• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Подскажите, как такое может быть? Пингов не&#

Scheduled Pinned Locked Moved Russian
16 Posts 3 Posters 4.1k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • N
    nemisis
    last edited by Jul 18, 2011, 1:39 PM

    Проблема такая. Есть шлюз на pfSense 1.2.3 работает от прова по статике, за ним сетка. и все бы хорошо, только одно напрягает. Из сети за шлюзом в мир пинги не ходят, хотя с самого шлюза идут прекрасно. В Rules есть правило на wan интерфесе разрешающее icmp протокол откуда угодно и куда угодно.

    В чем моя ошибка?

    1 Reply Last reply Reply Quote 0
    • D
      dvserg
      last edited by Jul 18, 2011, 1:44 PM

      @nemisis:

      Проблема такая. Есть шлюз на pfSense 1.2.3 работает от прова по статике, за ним сетка. и все бы хорошо, только одно напрягает. Из сети за шлюзом в мир пинги не ходят, хотя с самого шлюза идут прекрасно. В Rules есть правило на wan интерфесе разрешающее icmp протокол откуда угодно и куда угодно.

      В чем моя ошибка?

      А на LAN что?

      SquidGuardDoc EN  RU Tutorial
      Localization ru_PFSense

      1 Reply Last reply Reply Quote 0
      • N
        nemisis
        last edited by Jul 19, 2011, 7:38 AM

        Вот еще что, внутри LAN пинги конечно летают. Еще есть постоянный VPN канал, по нему пинги тоже ходят. А вот если нужно проверить связь из внутренней сети на внешний ресурс, то никак.  :(

        1 Reply Last reply Reply Quote 0
        • D
          dvserg
          last edited by Jul 19, 2011, 7:41 AM

          Правила LAN покажите, а то по вашим словам гадание не получается.

          SquidGuardDoc EN  RU Tutorial
          Localization ru_PFSense

          1 Reply Last reply Reply Quote 0
          • A
            a.kozlov
            last edited by Jul 19, 2011, 9:34 AM

            Разреши ICMP из LAN в мир…

            1 Reply Last reply Reply Quote 0
            • N
              nemisis
              last edited by Jul 21, 2011, 9:22 AM

              Вот правил скриншот
              А ICMP из LAN в мир и так разрешены.

              rules.JPG_thumb
              rules.JPG

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by Jul 21, 2011, 9:29 AM

                Еще раз скриншот правил, только для LAN.

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • N
                  nemisis
                  last edited by Jul 21, 2011, 9:52 AM

                  Пожалуйста:

                  rules.JPG
                  rules.JPG_thumb

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by Jul 21, 2011, 9:59 AM

                    Странно все это. А с правилами NAT что ?

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • N
                      nemisis
                      last edited by Jul 21, 2011, 10:02 AM

                      Ну в NAT вообще протоколы не регулируются никак, там задаются только адреса и порты. ICMP же порты не использует. А в каком файле лежат правила файрволла? И кстати какой файрволл используется в pfsense?

                      1 Reply Last reply Reply Quote 0
                      • D
                        dvserg
                        last edited by Jul 21, 2011, 10:12 AM Jul 21, 2011, 10:05 AM

                        @nemisis:

                        Ну в NAT вообще протоколы не регулируются никак, там задаются только адреса и порты. ICMP же порты не использует. А в каком файле лежат правила файрволла? И кстати какой файрволл используется в pfsense?

                        :_(
                        И все-таки пожалуйста скриншот Nat > Oupbound

                        Правила можно посмотреть в /tmp/rules.debug (временный файл).
                        Фильтр используется PF.

                        И еще мелочь - что прописано в качестве шлюза на рабочих станциях, с которой Вы пингуете внешний мир?

                        SquidGuardDoc EN  RU Tutorial
                        Localization ru_PFSense

                        1 Reply Last reply Reply Quote 0
                        • N
                          nemisis
                          last edited by Jul 21, 2011, 10:20 AM Jul 21, 2011, 10:15 AM

                          Вот Outbod NAT.

                          Но боюсь это никак не связано. А постоянно правила где хранятся? /cf/conf/config.xml??

                          pfSense естессно в качестве шлюза, на нем же squid.

                          rules.JPG
                          rules.JPG_thumb

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg
                            last edited by Jul 21, 2011, 10:24 AM

                            А постоянно правила где хранятся? /cf/conf/config.xml??
                            Да

                            Вот такое первым правилом сделайте

                            nat.png
                            nat.png_thumb

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • N
                              nemisis
                              last edited by Jul 21, 2011, 11:06 AM Jul 21, 2011, 11:04 AM

                              У вас Pf Sense 2.0? У меня 1.2.3 и опции выбора протокола в NAT–>Outbond нету :(

                              Нашел в /temp/rules.debug аот такую интересную запись:

                              permit wan interface to ping out (ping_hosts.sh) ---- Что сие означает? Я так понимаю запрет на выход пингов с wan interface?

                              pass quick proto icmp from (мой внешний ip) to any keep state ----- но тут вроде pass указано...

                              1 Reply Last reply Reply Quote 0
                              • D
                                dvserg
                                last edited by Jul 21, 2011, 11:13 AM

                                @nemisis:

                                У вас Pf Sense 2.0? У меня 1.2.3 и опции выбора протокола в NAT–>Outbond нету :(

                                Нашел в /temp/rules.debug аот такую интересную запись:

                                permit wan interface to ping out (ping_hosts.sh) ---- Что сие означает? Я так понимаю запрет на выход пингов с wan interface?

                                pass quick proto icmp from (мой внешний ip) to any keep state ----- но тут вроде pass указано...

                                Да 2.0. К сожалению 1,2,3 сейчас нет под рукой
                                Тогда попробуйте сделайте NAT без указания портов - Any to Any. Я думаю все дело в этом.

                                SquidGuardDoc EN  RU Tutorial
                                Localization ru_PFSense

                                1 Reply Last reply Reply Quote 0
                                • N
                                  nemisis
                                  last edited by Jul 21, 2011, 11:30 AM

                                  Блин, а вы правы были! Сделал в Outbond правило any to any и все заработало!  :D

                                  Спасибо за помощь!!!

                                  1 Reply Last reply Reply Quote 0
                                  16 out of 16
                                  • First post
                                    16/16
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                    This community forum collects and processes your personal information.
                                    consent.not_received