[BSD] Internet problema, masodik fordulo

Zsolt Sztankay stan at mail.datanet.hu
2004. Aug. 24., K, 10:04:08 CEST 

Sziasztok!

Korábban már kérdeztem, de lehet, hogy a nyári nihilbe dobtam be a
kérdést, viszont a probléma még mindig fennáll, megoldási ötletem
semmi.

Tehát adott egy 4.10-STABLE gép, ami az interneten lóg. A rendszer
felállása:

FBSD410(rl) -> 8AS SWITCH -> ADSLMODEM -> SPLITTER -> FALIDUGO

A switch-re vannak kötve a gépek (1-2). A konfig állományokból csak a
szerintem arra érdemeseket vágom be.

kernel config:
options         INET
options         IPFILTER
options         IPFILTER_LOG
options         IPFILTER_DEFAULT_BLOCK
options         IPSTEALTH
options         ICMP_BANDLIM
options         RANDOM_IP_ID
options         ACCEPT_FILTER_DATA
options         ACCEPT_FILTER_HTTP
options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_PPPOE

rc.conf:
ifconfig_rl0="inet 10.0.0.2 netmask 255.255.255.0"
ipfilter_enable="YES"
ipfilter_flags="-l block"
ipnat_enable="YES"
ipmon_enable="YES"
ipmon_flags="-D /var/log/ipmon"
gateway_enable="YES"

ipnat.rules:
map tun0 10.0.0.0/24 -> 0/32 proxy port ftp ftp/tcp
map tun0 10.0.0.0/24 -> 0/32 portmap tcp/udp 30000:60000
map tun0 10.0.0.0/24 -> 0/32

ipf.rules:
pass  in  quick on lo0  all
pass  out quick on lo0  all
pass  in  quick on rl0  all
pass  out quick on rl0  all
## input
block in  quick on tun0            from 127.0.0.0/8 to any
block in  quick on tun0            from 10.0.0.0/8 to any
block in  quick on tun0            from 172.16.0.0/12 to any
block in  quick on tun0            from 192.168.0.0/16 to any
block in  quick on tun0 proto tcp  all with short
block in  quick on tun0            all with ipopts
# default block strategy
block return-rst in log on tun0 proto tcp from any to any
block return-icmp-as-dest(port-unr) in log on tun0 proto udp from any to any
# eigrp
pass  in  quick on tun0 proto eigrp from any to 224.0.0.10 keep state keep frags
# a kovetkezobol van egy rakas, ahol megmondom ki johet be
pass  in  quick on tun0 proto x    from any to any port = x keep state keep frags
## output
pass  out quick on tun0 proto tcp  from any to any keep state keep frags
pass  out quick on tun0 proto udp  from any to any keep state keep frags
pass  out quick on tun0 proto icmp from any to any icmp-type echo keep state keep frags

Namost. Ez az összeállítás a július 7-i kernellel megy, viszont azóta,
új kernel betöltése esetén azt teszi a gép, hogy pl egy 'lynx
www.bme.hu' esetén telenyomja az iplog ezzel a saját logját:

22/08/2004 13:12:35.499723 tun0 @0:4 B x,39616 -> 192.112.36.4,53 PR udp len 20 56 K-S K-F OUT
22/08/2004 13:12:35.499853 tun0 @0:4 B x,62844 -> 128.8.10.90,53 PR udp len 20 56 K-S K-F OUT
22/08/2004 13:12:35.499948 tun0 @0:4 B x,53782 -> 198.41.0.4,53 PR udp len 20 56 K-S K-F OUT

A kérdés, ezt miért teszi, amikor korábbi kernellel hiba nélkül megy.
Az ipf.rules-ben szerintem a pass out engedi az udp csomagokat nemre
és korra való tekintet nélkül. Arról nem is beszélve, hogy ha nem írom
be a '-l block' sort az rc.conf-ba, akkor az életben nem tudom meg,
hogy bárki, bárhol leverte a csomagom... Ami a rendszerben talán
"érdekes", hogy nem két kártya van a gépben, hanem a switch továbbítja
a normál ethernet és a PPPoE csomagokat is. De mivel eddig ment, így
ezt alapból működőnek kell tekintenem.

A gép sajnos mocsadék lassú, így az túl macerás, hogy naponként
továbblépek a kernelfordítással és ha megvan az első "hibás" nap,
akkor a két nap közötti diff-et átnézem.

Van-e valami ötlet, mi lehet a probléma?

Üdv,
Zsolt

További információk a(z) BSD levelezőlistáról