ничего не понятно, Leksey.
» Общие вопросы по FreeBSD
Еще пара вопросов.
1. В cache.log сквида постоянно падают сообщения вида:
Цитата:
Что они означают и как от них избавиться? Пользователи нормально могут ходить в интернет через этот шлюз.
2. Где посмотреть лог сообщений, которые выдаются при загрузке системы, а так же лог тех сообщений, которые выводятся на экран консоли? Никак чего-то не могу их найти.
3. На папку с логами сквида выставлены права: drwxr-x---, на сами логи права: -rw-r--r--. Не под рутом я не могу ни зайти в папку с логмаи, ни открыть логи на чтение. Это нормально или у меня что-то не корректно настроено?
1. В cache.log сквида постоянно падают сообщения вида:
Цитата:
parseHttpRequest: NAT open failed: (2) No such file or directory
Что они означают и как от них избавиться? Пользователи нормально могут ходить в интернет через этот шлюз.
2. Где посмотреть лог сообщений, которые выдаются при загрузке системы, а так же лог тех сообщений, которые выводятся на экран консоли? Никак чего-то не могу их найти.
3. На папку с логами сквида выставлены права: drwxr-x---, на сами логи права: -rw-r--r--. Не под рутом я не могу ни зайти в папку с логмаи, ни открыть логи на чтение. Это нормально или у меня что-то не корректно настроено?
Цитата:
2. Где посмотреть лог сообщений, которые выдаются при загрузке системы, а так же лог тех сообщений, которые выводятся на экран консоли? Никак чего-то не могу их найти.
dmesg.
http://www.freebsd.org/cgi/man.cgi?query=dmesg&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&format=html
man rc.conf про dmesg.
Цитата:
3. На папку с логами сквида выставлены права: drwxr-x---, на сами логи права: -rw-r--r--. Не под рутом я не могу ни зайти в папку с логмаи, ни открыть логи на чтение. Это нормально или у меня что-то не корректно настроено?
если ничего не меняли, то и проблемы нет. коректно установленный из портов софт, знает какие права и куда нужны.
думаю, что нормально. зачем кому попало смотреть логи прокси?
Спасибо, а теперь вот такой вопрос. В консоль постоянно падают сообщения:
Цитата:
89.555.555.1 - адрес железки, которую поставил провайдер, через которую мы ходим в интернет,
em1 - сетевая карта, которая поключена к вышеуказанной железке (её адрес 89.555.555.4)
em0 - сетевая карта, смотрящая в локальную сеть.
Что означает это сообщение? Что я мог настроить неправильно?
Цитата:
arp: 89.555.555.1 is on em1 but got reply from 00:17:59:af:8f:d4 on em0
89.555.555.1 - адрес железки, которую поставил провайдер, через которую мы ходим в интернет,
em1 - сетевая карта, которая поключена к вышеуказанной железке (её адрес 89.555.555.4)
em0 - сетевая карта, смотрящая в локальную сеть.
Что означает это сообщение? Что я мог настроить неправильно?
griin, какие адреса? настроен ли nat? dhcp? нет ли левого dhcp сервера в сети?
вопросы аналогичные уже много раз в инете обсуждались.
вопросы аналогичные уже много раз в инете обсуждались.
Цитата:
вопросы аналогичные уже много раз в инете обсуждались.
Искал, не нашел...
Цитата:
какие адреса? настроен ли nat? dhcp? нет ли левого dhcp сервера в сети?
В смысле "какие адреса"? В сервере две сетевухи: одна с белым ипом, вторая с серым. На сервере в качестве шлза прописан ип устройства, которое установил провайдер. В логе фигурирует белый адрес это устройства (а не моего сервера). НАТ поднят, dhcp в сети есть, адреса на ФриБСД машине прописаны вручную...
Цитата:
ничего не понятно, Leksey.
Температуру хочу там наблюдать.
Нету у меня hw.acpi.thermal, а как активировать не понял. И возможно ли это вобще.
Цитата:
Температуру хочу там наблюдать.
Нету у меня hw.acpi.thermal, а как активировать не понял. И возможно ли это вобще.
дело не в активации. если acpi в ядре или как модуль загружен, и все равно нет этой опции, то значит значение не считывается.
что в этом случае посоветовать - не знаю. наверное ничего.
Добавлено:
Цитата:
Цитата:
вопросы аналогичные уже много раз в инете обсуждались.
Искал, не нашел...
Цитата:
какие адреса? настроен ли nat? dhcp? нет ли левого dhcp сервера в сети?
В смысле "какие адреса"? В сервере две сетевухи: одна с белым ипом, вторая с серым. На сервере в качестве шлза прописан ип устройства, которое установил провайдер. В логе фигурирует белый адрес это устройства (а не моего сервера). НАТ поднят, dhcp в сети есть, адреса на ФриБСД машине прописаны вручную...
долго писать-объяснять. думаю, что сами должны понять:
man 4 arp.
Цитата:
arp: %d.%d.%d.%d is on if0 but got reply from %x:%x:%x:%x:%x:%x on if1:
Physical connections exist to the same logical IP network on both if0 and
if1. It can also occur if an entry already exists in the ARP cache for
the IP address above, and the cable has been disconnected from if0, then
reconnected to if1. This message can only be issued if the sysctl
net.link.ether.inet.log_arp_wrong_iface is set to 1, which is the sys-
tem's default behaviour.
Здравствуйте.
Подскажите пожалуйста, как выключить divert.
Цитата:
При обновлении ядра строки в конфиге ядра, где бы упоминался IPDIVERT, не было.
Цитата:
NATD выключен.
Как можно сделать divert disable?
Подскажите пожалуйста, как выключить divert.
Цитата:
kernel: ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding disabled, default to deny, logging limited to 1000 packets/entry by default
При обновлении ядра строки в конфиге ядра, где бы упоминался IPDIVERT, не было.
Цитата:
options IPDIVERT
NATD выключен.
Как можно сделать divert disable?
CaspeR
попробуйте не вкомпиливать IPFW в ядро, а просто загрузить модуль
firewall_enable="YES" в rc.conf
а зачем вам это?
попробуйте не вкомпиливать IPFW в ядро, а просто загрузить модуль
firewall_enable="YES" в rc.conf
а зачем вам это?
Просто в логах апача практически каждые 1-2 минуты можно увидеть следующее:
Цитата:
где ххх.ххх.ххх.ххх и есть имя самого сервера с апачем.
Пока не могу найти разумного объяснения этому.
Цитата:
ххх.ххх.ххх.ххх - - [14/Jun/2007:11:54:25 +0300] "GET /inc/sessions.php HTTP/1.0" 200 0 "-" "-"
......... (5 files)
ххх.ххх.ххх.ххх - - [14/Jun/2007:11:54:25 +0300] "GET /inc/cookie.php HTTP/1.0" 200 0 "-" "-"
66.249.65.103 - - [14/Jun/2007:11:54:26 +0300] "GET /mobile/index.php?section=content&cat=6&content_type=2&item=7223&level=1&free=0&... HTTP/1.1" 200 18827 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
где ххх.ххх.ххх.ххх и есть имя самого сервера с апачем.
Пока не могу найти разумного объяснения этому.
CaspeR
гуглевски поисковик индексирует ваш сайт
гуглевски поисковик индексирует ваш сайт
ZaqwrKos
Но тогда причем другие 7 файлов, к которым запрос идет от самого сервера.
Но тогда причем другие 7 файлов, к которым запрос идет от самого сервера.
Цитата:
долго писать-объяснять. думаю, что сами должны понять:
man 4 arp.
Цитата:arp: %d.%d.%d.%d is on if0 but got reply from %x:%x:%x:%x:%x:%x on if1:
Physical connections exist to the same logical IP network on both if0 and
if1. It can also occur if an entry already exists in the ARP cache for
the IP address above, and the cable has been disconnected from if0, then
reconnected to if1. This message can only be issued if the sysctl
net.link.ether.inet.log_arp_wrong_iface is set to 1, which is the sys-
tem's default behaviour.
Если честно, не все ясно. Как отключить вывод сообщений понятно, но это не выход.
Вот эту фразу:
Цитата:
It can also occur if an entry already exists in the ARP cache for
the IP address above, and the cable has been disconnected from if0, then
reconnected to if1.
Я понял так: в кэше АРП есть запись о том что ип 1.1.1.1 привязан к устройству ем1, ип 2.2.2.2 привязан к устройству ем2, а потом сетевые кабели от этих двух устройств поменяли местами. Правильно? Но я кабели местами не менял... Как почистить кэш АРП? Чего-то не нашел этого в мане...
Вот эту фразу:
Цитата:
Physical connections exist to the same logical IP network on both if0 and
if1.
не понял вообще. "Физичское соединение существует к одинаковым ипам и на иф0, и на иф1"? Это как?
И еще. Могут ли эти проблемы быть связаны с тем, что у меня не работает порт маппинг? Уже второй день мучаюсь перерыл кучу манов, вроде делаю все верно, а переадресации портов нет...
Вот мой rc.conf:
Цитата:
hostname=bsdserver.
network_interfaces="auto"
defaultrouter=89.xxx.xxx.1
sendmail_enable="NONE"
moused_enable="YES"
moused_type="auto"
samba_enable="YES"
winbindd_enable="YES"
lpd_enable="YES"
gateway_enable="YES"
firewall_enable="YES"
firewall_script="/usr/local/billing/rc.firewall"
firewall_type="ROMA"
natd_enable="YES"
natd_interface="em1"
natd_flags="-m -u -f /etc/natd.conf"
ifconfig_lo0="inet 127.0.0.1 netmask 0xff000000"
ifconfig_em0="inet 192.168.0.134 netmask 0xffffff00"
ifconfig_em3="inet 192.168.0.136 netmask 0xffffff00"
ifconfig_em1="inet 89.xxx.xxx.4 netmask 255.255.255.240"
ifconfig_em2="inet 192.168.0.133 netmask 0xffffff00"
squid_enable="YES"
compat5x_enable="YES"
compat4x_enable="YES"
[more=Этой мой ipfw show]
00100 0 0 check-state
00200 3314 1275798 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny ip from any to 10.0.0.0/8 in via em1
00600 0 0 deny ip from any to 172.16.0.0/12 in via em1
00700 3267 355229 deny ip from any to 192.168.0.0/16 in via em1
00800 0 0 deny ip from any to 0.0.0.0/8 in via em1
00900 0 0 deny ip from any to 169.254.0.0/16 in via em1
01000 161 56655 deny ip from any to 240.0.0.0/4 in via em1
01100 0 0 deny icmp from any to any frag
01200 0 0 deny log logamount 50 icmp from any to 255.255.255.255 in via em1
01300 0 0 deny log logamount 50 icmp from any to 255.255.255.255 out via em1
01400 0 0 fwd 192.168.0.134,2121 tcp from 192.168.0.0/24 to any dst-port 21 via em1
01500 2557 693904 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80,8080 via em1
01600 852 50817 divert 8668 ip from 192.168.0.0/24 to any out via em1
01700 6994 2291841 divert 8668 ip from any to 89.179.147.4 in via em1
01800 0 0 deny ip from 10.0.0.0/8 to any out via em1
01900 0 0 deny ip from 172.16.0.0/12 to any out via em1
02000 0 0 deny ip from 192.168.0.0/16 to any out via em1
02100 0 0 deny ip from 0.0.0.0/8 to any out via em1
02200 0 0 deny ip from 169.254.0.0/16 to any out via em1
02300 0 0 deny ip from 224.0.0.0/4 to any out via em1
02400 0 0 deny ip from 240.0.0.0/4 to any out via em1
02500 17774 5222368 allow tcp from any to any established
02600 1475 92129 allow ip from 89.xxx.xxx.4 to any out xmit em1
02700 619 63589 allow udp from any 53 to any via em1
02800 0 0 allow udp from any to any dst-port 53 via em1
02900 0 0 allow udp from any to any dst-port 123 via em1
03000 0 0 allow tcp from any to 89.xxx.xxx.4 dst-port 21 via em1
03100 81 5800 allow icmp from any to any icmptypes 0,8,11
03200 0 0 allow tcp from any to 89.xxx.xxx.4 dst-port 80 via em1
03300 0 0 allow tcp from any to 89.xxx.xxx.4 dst-port 1515 via em1
03400 0 0 allow tcp from any to 89.xxx.xxx.4 dst-port 22 via em1
03500 0 0 allow tcp from any to 89.xxx.xxx.4 dst-port 143 via em1
03600 0 0 allow tcp from any to 89.xxx.xxx.4 dst-port 110 via em1
03700 3703 432051 allow ip from any to any via em0
03800 352 26572 deny ip from any to any
65535 3 192 deny ip from any to any
[/more]
natd.conf:
Цитата:
redirect_port tcp 192.168.0.22:80 80
Пытаюсь из внешней сети зайти браузером на 89.xxx.xxx.4. И получаю сообщение "Невозможно отобразить страницу"... В инструкции написано, что
Цитата:
Внешние IP-адреса машины с natd должны быть активизированы и являться синонимами для внешнего интерфейса. Обратитесь к rc.conf(5), чтобы это сделать.но я тоже никак не могу понять, что это означает...
griin
Цитата:
а у тебя проводки в один комутатор не включены случаем ?
Цитата:
гы
Цитата:
Physical connections exist to the same logical IP network on both if0 and if1.
а у тебя проводки в один комутатор не включены случаем ?
Цитата:
firewall_type="ROMA"
гы
Цитата:
а у тебя проводки в один комутатор не включены случаем ?
Да, включены в один комутатор, а это может быть причиной ошибок? Просто иначе подключить никак не получится... Вообще сейчас меня в первую очередь интересует, почему у меня не работает порт маппинг, если "arp: %d.%d.%d.%d is on if0 but got reply from %x:%x:%x:%x:%x:%x on if1" на это не влияет, то может действительно проще просто выключить вывод этих сообщений на экран?
Цитата:
firewall_type="ROMA"
гы
Ну да, это я просто тестировал разные настройки фаера, в rc.firewall у меня прописано что-то вроде:
Цитата:
case ${firewall_type} in
[Rr][Oo][Mm][Aa])
# Набор правил номер раз
esac
case ${firewall_type} in
[Rr][Oo][Mm][Aa][2])
# Набор правил номер два
esac
Цитата:
Пытаюсь из внешней сети зайти браузером на 89.xxx.xxx.4.
посмотри tcpdump'ом входящий и изходящий интервейсы, что там летает по указанным портам...
правило fwd разве не мешает ?
Цитата:
Да, включены в один комутатор, а это может быть причиной ошибок?
а чо фря, просто так матекаетцо чтоль? эт не есть нормально имхо.
Цитата:
может действительно проще просто выключить вывод этих сообщений на экран?
называется вместо того чтобы вылечить - задушить...
Цитата:
Просто иначе подключить никак не получится
обрисуй ситуёвину...
просто это не правильно две сетевых включать в одну и туже физическую сеть.
если девайс который тебе надо втыкнуть в приходящую сетевую стоит где то далеко -
есть такая штука как VLAN. Но нужны доп затраты на поддерживающее его оборудование.
елки-палки. вы тут все еще обсуждаете эту мелочь с arp??!!
я практически прибываю в шоковом состоянии...
поймите! ваши свитч работает на низком уровне. он вообще знает только о MAC'а адресах. получает ваш свитч бродкаст и сразу шлет его на все свои порты.
а в это время (так и тянет добавить "в далекой-далекой" галактике") ваш компьютер имеет свой arp cache, нужный для того, чтобы знать связку MAC<->IP.
пришел бродкаст от свитча - его естесственно получают обе ваших сетевухи, так как они в одном свитче.
вот arp и ругается на то, что он получил пакет на интерфейс if1 от MAC'а, который, который на if0.
соответственно, отсюда и запись в логах.
посему, подумайте (прежде чем "устранить" проблему) есть ли у вас проблема вообще???!!!! - или это просто специфика топологии, и тогда вся проблема только в том, что в логи "сыпется" мусор, который можно отключить.
в абсолютном большинстве случаев - это не проблема.
кстати, я так и не понимаю, что непонятного в man 4 arp.
я практически прибываю в шоковом состоянии...
поймите! ваши свитч работает на низком уровне. он вообще знает только о MAC'а адресах. получает ваш свитч бродкаст и сразу шлет его на все свои порты.
а в это время (так и тянет добавить "в далекой-далекой" галактике") ваш компьютер имеет свой arp cache, нужный для того, чтобы знать связку MAC<->IP.
пришел бродкаст от свитча - его естесственно получают обе ваших сетевухи, так как они в одном свитче.
вот arp и ругается на то, что он получил пакет на интерфейс if1 от MAC'а, который, который на if0.
соответственно, отсюда и запись в логах.
посему, подумайте (прежде чем "устранить" проблему) есть ли у вас проблема вообще???!!!! - или это просто специфика топологии, и тогда вся проблема только в том, что в логи "сыпется" мусор, который можно отключить.
в абсолютном большинстве случаев - это не проблема.
кстати, я так и не понимаю, что непонятного в man 4 arp.
KVCH
Цитата:
Раньше топология сетки была такой: интернет - железяка провайдера - мой гейт - свитч - ЛАН. Сейчас появилась необходимость поставить оборудование для видеоконференций, которое гоняет от 1 до 6 Гб трафика в час и очень не любит работать через НАТ, то есть ему нужен белый ИП, для этого переделал сетку так: интернет - железяка провайдера - свитч - мой гейт и ЛАН.
Цитата:
Вот в этой теме я как раз поднимал вопрос про ВЛАН, честно говоря, так и не сумел его настроить на своем свитче...
keyhell
Спасибо за объяснение.
Цитата:
Примерно так я этот ман и понял, просто не был до конца уверен в правильности своего перевода.
Цитата:
обрисуй ситуёвину...
просто это не правильно две сетевых включать в одну и туже физическую сеть.
Раньше топология сетки была такой: интернет - железяка провайдера - мой гейт - свитч - ЛАН. Сейчас появилась необходимость поставить оборудование для видеоконференций, которое гоняет от 1 до 6 Гб трафика в час и очень не любит работать через НАТ, то есть ему нужен белый ИП, для этого переделал сетку так: интернет - железяка провайдера - свитч - мой гейт и ЛАН.
Цитата:
если девайс который тебе надо втыкнуть в приходящую сетевую стоит где то далеко -
есть такая штука как VLAN. Но нужны доп затраты на поддерживающее его оборудование.
Вот в этой теме я как раз поднимал вопрос про ВЛАН, честно говоря, так и не сумел его настроить на своем свитче...
keyhell
Спасибо за объяснение.
Цитата:
кстати, я так и не понимаю, что непонятного в man 4 arp.
Примерно так я этот ман и понял, просто не был до конца уверен в правильности своего перевода.
griin
читайте документацию, в инете поищите, инфы везде полно, а такое не замысловатое дельце, как создать влан и запустить туда что-то нужное, пустяковое дельце...
п.с. молодец хоть ip затёр в ipfw )))
читайте документацию, в инете поищите, инфы везде полно, а такое не замысловатое дельце, как создать влан и запустить туда что-то нужное, пустяковое дельце...
п.с. молодец хоть ip затёр в ipfw )))
Помогите пожалуйста с правилами ipfw. Задача есть BSD машина с реальным IP 89.x.x.2, для локалки сетевуха 192.168.0.1. Другая машина 192.168.0.5 это почтовик, который должен принимать почту, и с внешнего мира должны забирать с него почту. Машина выполняет роль шлюза, не более. Киньте ссылочку пожалуйста на рабочий конфиг ipfw, и что туда надо будет добавить чтоб корренктно работала почта?
Добавлено:
rc.conf
ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.0.0"
ifconfig_em0="inet 89.x.x.2 netmask 255.255.255.252"
sendmail_enable="NONE"
defaultrouter="89.x.x.1"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
hostname="gate.domain.dp.ua"
keymap="ru.koi8-r"
keyrate="fast"
linux_enable="YES"
mousechar_start="3"
named_enable="YES"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
usbd_enable="YES"
firewall_enable="YES"
firewall_type="simple"
firewall_script="/etc/rc.firewall"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"
Добавлено:
rc.conf
ifconfig_fxp0="inet 192.168.0.1 netmask 255.255.0.0"
ifconfig_em0="inet 89.x.x.2 netmask 255.255.255.252"
sendmail_enable="NONE"
defaultrouter="89.x.x.1"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
hostname="gate.domain.dp.ua"
keymap="ru.koi8-r"
keyrate="fast"
linux_enable="YES"
mousechar_start="3"
named_enable="YES"
router="/sbin/routed"
router_enable="YES"
router_flags="-q"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
usbd_enable="YES"
firewall_enable="YES"
firewall_type="simple"
firewall_script="/etc/rc.firewall"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"
fly_house
А у тебя уже прокся работает?
Тебе, если не ошибаюсь, в скрипт /etc/rc.firewall нужно добавить строчку типа.
Код: ${fwcmd} add fwd 192.168.0.5,25 from any to any 25 in via ${oif}
А у тебя уже прокся работает?
Тебе, если не ошибаюсь, в скрипт /etc/rc.firewall нужно добавить строчку типа.
Код: ${fwcmd} add fwd 192.168.0.5,25 from any to any 25 in via ${oif}
fly_house
Если я правильно понял твою задачу, то это что-то типа
divert natd ip from any to any via em0
allow ip from any to any
а вместо natd_interface
natd_flags="-n em0 -redirect_port tcp 192.168.0.5:25 25 -redirect_port tcp 192.168.0.5:110 110"
Лучше глянуть в ман и убедиться, что это именно то, что ты хочешь
Строчки router_*... Думается мне, что они тебе не нужны. 8-)
ripev
Разберись с тем, как работает fwd.
Если я правильно понял твою задачу, то это что-то типа
divert natd ip from any to any via em0
allow ip from any to any
а вместо natd_interface
natd_flags="-n em0 -redirect_port tcp 192.168.0.5:25 25 -redirect_port tcp 192.168.0.5:110 110"
Лучше глянуть в ман и убедиться, что это именно то, что ты хочешь
Строчки router_*... Думается мне, что они тебе не нужны. 8-)
ripev
Разберись с тем, как работает fwd.
я вот не могу понять разницу. одни говорят надо использовать fwd, другие через natd, в чем их разница?
fly_house
NAT в принципе больше подходит для "выпуска в интернет" группы пользователей с "серыми" ip адресами, ну а fwd перенаправляет пакеты ip<=>ip
NAT в принципе больше подходит для "выпуска в интернет" группы пользователей с "серыми" ip адресами, ну а fwd перенаправляет пакеты ip<=>ip
fly_house
natd меняет содержимое пакета, fwd -- нет.
natd меняет содержимое пакета, fwd -- нет.
Есть ли нужда во включенном файрволе если sockstat -4 показывает, что открыт только SSH порт, что собственно меня устраивает?
Цитата:
Есть ли нужда во включенном файрволе если sockstat -4 показывает, что открыт только SSH порт, что собственно меня устраивает?
если машина смотрит в инет, то firewall нужен всегда.
не стоит по каким-то причинам привыкать к псевдобезопасности.
Цитата:
firewall нужен всегда
в принципе согласен. Но я вот чего подумал:
Почему в OpenBSD firewall по умолчанию выключен? Она ведь вся такая из себя неприступная... Хотя вопрос не для этого топика.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Посоветуйте TV Tuner для FreeBSD
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.