Подскажите, как такое может быть? Пингов не&#

nemisis

Проблема такая. Есть шлюз на pfSense 1.2.3 работает от прова по статике, за ним сетка. и все бы хорошо, только одно напрягает. Из сети за шлюзом в мир пинги не ходят, хотя с самого шлюза идут прекрасно. В Rules есть правило на wan интерфесе разрешающее icmp протокол откуда угодно и куда угодно.

В чем моя ошибка?

dvserg

@nemisis:

Проблема такая. Есть шлюз на pfSense 1.2.3 работает от прова по статике, за ним сетка. и все бы хорошо, только одно напрягает. Из сети за шлюзом в мир пинги не ходят, хотя с самого шлюза идут прекрасно. В Rules есть правило на wan интерфесе разрешающее icmp протокол откуда угодно и куда угодно.

В чем моя ошибка?

А на LAN что?

nemisis

Вот еще что, внутри LAN пинги конечно летают. Еще есть постоянный VPN канал, по нему пинги тоже ходят. А вот если нужно проверить связь из внутренней сети на внешний ресурс, то никак. :(

dvserg

Правила LAN покажите, а то по вашим словам гадание не получается.

a.kozlov

Разреши ICMP из LAN в мир…

nemisis

Вот правил скриншот
А ICMP из LAN в мир и так разрешены.

rules.JPG_thumb

dvserg

Еще раз скриншот правил, только для LAN.

nemisis

Пожалуйста:

rules.JPG_thumb

dvserg

Странно все это. А с правилами NAT что ?

nemisis

Ну в NAT вообще протоколы не регулируются никак, там задаются только адреса и порты. ICMP же порты не использует. А в каком файле лежат правила файрволла? И кстати какой файрволл используется в pfsense?

dvserg

@nemisis:

Ну в NAT вообще протоколы не регулируются никак, там задаются только адреса и порты. ICMP же порты не использует. А в каком файле лежат правила файрволла? И кстати какой файрволл используется в pfsense?

:_(
И все-таки пожалуйста скриншот Nat > Oupbound

Правила можно посмотреть в /tmp/rules.debug (временный файл).
Фильтр используется PF.

И еще мелочь - что прописано в качестве шлюза на рабочих станциях, с которой Вы пингуете внешний мир?

nemisis

Вот Outbod NAT.

Но боюсь это никак не связано. А постоянно правила где хранятся? /cf/conf/config.xml??

pfSense естессно в качестве шлюза, на нем же squid.

rules.JPG_thumb

dvserg

А постоянно правила где хранятся? /cf/conf/config.xml??
Да

Вот такое первым правилом сделайте

nat.png_thumb

nemisis

У вас Pf Sense 2.0? У меня 1.2.3 и опции выбора протокола в NAT–>Outbond нету :(

Нашел в /temp/rules.debug аот такую интересную запись:

permit wan interface to ping out (ping_hosts.sh) ---- Что сие означает? Я так понимаю запрет на выход пингов с wan interface?

pass quick proto icmp from (мой внешний ip) to any keep state ----- но тут вроде pass указано...

dvserg

@nemisis:

У вас Pf Sense 2.0? У меня 1.2.3 и опции выбора протокола в NAT–>Outbond нету :(

Нашел в /temp/rules.debug аот такую интересную запись:

permit wan interface to ping out (ping_hosts.sh) ---- Что сие означает? Я так понимаю запрет на выход пингов с wan interface?

pass quick proto icmp from (мой внешний ip) to any keep state ----- но тут вроде pass указано...

Да 2.0. К сожалению 1,2,3 сейчас нет под рукой
Тогда попробуйте сделайте NAT без указания портов - Any to Any. Я думаю все дело в этом.

nemisis

Блин, а вы правы были! Сделал в Outbond правило any to any и все заработало! :D

Спасибо за помощь!!!