Бинат — проблема маршрутизации(?)

[FrEEz10]

Суть вопроса такова:
Получил внешний IP и сразу обнаружилось, что он не реагирует на воздействие из вне То есть не пингуется моя машина по этому адресу и т.д. После долгих переговоров с сапартом, убеждавшим меня сменить ориентацию и перейти на виндовс, удалось выяснить, что выдачу внешних IP, они реализуют через бинат (Bidirectional Mapping или 1:1 mapping ). Я сделал вывод, что претензии сапарта к моей машине, не безосновательны, так как бинат штука жесткая... Попробовал загрузиться с виндовс livecd и выяснил, что действительно в этом случае, машина пингуется. Так же выяснил, что не видит мою машину, по внешнему IP только локальная сеть(те. все пользователи этого ISP). Для всех остальных, виден прекрасно. Учитывая что локалка очень большая, ситуация получается крайне неприятная. Повесь я на этот адрес домен, и это домен станет автоматом недоступен тысячам юзеров.
У кого нибудь есть мысли, где искать "концы"?
Ось Ubuntu 8.04.

[Маслов Д. А.]

Суть вопроса такова:
Получил внешний IP и сразу обнаружилось, что он не реагирует на воздействие из вне То есть не пингуется моя машина по этому адресу и т.д. После долгих переговоров с сапартом, убеждавшим меня сменить ориентацию и перейти на виндовс, удалось выяснить, что выдачу внешних IP, они реализуют через бинат (Bidirectional Mapping или 1:1 mapping ). Я сделал вывод, что претензии сапарта к моей машине, не безосновательны, так как бинат штука жесткая... Попробовал загрузиться с виндовс livecd и выяснил, что действительно в этом случае, машина пингуется. Так же выяснил, что не видит мою машину, по внешнему IP только локальная сеть(те. все пользователи этого ISP). Для всех остальных, виден прекрасно. Учитывая что локалка очень большая, ситуация получается крайне неприятная. Повесь я на этот адрес домен, и это домен станет автоматом недоступен тысячам юзеров.
У кого нибудь есть мысли, где искать "концы"?
Ось Ubuntu 8.04.

Проверить правила iptables, не производится ли блокировка icmp пакетов?

[FrEEz10]

...

Проверить правила iptables, не производится ли блокировка icmp пакетов?

В iptables пусто все и все в ACCEPT. Речь не только об icmp. Там еще и веб сервер и ssh... рубится все вообще насмерть.

[Indarien]

Скажите, а вы можете пинговать тот же хост с которого вы не пингуетесь?

Добавлено.
Я тут вспомнил один случай из своей практики.

Так же выяснил, что не видит мою машину, по внешнему IP только локальная сеть(те. все пользователи этого ISP). Для всех остальных, виден прекрасно. Учитывая что локалка очень большая, ситуация получается крайне неприятная.

Был в одном из наших офисов МТУ (тогда еще был просто МТУ).
Так вот, наш сайт тоже не видели наши клиенты, оказалось, что они тоже сидят на МТУ в той же подсети, после рзаговора с суппортом выяснилось что провайдер намеренно блокирует доступ между своими клиентами внутри одной сети. Почему - уже не помню.

[FrEEz10]

Скажите, а вы можете пинговать тот же хост с которого вы не пингуетесь?

Добавлено.
Я тут вспомнил один случай из своей практики.

Так же выяснил, что не видит мою машину, по внешнему IP только локальная сеть(те. все пользователи этого ISP). Для всех остальных, виден прекрасно. Учитывая что локалка очень большая, ситуация получается крайне неприятная.

Был в одном из наших офисов МТУ (тогда еще был просто МТУ).
Так вот, наш сайт тоже не видели наши клиенты, оказалось, что они тоже сидят на МТУ в той же подсети, после рзаговора с суппортом выяснилось что провайдер намеренно блокирует доступ между своими клиентами внутри одной сети. Почему - уже не помню.

Я могу пинговать свой хост, по любому локальному адресу. А вот реальный IP который жестко мапится на один из моих локальны, не пингуется из локалки. Провайдер не режет внутресетевые конекты, а даже наоборот, всячески поддерживает хорошую связь между всеми машинами всех локальных сегментов. Так что трабла совсем не в этом.

[Indarien]

Ну что ж...как всегда, ifconfig с сервака в студию =)

[FrEEz10]

Ну что ж...как всегда, ifconfig с сервака в студию =)

Ну в студию так в студию... Только даст ли он чего...?

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 00:1d:60:1d:bb:96
          inet addr:192.168.17.1  Bcast:192.168.17.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:60ff:fe1d:bb96/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:537 errors:0 dropped:0 overruns:0 frame:0
          TX packets:492 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:125961 (123.0 KB)  TX bytes:395974 (386.6 KB)
          Прервано:220 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:0e:2e:56:4c:d8
          inet addr:10.44.52.38  Bcast:10.44.52.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe56:4cd8/64 Диапазон:Ссылка
          ВВЕРХ BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:318582 errors:0 dropped:0 overruns:0 frame:0
          TX packets:173279 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:1000
          RX bytes:326112336 (311.0 MB)  TX bytes:17442586 (16.6 MB)
          Прервано:10 Base address:0xd800

lo        Link encap:Локальная петля (Loopback)
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Диапазон:Узел
          ВВЕРХ LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:212055 errors:0 dropped:0 overruns:0 frame:0
          TX packets:212055 errors:0 dropped:0 overruns:0 carrier:0
          коллизии:0 txqueuelen:0
          RX bytes:192987138 (184.0 MB)  TX bytes:192987138 (184.0 MB)

[KiWi]

1. По внутреннему IP машина доступна?
2. Когда клиент локальный сети пытается зайти на внешний IP у провайдера делается NAT?

В принципе и то, и другое можно проверить через tcpdump.

[Dee]

Вобщем что то я не понял что за странности творятся у вашего провайдера , но бьюсь об заклад косячина где то у вас в системе , а точнее в маршрутизации.
Когда на компе юзаются два или более адреса тут уже не просто так всё будет работать.
Первое нужно проверить netstat -nr на предмет существующих маршрутов . Раз локалка доступна и под одним и под другим адресом , то вот как вариант
нужно будет отказаться от адреса 192.168.17.1 как дефаультного , если вся локалка работает через 10.44.52.38 .
или же как вариант
route add -net 192.168.0.0/16 gw 192.168.17.Х
route add default gw 10.44.52.1

и кстати говоря ифейс eth0 у вас что шлюзовой что ли ? (машина является рабочим компом или сервером ?)

(а лучше сюда выложить netstat -nr и поподробнее расписать что хочется что бы было) как пить дать проблема в маршрутизации.

[FrEEz10]

...

(а лучше сюда выложить netstat -nr и поподробнее расписать что хочется что бы было) как пить дать проблема в маршрутизации.

Ну в общем то тема так и называется...

Думаю надо более подробно объяснять:
Итак eth1 -> 10.44.52.38 это интерфейс в локальную сеть провайдера.
eth0 -> 192.168.17.1 эта карочка светит в мою домашнюю сеть.
Через комп, с eht0 на eth1 у меня настроен NAT через который раздаю инет компам в дом. сети.
Сразу говорю, интерфейсом eht0 можно пренебречь, так как я пробовал удалить его физически(то есть убрать карточку вообще) и из из всех конфигов, в том числе все правила iptables скидывал в ноль (там одно правило - нат для дом. сети, а все политики по умолчанию стоят в ACCEPT ) и все равно все то же самое.

Теперь:
1. забудем о eht0
2. локальная сеть провайдера 10.x.x.x
3. default gw не 10.44.52.1 а 10.44.52.5
4. все что не попадает в сеть 10.255.255.255 маршрутизируется провайдером на NAT сервер (ну понятное дело)
5. в моем случае NAT сервер, имеет жесткую привязку портов с моего внешнего IP на мой внутренний IP. Это делается с помощью параметра binat в pf(вся сеть провайдера на фряхе крутится) Примерно! так:

Код: Выделить всё

ip_int="10.44.52.38"
ip_ext="внешинй IP"
binat on $ext_if from $ip_int to any -> $ip_ext

6. при обращении любого пользователя локалки провайдера (любого из сети 10.255.255.255) на мой внутренний IP(10.44.52.38) все нормально.
7. при попытке обращения любого пользователя локалки провайдера( в том числе и меня) к моему внешнему IP, все соединения отклоняются.
8. если у меня на машине запущен не линух, а винда, то при обращении любого пользователя локалки провайдера к моему внешнему IP, все соединения принимаются.
9. при обращении к моему внешнему IP со стороны других пользователей интернет(не нашего провайдера) соединения принимаются как и положено, при любой ОС.

Вот нетстат

Код: Выделить всё

netstat -nr
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.17.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
10.44.52.0      0.0.0.0         255.255.255.0   U         0 0          0 eth1
0.0.0.0         10.44.52.5      0.0.0.0         UG        0 0          0 eth1

[KiWi]

6. при обращении любого пользователя локалки провайдера (любого из сети 10.255.255.255) на мой внутренний IP(10.44.52.38) все нормально.
7. при попытке обращения любого пользователя локалки провайдера( в том числе и меня) к моему внешнему IP, все соединения отклоняются.

Настраивайте маршрутизацию у себя. iproute2 в помощь.

[Dee]

я не увидел какие ip адреса висят в локалке
по идее узнать адресацию локалки нужно будет просто проосисать пример
$local_lan=192.168.0.0/16

route add -net 192.168.0.0/16 gw ваш основной шлюз
(причём у вас если раздача инета через впн , будет два шлюза , если пппое то один) если просто напрямую ваится , то тоже один и всё заворачивать конкретно через этот основной шлюз (главное узнать свои шлюзы и попробовать разные схемы).

[FrEEz10]

...
Настраивайте маршрутизацию у себя. iproute2 в помощь.

Маршрутизацию чего и куда? с 10.44.52.38 yf 10.44.52.38? Фактически речь идет о машине с одной картой и одним аресом локальной сети провайдера...

[FrEEz10]

я не увидел какие ip адреса висят в локалке
по идее узнать адресацию локалки нужно будет просто проосисать пример
$local_lan=192.168.0.0/16

route add -net 192.168.0.0/16 gw ваш основной шлюз
(причём у вас если раздача инета через впн , будет два шлюза , если пппое то один) если просто напрямую ваится , то тоже один и всё заворачивать конкретно через этот основной шлюз (главное узнать свои шлюзы и попробовать разные схемы).

Разные схемы чего? Никакого впн нет. Обычная маршрутизация, только локальная, такая же как во всем интернете, только адреса из частных. Весь трафик для интернет адревсов(реальных) гонится на NAT сервер. Вопрос в том,
как найти (или где искать) пирчину, по которой линух отклоняет пакеты пришедшие из локалки через внешний адрес, а винда их нормально принимает? Может снифером посмтореть? Тогда что именно искать в этой горе пакетов?