Подскажите с настройкой клиент-банка…
-
-
Похоже выходные удались! ;-)))
Нуууу есть немного.. ;)
-
Я посмотрел /tmp/rules.debug и ничего там криминального не нашел, в частности указаний на block out on xl0. Там всего две строки содержащие "block out"
Block all IPv6
block in quick inet6 all
block out quick inet6 all
#–-------------------------------------------------------------------------default deny rules
#---------------------------------------------------------------------------
block in log quick all label "Default deny rule"
block out log quick all label "Default deny rule"что мне лично кажется совсем не тем, что может мешать :)
-
Странно… У тебя ж в логе говорится "правило номер 102"
погляди pfctl -sr -vv
что там в сто втором правиле? -
Странно… У тебя ж в логе говорится "правило номер 102"
погляди pfctl -sr -vv
что там в сто втором правиле?Да, команда показывает правило 102:
[Inserted: uid 0 pid 50821]
@102 block drop out log quick all label "Default deny rule"
[Evaluations: 45 Packets: 45 Bytes: 1800 States: 0 ]я пробовал удалять дефолтное запрещающее все правило на WAN интерфейсе, и менял его на разрешающее, в итоге 102 правило удаляется и генирируется другое с таким же содержимым
[Inserted: uid 0 pid 1400]
@98 block drop out log quick all label "Default deny rule"
[Evaluations: 2 Packets: 2 Bytes: 362 States: 0 ]и лог:
Jun 10 09:16:49 pf: 1. 515161 rule 98/0(match): block out on xl0: (tos 0x0, ttl 127, id 31169, offset 0, flags [DF], proto TCP (6), length 181) 77.108.92.4.17532 > 194.143.138.138.2214: FP, cksum 0x89dd (correct), 2293132943:2293133084(141) ack 2406608847 win 65535
-
Так, стоп. А что```
pfctl -sr | grep xl0 -
кажет вот это:
block drop in log quick on xl0 inet proto udp from any port = bootps to 10.6.0.0/24 port = bootpc label "block dhcp client out wan"
block drop in on ! xl0 inet from 77.108.92.0/29 to any
block drop in on xl0 inet6 from fe80::204:75ff:fec2:54f6 to any
block drop in log quick on xl0 inet from 10.0.0.0/8 to any label "block private networks from wan block 10/8"
block drop in log quick on xl0 inet from 127.0.0.0/8 to any label "block private networks from wan block 127/8"
block drop in log quick on xl0 inet from 172.16.0.0/12 to any label "block private networks from wan block 172.16/12"
block drop in log quick on xl0 inet from 192.168.0.0/16 to any label "block private networks from wan block 192.168/16"
block drop in log quick on xl0 from <bogons>to any label "block bogon networks from wan"
pass out quick on xl0 proto icmp all keep state label "let out anything from firewall host itself"
pass out quick on xl0 all flags S/SA keep state (tcp.closed 5) label "let out anything from firewall host itself"
pass out quick on xl0 all flags S/SA keep state label "let out anything from firewall host itself"
pass in quick on xl0 reply-to (xl0 77.108.92.1) inet proto tcp from any to 10.6.0.61 port = smtp flags S/SA keep state label "USER_RULE: NAT SMTP (internet) -> SMTP (local: 10.6.0.61)"
block drop in quick on xl0 reply-to (xl0 77.108.92.1) inet all label "USER_RULE: block all"
pass in quick on xl0 inet proto tcp from any port = ftp-data to (xl0) port > 49000 flags S/SA keep state label "FTP PROXY: PASV mode data connection"</bogons> -
Похоже клиент или сервер закрывает tcp-connection.
Давай смотреть более детальноtcpdump -ni xl0 host 194.143.138.138На сколько я понимяю 194.143.138.138 - это удалённая сторона.
-
Похоже клиент или сервер закрывает tcp-connection.
Давай смотреть более детальноtcpdump -ni xl0 host 194.143.138.138На сколько я понимяю 194.143.138.138 - это удалённая сторона.
да! я сам только сегодня дошел до звонка в тех. поддержку банка, где мне сказали что связь с ними возможна только с IP указанного в заявке на подключение, и чтобы его сменить нужно подавать еще какую-то заявку :) В общем поменял WAN адрес на нужный и все заработало. Извиняюсь за отнятое время, и спасибо за помощь)
-
Похоже клиент или сервер закрывает tcp-connection.
Давай смотреть более детальноtcpdump -ni xl0 host 194.143.138.138На сколько я понимяю 194.143.138.138 - это удалённая сторона.
да! я сам только сегодня дошел до звонка в тех. поддержку банка, где мне сказали что связь с ними возможна только с IP указанного в заявке на подключение, и чтобы его сменить нужно подавать еще какую-то заявку :) В общем поменял WAN адрес на нужный и все заработало. Извиняюсь за отнятое время, и спасибо за помощь)
Ничего, бывает. Хорошо, что заработало, а то Банк всё-таки ;-)