LINUX.ORG.RU
ФорумAdmin

Переодически не пробрасывает порт

 , , , ,


0

1

Всем привет! Структура на сегодня Интернет->PF OpenBSD 6(gate)->dns W2012->пользователь

Проблема: Периодически с gate не проходит телнет 80 или 443 на определенный ip.(Если поделючиться на прямую проблемы нет.)

pf.conf: 

        # Interfaces
        int_if                  =       rl0                     #Local Interface
        ext_if                  =       re0                     # External Interface
        vpn_if                  =       tun0                    # VPN Interface
        # Networks
        int_net                 =       $int_if:network         # Local Network
        vpn_net                 =       $vpn_if:network         # VPN NET
        # Services & Ports
        services_ssh            =       22
        services_voip           =       "{5060,7070:7089}"
        services_rdp            =       3389
        service_vpn             =       1195
        # Local Stations
        local_sa           	=       "sa.hq.domain.ru"
        local_pes           	=      "pes.hq.domain.ru"
        local_si           	=       "owl.hq.domain.ru"
        local_isp               =       "isp.hq.domain.ru"
        local_zabbix            =       "zabbix.hq.domain.ru"
        vpn_gw                  =       10.50.0.5
        #Remote Locations
        remote_iptelefon        =       "158.15.23.63"
        #VPN_clients
        vpnclients              =       "10.50.0.0/24"
        #VoIP Provider
        #s/sa
        udpstate                =       "keep state"

        # Essential config
        block in proto tcp from any to $ext_if port ssh
        set skip on lo
        set skip on $vpn_if
        block return in on $int_if
        block return in on $ext_if
        pass out all
        antispoof for {$int_if,$ext_if}
        pass out on $ext_if inet from $int_net nat-to $ext_if
        pass in quick inet proto icmp to self
        pass in quick inet proto icmp from {$int_net}
        pass in quick inet proto tcp from any to self port $services_ssh
        pass in on $ext_if proto udp from any to ext_if port $service_vpn $udpstate
        # Basic config
        pass in inet from $int_net to any
        # VoIP
        pass in inet proto udp from $remote_iptelefon to $ext_if port $services_voip
        # RDP Passthrough (TEMPORARY!)
        pass in inet proto tcp from any to $ext_if port 33389 \
        rdr-to $local_sa port $services_rdp
#       pass in inet proto tcp from any to $ext_if port 34389 \
#       rdr-to $local_pes port $services_rdp
        pass in inet proto tcp from any to $ext_if port 35389 \
        rdr-to $local_s port $services_rdp
        pass in inet proto tcp from any to $ext_if port 22222 \
        rdr-to $local_p port 22
        pass in inet proto tcp from any to $ext_if port 1500 \
        rdr-to $local_p port 1500
        #vpn
        pass in on $vpn_if from $vpnclients to any
        pass in on $vpn_if inet proto {tcp,udp} from $vpn_gw to any flags S/SA modulate state
        pass out on $int_if to $int_net received-on $vpn_if nat-to $int_if
        pass in on $vpn_if from any to any
        #VPN_TCP
        pass out on $vpn_if inet proto { tcp, udp } from $int_net to any flags S/SA modulate state nat-to ($int_if) round-robin

На пользователе Телнет не проходит вообще.



Последнее исправление: minzdravv (всего исправлений: 3)
проброс порте не через дефолтный шлюз
cloud.mail.ru + Debian + cli

1. Запускаешь tcpdump и смотришь на пакеты
2.

pass out on $ext_if inet from $int_net nat-to $ext_if

Наеюсь на ext_if у тебя только один ip адрес висит.

zgen ★★★★★
()
Ответ на: комментарий от zgen

1) проверю. 2) pass out on $ext_if inet from $int_net nat-to $ext_if при публикации заменил на ext, так в конфиге именно внешний ip.

minzdravv
() автор топика
Ответ на: комментарий от zgen

вот это выводит когда не грузит сайт: tcpdump host 46.254.20.38 

10:55:00.954052 МОЙ_IP.63197 > isp2.ihc.ru.www: SWE 2520167778:2520167778(0) win 65535 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF) [tos 0x2 (E)]
10:55:00.954055 МОЙ_IP.60374 > isp2.ihc.ru.www: SWE 2476544973:2476544973(0) win 65535 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF) [tos 0x2 (E)]
10:55:01.964696 МОЙ_IP.63197 > isp2.ihc.ru.www: SWE 2520167778:2520167778(0) win 65535 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF) [tos 0x2 (E)]
10:55:01.964699 МОЙ_IP.60374 > isp2.ihc.ru.www: SWE 2476544973:2476544973(0) win 65535 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF) [tos 0x2 (E)]
10:55:03.980382 МОЙ_IP.63197 > isp2.ihc.ru.www: S 2520167778:2520167778(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:55:03.980386 МОЙ_IP.60374 > isp2.ihc.ru.www: S 2476544973:2476544973(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:55:07.996458 МОЙ_IP.65342 > isp2.ihc.ru.www: SWE 1064596987:1064596987(0) win 65535 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF) [tos 0x2 (E)]
10:55:08.996118 МОЙ_IP.65342 > isp2.ihc.ru.www: SWE 1064596987:1064596987(0) win 65535 <mss 1460,nop,wscale 8,nop,nop,sackOK> (DF) [tos 0x2 (E)]
10:55:09.975203 МОЙ_IP.55256 > isp2.ihc.ru.https: . 3802622894:3802622895(1) ack 495610684 win 251 (DF)
10:55:09.976395 isp2.ihc.ru.https > МОЙ_IP.55256: . ack 1 win 475 <nop,nop,sack 1 {0:1} > (DF)
10:55:09.978199 МОЙ_IP.63002 > isp2.ihc.ru.https: . 3856696723:3856696724(1) ack 358819468 win 254 (DF)
10:55:09.979612 isp2.ihc.ru.https > МОЙ_IP.63002: . ack 1 win 643 <nop,nop,sack 1 {0:1} > (DF)
10:55:10.996274 МОЙ_IP.65342 > isp2.ihc.ru.www: S 1064596987:1064596987(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
10:55:11.176862 МОЙ_IP.54353 > isp2.ihc.ru.https: . 983770736:983770737(1) ack 668101057 win 254 (DF)
10:55:11.178239 isp2.ihc.ru.https > МОЙ_IP.54353: . ack 1 win 567 <nop,nop,sack 1 {0:1} > (DF)
10:55:13.117195 МОЙ_IP.63166 > isp2.ihc.ru.https: . 964153278:964153279(1) ack 760572127 win 255 (DF)
10:55:13.118466 isp2.ihc.ru.https > МОЙ_IP.63166: . ack 1 win 654 <nop,nop,sack 1 {0:1} > (DF)

minzdravv
() автор топика

И появились новые данные. Если сайт не открывается, то появляется ошибка таймаут. Если браузер хром. то через некоторое время сайт догружается(после ошибки)

minzdravv
() автор топика

Up.

Сам разобраться пока не могу, прошу помощи!

minzdravv
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
проброс порте не через дефолтный шлюз
Admin
cloud.mail.ru + Debian + cli