Re: ipfilter problemer

From: Henrik Woffinden (none@henrik.woffinden--boccia.org.lh.bsd-dk.dk)
Date: Fri 13 Apr 2007 - 14:41:41 CEST

Next message: Flemming Laugaard: "Re: ipfilter problemer"
Previous message: Claus Krogsgaard: "SV: ipfilter problemer"
In reply to: Claus Guttesen: "Re: ipfilter problemer"
Next in thread: Thomas Maack Nielsen: "Re: ipfilter problemer"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Fri, 13 Apr 2007 14:41:41 +0200
From: Henrik Woffinden <none@henrik.woffinden--boccia.org.lh.bsd-dk.dk>
To:  bsd-dk@bsd-dk.dk
Subject: Re: ipfilter problemer

Claus Guttesen wrote:
>> >> Jeg har en firewall hos en kunde, som er en FreeBSD 6.2-STABLE.
>> >>
>> >> Den bliver ved med at "stoppe" med at lade trafik komme ind/ud efter
>> >> nogle dages ok drift.
>> >> Når den "stopper" ser loggen således ud:
>> >> ------- cut ----------
>> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.437901 xl0 @0:153 b
>> >> 158.222.94.229,46712 -> 10.0.0.52,2999 PR tcp len 20 40 -AR IN NAT
>> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.508066 xl0 @0:153 b
>> >> 24.218.96.10,443 -> 10.0.0.52,2996 PR tcp len 20 64 -AS IN NAT
>> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.661514 xl0 @0:153 b
>> >> 24.218.96.10,443 -> 10.0.0.52,2996 PR tcp len 20 52 -A IN NAT
>> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.666647 xl0 @0:153 b
>> >> 75.67.83.9,54266 -> 10.0.0.52,3000 PR tcp len 20 64 -AS IN NAT
>> >> Apr 4 17:15:04 dk-server ipmon[380]: 17:15:04.877866 xl0 @0:153 b
>> >> 82.165.134.179,80 -> 10.0.0.52,2997 PR tcp len 20 44 -AS IN NAT
>> >> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.535455 xl0 @0:153 b
>> >> 71.226.83.208,45632 -> 10.0.0.52,2998 PR tcp len 20 64 -AS IN NAT
>> >> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.614232 xl0 @0:153 b
>> >> 71.226.83.208,45632 -> 10.0.0.52,2998 PR tcp len 20 52 -A IN NAT
>> >> Apr 4 17:15:05 dk-server ipmon[380]: 17:15:05.777022 xl0 @0:153 b
>> >> 72.19.110.220,28828 -> 10.0.0.52,3001 PR tcp len 20 64 -AS IN NAT
>> >> Apr 4 17:15:06 dk-server ipmon[380]: 17:15:06.210838 xl0 @0:153 b
>> >> 65.189.183.69,23263 -> 10.0.0.52,3005 PR tcp len 20 64 -AS IN NAT
>> >> ------- cut ----------
>> >>
>> >> LAN = 10.0.0.0/24
>> >> Alt er tilladt udadgående.
>> >>
>> >> Hvis jeg så kører
>> >> /etc/rc.d/ipfilter restart
>> >> /etc/rc.d/ipnat restart
>> >> og mit script der sætter reglerne op, så er alt perfekt i endnu en
>> >> variabel tidsramme. Det kan være fra 4-5 timer til 5-6 dage.
>> >>
>> >> I en fejlsituation blokerer den også trafik der ifølge regelsættet er
>> >> tilladt, også selvom det ikke skal NAT'es.
>> >>
>> >> Jeg er lidt tør for ideer, da jeg har lavet mindst 10 firewalls over
>> >> samme "opskrift", og det er den eneste jeg har problemer med.
>> >> Jeg har allerede prøvet at opgradere både kerne og userland, men uden
>> >> det hjalp.
>> >
>> > Har de andre firewall's samme netkort, bundkort, FreeBSD-version?
>> > Kommer den igang af sig selv, eller må "nogen" manuelt sætte den
>> > igang?
>> >
>> > Det kan være en fordel at køre release fremfor stable.
>> >
>> Jeg har prøvet 3 forskellige netkort i denne server.
>> Det er en DELL, og jeg har 4 andre DELL servere (ikke præcis samme type)
>> men ingen af dem har problemet.
>>
>> Men hvordan kan jeg sikre mig at cvsup vælger en -RELEASE istedet for
>> -STABLE?
>
> Du sætter dette i sup-filen:
>
> *default release=cvs tag=RELENG_6_2
>
> Hvis du har prøvet med forskellige netkort, så er det næppe det som er
> årsagen. Kan det være en NAT-relateret parameter som er under- eller
> over-justeret eller en timer som ikke slår ind tids nok, som så
> bevirker at der bliver for få eller for mange indgange i NAT-tabellen?
>
> Nu er det "100 år siden" jeg rørte ved ipfilter, så der strækker jeg
> desværre ikke til.
>
> Hvordan satte du denne firewall op? Kopiérede du en standard-fil over
> fra en kørende firewall, eller tastede du det ind igen?
>
> Hilsen
> Claus
Hej,

Nu har jeg opgraderet den til: FreeBSD 6.2-RELEASE-p3. Så kørte den i 2
dage, 17:38 timer før den gjorde det igen.....
Jeg har ikke ændret nogen kernel værdier fra default settings.

IPFilter on IPNat scripts bliver genereret af FWBuilder, ligesom på mine
øvrige firewalls, så jeg ved ikke helt hvad jeg snart skal stille op.
Serveren er ALDRIG hårdt belastet.
Fejlen opstår tilsyneladende kun når der er klienter der skal NAT'es ud.
Ikke når den står i en hel Påske hvor ingen er på arbejde og der kun
behandles mail (SMTP + IMAP) udefra.

Kan disse oplysninger evt. give en af jer derude i BSD land nogle ideer
til løsninger?

På forhånd tak,

Henrik Woffinden

Next message: Flemming Laugaard: "Re: ipfilter problemer"
Previous message: Claus Krogsgaard: "SV: ipfilter problemer"
In reply to: Claus Guttesen: "Re: ipfilter problemer"
Next in thread: Thomas Maack Nielsen: "Re: ipfilter problemer"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Mon 30 Apr 2007 - 23:00:02 CEST