l; sleep 30; . /etc/firewall
Flushed all rules.
Flushed all pipes.
65535 allow ip from any to any

... 30 s se ten router chova velice podivne - pingy zvenci na nej se 
zacnou ztracet, chvili odpovida, chvili ne, neda se na nej behem te doby 
ani prihlasit pomoci ssh. Pingy z routeru ven jedou po celou dobu dobre 
(a i se zobrazuji na terminalu ssh - na udalosti z klavesnice ovsem 
terminal nereaguje).

... nactou se pravidla firewallu a vse se vrati do normalu - s routerem 
se da normalne komunikovat.

Prakticky shodna situace nastane, kdyz napisu:

# ifconfig rl1 down; sleep 30; ifconfig rl1 up

...rl1 je vnitrni adapter routeru, takze na provoz zvenci by jeho 
shozeni snad nemelo mit vliv.


Router jinak normalne routuje a NATuje provoz ze dvou privatnich podsiti 
smerem do internetu.
Jen pri pokusu na vnitrni siti rozjet verejnou podsit se to totalne 
zblazni - v okamziku, kdy se na nejakem stroji nastavi verejna IP, 
nastane podobna situace, jako vyse popsany problem - zvenci se s 
routerem prestane dat komunikovat, privatni podsite se temer "zaseknou", 
pritom ten stroj s verejnou IP jede bez problemu a jeho provoz je 
normalne oshapovany DUMMYNETem.
Pokud mam pustene soucasne ping na verejnou IP v podsiti a ping na 
router, bud odpovida jeden stroj nebo druhy (nekolik vterin jeden, 
nekoli vterin druhy) nekdy odpovida spis ta verejna IP vpodsitim, nez 
router. Jakmile verejna IP z vnitrni site zmizi, okamzite vse zacina 
fungovat normalne.
Prazvlastni je, ze se ze sveta dopingnu na tu verejnou IP za routerem, 
ale nedopingnu se zvenci na IP GW pro tu verejnou podsit.
Kdyz zkusim traceroute na existujici IP verejne podsite, posledni 
zobrazeny hop je adresa routeru (verejna IP uz neodpovi), pokud dam 
traceroute na nefunkcni IP verejne podsite, skonci to na hopu tesne pred 
mym routerem - ten uz se neozve.


FBSD 4.10-RELENG

Co muzu mit kde nastaveneho spatne? Konfiguraky neposilam naprosto 
vedomne, pac nevim, co vsechno muze byt relevantni a nerad bych ted 
prodluzoval uz tak dost obsahly dotaz. Uz jsem situaci konzultoval s J. 
Pechancem a P. Bezdekem, chybu v konfiguraci jsme neobjevili...  :-(
Uvitam jakoukoli radu nebo nakopnuti smerem k reseni problemu...

Zbynek

Previous message: arp problem - cannot intuit interface index and type for ...
Next message: Divne chovani stroje / site
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list