Re: ipfilter problemer

From: Henrik Woffinden (none@henrik.woffinden--boccia.org.lh.bsd-dk.dk)
Date: Mon 09 Apr 2007 - 14:30:17 CEST

Next message: Claus Guttesen: "Re: ipfilter problemer"
Previous message: Morten Winther: "Re: Gmirror problem"
In reply to: Claus Guttesen: "Re: ipfilter problemer"
Next in thread: Claus Guttesen: "Re: ipfilter problemer"
Reply: Claus Guttesen: "Re: ipfilter problemer"
Reply: Thomas Maack Nielsen: "Re: ipfilter problemer"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Mon, 09 Apr 2007 14:30:17 +0200
From: Henrik Woffinden <none@henrik.woffinden--boccia.org.lh.bsd-dk.dk>
To:  bsd-dk@bsd-dk.dk
Subject: Re: ipfilter problemer

Claus Guttesen wrote:
>> Jeg har en firewall hos en kunde, som er en FreeBSD 6.2-STABLE.
>>
>> Den bliver ved med at "stoppe" med at lade trafik komme ind/ud efter
>> nogle dages ok drift.
>> Når den "stopper" ser loggen således ud:
>> ------- cut ----------
>> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.437901 xl0 @0:153 b
>> 158.222.94.229,46712 -> 10.0.0.52,2999 PR tcp len 20 40 -AR IN NAT
>> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.508066 xl0 @0:153 b
>> 24.218.96.10,443 -> 10.0.0.52,2996 PR tcp len 20 64 -AS IN NAT
>> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.661514 xl0 @0:153 b
>> 24.218.96.10,443 -> 10.0.0.52,2996 PR tcp len 20 52 -A IN NAT
>> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.666647 xl0 @0:153 b
>> 75.67.83.9,54266 -> 10.0.0.52,3000 PR tcp len 20 64 -AS IN NAT
>> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.877866 xl0 @0:153 b
>> 82.165.134.179,80 -> 10.0.0.52,2997 PR tcp len 20 44 -AS IN NAT
>> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.535455 xl0 @0:153 b
>> 71.226.83.208,45632 -> 10.0.0.52,2998 PR tcp len 20 64 -AS IN NAT
>> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.614232 xl0 @0:153 b
>> 71.226.83.208,45632 -> 10.0.0.52,2998 PR tcp len 20 52 -A IN NAT
>> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.777022 xl0 @0:153 b
>> 72.19.110.220,28828 -> 10.0.0.52,3001 PR tcp len 20 64 -AS IN NAT
>> Apr 4 17:15:06 dk-server ipmon[380]: 17:15:06.210838 xl0 @0:153 b
>> 65.189.183.69,23263 -> 10.0.0.52,3005 PR tcp len 20 64 -AS IN NAT
>> ------- cut ----------
>>
>> LAN = 10.0.0.0/24
>> Alt er tilladt udadgående.
>>
>> Hvis jeg så kører
>> /etc/rc.d/ipfilter restart
>> /etc/rc.d/ipnat restart
>> og mit script der sætter reglerne op, så er alt perfekt i endnu en
>> variabel tidsramme. Det kan være fra 4-5 timer til 5-6 dage.
>>
>> I en fejlsituation blokerer den også trafik der ifølge regelsættet er
>> tilladt, også selvom det ikke skal NAT'es.
>>
>> Jeg er lidt tør for ideer, da jeg har lavet mindst 10 firewalls over
>> samme "opskrift", og det er den eneste jeg har problemer med.
>> Jeg har allerede prøvet at opgradere både kerne og userland, men uden
>> det hjalp.
>
> Har de andre firewall's samme netkort, bundkort, FreeBSD-version?
> Kommer den igang af sig selv, eller må "nogen" manuelt sætte den
> igang?
>
> Det kan være en fordel at køre release fremfor stable.
>
Jeg har prøvet 3 forskellige netkort i denne server.
Det er en DELL, og jeg har 4 andre DELL servere (ikke præcis samme type)
men ingen af dem har problemet.

Men hvordan kan jeg sikre mig at cvsup vælger en -RELEASE istedet for
-STABLE?

-- Med venlig hilsen / Kind regards,

Henrik Woffinden

Next message: Claus Guttesen: "Re: ipfilter problemer"
Previous message: Morten Winther: "Re: Gmirror problem"
In reply to: Claus Guttesen: "Re: ipfilter problemer"
Next in thread: Claus Guttesen: "Re: ipfilter problemer"
Reply: Claus Guttesen: "Re: ipfilter problemer"
Reply: Thomas Maack Nielsen: "Re: ipfilter problemer"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Mon 30 Apr 2007 - 23:00:02 CEST