Date: Mon, 9 Apr 2007 15:52:23 +0200 From: "Claus Guttesen" <none@kometen--gmail.com.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: ipfilter problemer
> >> Jeg har en firewall hos en kunde, som er en FreeBSD 6.2-STABLE.
> >>
> >> Den bliver ved med at "stoppe" med at lade trafik komme ind/ud efter
> >> nogle dages ok drift.
> >> Når den "stopper" ser loggen således ud:
> >> ------- cut ----------
> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.437901 xl0 @0:153 b
> >> 158.222.94.229,46712 -> 10.0.0.52,2999 PR tcp len 20 40 -AR IN NAT
> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.508066 xl0 @0:153 b
> >> 24.218.96.10,443 -> 10.0.0.52,2996 PR tcp len 20 64 -AS IN NAT
> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.661514 xl0 @0:153 b
> >> 24.218.96.10,443 -> 10.0.0.52,2996 PR tcp len 20 52 -A IN NAT
> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.666647 xl0 @0:153 b
> >> 75.67.83.9,54266 -> 10.0.0.52,3000 PR tcp len 20 64 -AS IN NAT
> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.877866 xl0 @0:153 b
> >> 82.165.134.179,80 -> 10.0.0.52,2997 PR tcp len 20 44 -AS IN NAT
> >> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.535455 xl0 @0:153 b
> >> 71.226.83.208,45632 -> 10.0.0.52,2998 PR tcp len 20 64 -AS IN NAT
> >> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.614232 xl0 @0:153 b
> >> 71.226.83.208,45632 -> 10.0.0.52,2998 PR tcp len 20 52 -A IN NAT
> >> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.777022 xl0 @0:153 b
> >> 72.19.110.220,28828 -> 10.0.0.52,3001 PR tcp len 20 64 -AS IN NAT
> >> Apr 4 17:15:06 dk-server ipmon[380]: 17:15:06.210838 xl0 @0:153 b
> >> 65.189.183.69,23263 -> 10.0.0.52,3005 PR tcp len 20 64 -AS IN NAT
> >> ------- cut ----------
> >>
> >> LAN = 10.0.0.0/24
> >> Alt er tilladt udadgående.
> >>
> >> Hvis jeg så kører
> >> /etc/rc.d/ipfilter restart
> >> /etc/rc.d/ipnat restart
> >> og mit script der sætter reglerne op, så er alt perfekt i endnu en
> >> variabel tidsramme. Det kan være fra 4-5 timer til 5-6 dage.
> >>
> >> I en fejlsituation blokerer den også trafik der ifølge regelsættet er
> >> tilladt, også selvom det ikke skal NAT'es.
> >>
> >> Jeg er lidt tør for ideer, da jeg har lavet mindst 10 firewalls over
> >> samme "opskrift", og det er den eneste jeg har problemer med.
> >> Jeg har allerede prøvet at opgradere både kerne og userland, men uden
> >> det hjalp.
> >
> > Har de andre firewall's samme netkort, bundkort, FreeBSD-version?
> > Kommer den igang af sig selv, eller må "nogen" manuelt sætte den
> > igang?
> >
> > Det kan være en fordel at køre release fremfor stable.
> >
> Jeg har prøvet 3 forskellige netkort i denne server.
> Det er en DELL, og jeg har 4 andre DELL servere (ikke præcis samme type)
> men ingen af dem har problemet.
>
> Men hvordan kan jeg sikre mig at cvsup vælger en -RELEASE istedet for
> -STABLE?
Du sætter dette i sup-filen:
*default release=cvs tag=RELENG_6_2
Hvis du har prøvet med forskellige netkort, så er det næppe det som er
årsagen. Kan det være en NAT-relateret parameter som er under- eller
over-justeret eller en timer som ikke slår ind tids nok, som så
bevirker at der bliver for få eller for mange indgange i NAT-tabellen?
Nu er det "100 år siden" jeg rørte ved ipfilter, så der strækker jeg
desværre ikke til.
Hvordan satte du denne firewall op? Kopiérede du en standard-fil over
fra en kørende firewall, eller tastede du det ind igen?
Hilsen
Claus
This archive was generated by hypermail 2b30 : Mon 30 Apr 2007 - 23:00:02 CEST