monowall nht,etwwf хелп по настройке рутера на базе фряхи

[Banzai]

тема такая - есть локалькая сеть(мой офис) есть удаленная сеть (главный офис) связаны через прова спутникового
настроить на стороне главного офиса ничего не возможно по причине его удаленности - админы его дали только свой айпишник и всё - задача была сделать минимальный абсолютно прозрачный рутер БЕЗ НАТа - тоесть спец ПО фирмы связывается из внешней (для меня внешней) сети и подключается по ТСП к клиентам в локальной (моей) сети ... большего не нада...
для реализации взял моноволл 1.22 - последний стабильный релиз для генерик писи хардовый дистриб прописал внешний и внутренний адреса и не клиентах прописал геравей - тоесть моноволл - в фаерволе ДАНЫ ВСЕ разрешения для любых портов и протоколов  - одинаково как для WAN так и для LAN  - и пинги нормально идут и со стороны внешней сети и во внешнюю к IP главного офиса...
однако при просмотре логов фаервола наблюдаю что запросы от сервера (из ван) к клиентам в лан идут и проходят а ОТВЕТЫ клиентов НЕТ!!!! - блочатся правилами???? - перепробовал все что можно ... явно определял маршруты ... и явно разрешал доступ к ВАН адресу для лана ... ничего не получается и не понятно почему...
где грабли???  

собственно почему блокируются именно ответы на запросы из ВАНа ???
хотя при инициации связи из лана трафик проходит нормально ...

[Banzai]

досадно что модер был не особо внимателен... хоть бы темы глянул ... в етой ветке тема глюканула... ее надо было грохнуть а не тувторую ... ну да ладно

короче я так и не врубился почему рутер блочит исходящие на запросы из WAN .... могет так и нада ёмаё

седня я проблемку решил путем настройки NAT 1:1 типа один на один ван-лан айпишник
заработало на ура!  8)

интересна у нас на форуме есть хоть один спец по сетям ? ... хоть бы ктонить опытом поделился

[Dr_Phoenix]

А ти NAT где строил на шлюзовой тачке или на самом модеме?
Если модем какой то крутой с админингом по ХТТП/RS232 то советую пересмотреть все настройки!

[Banzai]

модем спутниковый  - для меня он апсалютно прозрачен - никакой фильтрации в нем нету впринципе -настраевается самим провом - тоесть я в него влезть не могу
нат на моем рутере который стоит тама чтобы транслировать IP из интранета в локалку и на оборот
впринципе понятно что типичная задача рутеров с фаерволами - ето скрыть локалку от инета и пускать хосты в инет  - напротив  шобы из инета не влезли злые хацкеры  - посему и блочится входящий ван трафик - НО БЛИН МНЕ ТО НАДА БЫЛО ЧТОБЫ НЕ БЛОЧИЛСЯ!!!????  :oops:  :evil:

короче мозги чуть не вывихнул - и в инете инфы никакой нету на етот счет ... или не там и не то что нада искал...

[Dr_Phoenix]

1) Отключить временно файрволл и запустить какой неть сниффер траффика, посмотреть куда і как идут пакетики, с етого и сделаеш ввыводи ...тогда будем думать дальше.
2) подключи к модему тачку с голой виндой и отключеным брендмауером, попингуй, потрейсроутай ДНС сервак прова, шлюз, хосты в инете, поставь какой неть траффик сниффер и посмотри что делается с пакетиками.
3) загрузись с Frenzy-CD, настрой сетевуху которая идет к модему(т.есть прибей ей ИП, укажи шлюз, пропиши ДНС), после етого запусти скрипт /etc/netstart для того чтоб вступили все настройки в силу и все сет. демони рестартанули. После етого пробуй пинговать командой ping(чтоб проверить есть ли связь с какими неть хостами), сделать трассировку на какие неть наружные хосты командой traceroute (чтоб ывидеть где доходит пинг а где нет), запустить монитор трафа командой trafshow -i rl0  чтоб увидеть какие пакети идут от тебя а какие снаружи и т.п.( rl0 - имя сет. интерфейса на котором
будем смотреть траф)

Таким вот способом ты будеш знать где теряются пакеты и кто их не пускает/режет.  Пробуй.....

[Banzai]

 :D  :D
ну я ж говорю что парился месяца полтора всумме ...
и первый и второй вариант я пробовал  - все работает с каналом проблем нету уверен 100 пудово
именно френзи я не пробовал - есть спец дистриб - m0n0wall называеццо тама все через веб интерфейс
при полном ! отключении встроеного фаэра и с отрубленым встроеным НАТом - ПИНГУЕТСЯ ВСЁ ПРЕКРАСНО... проверить исходящее соединение с удаленной сетью небыло возможности  - но я пробовал съэмулировать ВАН одним из компов - всязь была в любом виде (- протоколе и порте)
однако попытки достучаться из ВАН хоста в ЛАН хост при анализе логов етого рутера  -чётко видно что проходят запросы из ВАН на лан интерфейс а обратные ответы тупо блочаться - причем видимо подефолту нулевого уровня - типа етот дефолт ни как изменить низзя ----------------- именно етот ФАКТ вызывает недоумение может кто нить чёнить слыщал про такие правила и вапще логику рутеров...
к сожалению видимо дело упирается в необходимость неких спец протоколов маршрутизации - RIP, OSPF, IGRP, BGP-4  :?  :?  :?