Jump to content

Recommended Posts

Уважаемые форумчане, доброго времени суток.

Помогите, пожалуйста, разобраться со следующей проблемкой.

На интерфейсах координатора висят 2 сети (172.20.0.0/16 и 192.168.0.0/16). В сети 172.20.0.0 для компов шлюзом является маршрутизатор, смотрящий в Интернет. Координатор (172.20.36.99) находится также во внутренней сети и "ходит" в Интернет (для межсетевого взаимодействия) через маршрутизатор.

Для сети 192.168.0.0 шлюзом является интерфейс координатора 192.168.36.22.

Несколько месяцев назад настраивал firewall на координаторе в блоке [forward] для возможности сообщения некоторых компьютеров из разных сетей (например, 172.20.47.129 и 192.168.36.20). Правило приведено ниже:

rule= num 25 proto tcp from 172.20.47.129 to 192.168.36.20 pass

rule= num 26 proto tcp from 192.168.36.20 to 172.20.47.129 pass

Все прекрасно работало. Позавчера вдруг компьютеры из разных сетей перестали видеть друг друга (причем только в рамках данных двух правил, остальные правила взаимодействия компьютеров из разных подсетей работают полноценно - например, для обновления каспера или доступа к шаре).

Пакеты из сети 172.20.0.0 до координатора доходят, но на этом обрубаются с 31 событием.

Скрины ошибки привожу ниже.

Это с одного компа (правило разрешающее в форварде прописано)

f0f6ec822e17.jpg

Это с другого компа

d961b72e7131.jpg

И подробнее описание данной ошибки:

360eb70aa3df.jpg

С чем может быть связано это явление? Изменений ни на координатор, ни в сеть не вносил в последнее время не вносил. Пробовал восстановить конфигурацию координатора с резервной копии, когда все работало (месяц назад), не помогло.

Share this post


Link to post
Share on other sites

31

Транзитный IP-пакет блокирован фильтром открытой сети

Найдено запрещающее правило фильтрации открытой сети в группе транзитных правил

Попробуйте прописать правила в секции local

Share this post


Link to post
Share on other sites

31

Транзитный IP-пакет блокирован фильтром открытой сети

Найдено запрещающее правило фильтрации открытой сети в группе транзитных правил

Попробуйте прописать правила в секции local

Продублировал описанные выше 2 правила в секции [local]. Не помогло. По-прежнему в логах координатора пакеты обрубаются с 31 событием. Тем более в деталях записи о 31 событии пишется, что пакет обрабатывается как Forward.

Share this post


Link to post
Share on other sites

rule= num 25 proto tcp from 172.20.47.129 to 192.168.36.20 pass

rule= num 26 proto tcp from 192.168.36.20 to 172.20.47.129 pass

Не вижу разрешающего правила для UDP и ICMP пакетов это раз, а два это - ip компа не соответствует правилам.

Обратите внимание на правило 25 и первый скрин, соурс ip = 172.20.47.128, это раз, а два это протокол ICMP. Аналогично по правилу 26.В общем, если это все правила прописанные у вас в форварде связанные с этими сетками то вообще возникает вопрос как у вас все работало. Событие 31 говорит о том что пакет был смаршрутизирован после чего заблокирован. Если нужна будет помощь в настройке пишите a.korchagin@krasnodar.pro

Share this post


Link to post
Share on other sites

rule= num 25 proto tcp from 172.20.47.129 to 192.168.36.20 pass

rule= num 26 proto tcp from 192.168.36.20 to 172.20.47.129 pass

Не вижу разрешающего правила для UDP и ICMP пакетов это раз, а два это - ip компа не соответствует правилам.

Обратите внимание на правило 25 и первый скрин, соурс ip = 172.20.47.128, это раз, а два это протокол ICMP. Аналогично по правилу 26.В общем, если это все правила прописанные у вас в форварде связанные с этими сетками то вообще возникает вопрос как у вас все работало. Событие 31 говорит о том что пакет был смаршрутизирован после чего заблокирован. Если нужна будет помощь в настройке пишите a.korchagin@krasnodar.pro

Насчет правил:

1) Да, мой косяк, что скрин я неудачный выбрал. По умолчанию используется только нетбиос (tcp) и по tcp-протоколу же обновляется касперский. Пинговаться по умолчанию и не должно. На время экспериментов я открывал все протоколы (any). Более того, на время же экспериментов я пробовал поднимать выше всех правил в [forward] разрешающее правило по любому протоколу с любого ip на любой ip. Результат одинаковый.

2) В теме я не стал перечислять все ip-адреса, разумеется в разрешающих правилах прописаны и 128, и 129, и куча прочих айпишников. Поскольку скрин последний я делал для 129, его я и указал в разрешающем правиле.

Подводя итог, в первом сообщении я указал (за ненадобностью) не все ip-адреса в разрешающем правиле, и на момент передачи пакетов между компьютерами из разных сетей разрешающие правила для них были прописаны в разделе [forward].

Share this post


Link to post
Share on other sites

Значит смотрите маршрутизацию. не попадает ли сетка 172.X.X.X под правила NAT если таковые есть? Думаю картину прояснит информация о маршрутах

Share this post


Link to post
Share on other sites

Насчет правил:

1) Да, мой косяк, что скрин я неудачный выбрал. По умолчанию используется только нетбиос (tcp) и по tcp-протоколу же обновляется касперский. Пинговаться по умолчанию и не должно. На время экспериментов я открывал все протоколы (any). Более того, на время же экспериментов я пробовал поднимать выше всех правил в [forward] разрешающее правило по любому протоколу с любого ip на любой ip. Результат одинаковый.

2) В теме я не стал перечислять все ip-адреса, разумеется в разрешающих правилах прописаны и 128, и 129, и куча прочих айпишников. Поскольку скрин последний я делал для 129, его я и указал в разрешающем правиле.

Подводя итог, в первом сообщении я указал (за ненадобностью) не все ip-адреса в разрешающем правиле, и на момент передачи пакетов между компьютерами из разных сетей разрешающие правила для них были прописаны в разделе [forward].

Секцию локал не трогайте, на скринах четко прописано FORWARD: YES

Share this post


Link to post
Share on other sites

Секцию локал не трогайте, на скринах четко прописано FORWARD: YES

Согласен с Вашей логикой) В локале я правило добавил опять же для эксперимента, убедился, что не помогло, удалил правило.

695f87429924.jpg

Сравнил с таблицей маршрутизации месячной и 2-месячной давности, когда все норм работало, без изменений.

Share this post


Link to post
Share on other sites

Согласен с Вашей логикой) В локале я правило добавил опять же для эксперимента, убедился, что не помогло, удалил правило.

695f87429924.jpg

Сравнил с таблицей маршрутизации месячной и 2-месячной давности, когда все норм работало, без изменений.

Напишите пожалуйста конкретный айпи с которого пингуете и какой интересует 3 и 4 актет

Share this post


Link to post
Share on other sites

Пингую с 172.20.47.129 192.168.36.20. В обоих случаях маска 16

поставте в форварде rule= num 1 proto any from anyip to anyip pass

Именно num 1. и попробуйте пингануть.

Share this post


Link to post
Share on other sites

поставте в форварде rule= num 1 proto any from anyip to anyip pass

Именно num 1. и попробуйте пингануть.

Я уже делал все то же самое)

Для того, чтобы только убедиться, повторил действия. Результат все тот же

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.