Подскажите, как такое может быть? Пингов не&#

nemisis · Jul 18, 2011, 1:39 PM

Проблема такая. Есть шлюз на pfSense 1.2.3 работает от прова по статике, за ним сетка. и все бы хорошо, только одно напрягает. Из сети за шлюзом в мир пинги не ходят, хотя с самого шлюза идут прекрасно. В Rules есть правило на wan интерфесе разрешающее icmp протокол откуда угодно и куда угодно.

В чем моя ошибка?

dvserg · Jul 18, 2011, 1:44 PM

@nemisis:

Проблема такая. Есть шлюз на pfSense 1.2.3 работает от прова по статике, за ним сетка. и все бы хорошо, только одно напрягает. Из сети за шлюзом в мир пинги не ходят, хотя с самого шлюза идут прекрасно. В Rules есть правило на wan интерфесе разрешающее icmp протокол откуда угодно и куда угодно.

В чем моя ошибка?

А на LAN что?

nemisis · Jul 19, 2011, 7:38 AM

Вот еще что, внутри LAN пинги конечно летают. Еще есть постоянный VPN канал, по нему пинги тоже ходят. А вот если нужно проверить связь из внутренней сети на внешний ресурс, то никак. :(

dvserg · Jul 19, 2011, 7:41 AM

Правила LAN покажите, а то по вашим словам гадание не получается.

a.kozlov · Jul 19, 2011, 9:34 AM

Разреши ICMP из LAN в мир…

nemisis · Jul 21, 2011, 9:22 AM

Вот правил скриншот
А ICMP из LAN в мир и так разрешены.

dvserg · Jul 21, 2011, 9:29 AM

Еще раз скриншот правил, только для LAN.

nemisis · Jul 21, 2011, 9:52 AM

Пожалуйста:

dvserg · Jul 21, 2011, 9:59 AM

Странно все это. А с правилами NAT что ?

nemisis · Jul 21, 2011, 10:02 AM

Ну в NAT вообще протоколы не регулируются никак, там задаются только адреса и порты. ICMP же порты не использует. А в каком файле лежат правила файрволла? И кстати какой файрволл используется в pfsense?

dvserg · Jul 21, 2011, 10:12 AM

@nemisis:

Ну в NAT вообще протоколы не регулируются никак, там задаются только адреса и порты. ICMP же порты не использует. А в каком файле лежат правила файрволла? И кстати какой файрволл используется в pfsense?

:_(
И все-таки пожалуйста скриншот Nat > Oupbound

Правила можно посмотреть в /tmp/rules.debug (временный файл).
Фильтр используется PF.

И еще мелочь - что прописано в качестве шлюза на рабочих станциях, с которой Вы пингуете внешний мир?

nemisis · Jul 21, 2011, 10:20 AM

Вот Outbod NAT.

Но боюсь это никак не связано. А постоянно правила где хранятся? /cf/conf/config.xml??

pfSense естессно в качестве шлюза, на нем же squid.

dvserg · Jul 21, 2011, 10:24 AM

А постоянно правила где хранятся? /cf/conf/config.xml??
Да

Вот такое первым правилом сделайте

nemisis · Jul 21, 2011, 11:06 AM

У вас Pf Sense 2.0? У меня 1.2.3 и опции выбора протокола в NAT–>Outbond нету :(

Нашел в /temp/rules.debug аот такую интересную запись:

permit wan interface to ping out (ping_hosts.sh) ---- Что сие означает? Я так понимаю запрет на выход пингов с wan interface?

pass quick proto icmp from (мой внешний ip) to any keep state ----- но тут вроде pass указано...

dvserg · Jul 21, 2011, 11:13 AM

@nemisis:

У вас Pf Sense 2.0? У меня 1.2.3 и опции выбора протокола в NAT–>Outbond нету :(

Нашел в /temp/rules.debug аот такую интересную запись:

permit wan interface to ping out (ping_hosts.sh) ---- Что сие означает? Я так понимаю запрет на выход пингов с wan interface?

pass quick proto icmp from (мой внешний ip) to any keep state ----- но тут вроде pass указано...

Да 2.0. К сожалению 1,2,3 сейчас нет под рукой
Тогда попробуйте сделайте NAT без указания портов - Any to Any. Я думаю все дело в этом.

nemisis · Jul 21, 2011, 11:30 AM

Блин, а вы правы были! Сделал в Outbond правило any to any и все заработало! :D

Спасибо за помощь!!!