Виртуальные машины, проблемы с DNS.[SOLVED]

ramcram	# 11 лет, 7 месяцев назад (отредактировано 11 лет, 7 месяцев назад)
Темы: 23 Сообщения: 310 Участник с: 25 сентября 2009	Ситуация такая. Есть 2 виртуальные машины. Одна изображает контроллер домена на Windows 2003, вторая изображает шлюз на FreeBSD 7.0. Хост ОС - ArchLinux x64. Виртуальные машины - Vmware Workstation 7.1.3 и та же проблема на VirtualBox 4.0.2-4. FreeBSD: 2 интерфейса. Один смотрит наружу и подключен как Bridge, шлюзом для него домашний роутер. 2-й интерфейс - HostOnly, смотрит в “локалку”. На FreeBSD поднят Natd, IPFW и Squid. Конфиги если необходимо - выложу. Сразу хочу сказать, конфигурация рабочая, на такой же работает один фоис, проблем нет. Windows 2003: один интерфейс - HostOnly. Шлюзом для него 2-й интерфейс FreeBSD. Поднят DNS и AD. Днс форвардит днс серверам, которые прописаны в resolv.conf во фряхе. На фряхе для этого хоста открыты все необходимые порты, доступ не ограничен. В чём проблема. На фряхе работает всё отлично, на все ресурсы по любому порту. На Windows 2003, работает только HTTP. Т.е. Squid пускает и работает отлично, но при этом, с виндовой машины не могу пропинговать ни один адрес, более того, проверял Tcpdump'ом, ни одного пакета до внутреннего интерфейса не доходит, когда я пытаюсь пинговать. Через сквид всё отлично работает. Не могу понять где затык. Не резолвятся днс имена. rc.firewall --------------- ######################## # Firewall Settings # ######################### # Block console output from FireWall fwcmd="/sbin/ipfw -q" # Outside Interface # wlan inet wan="em0" # lan network lan="em1" wanip="192.168.1.20" # Inside Interface lanip="192.168.56.254" inet1="192.168.56.0/24" # Servers sint="192.168.56.10" ####################################### # Clear Firewall policy ipfw -f flush ipfw add allow ip from any to any via lo0 # spuff ipfw add deny ip from any to any not verrevpath in # Fragments ipfw add deny ip from any to any frag ipfw add deny ip from any to 127.0.0.0/8 ipfw add deny ip from 127.0.0.0/8 to any ipfw add pass tcp from ${inet1} to ${lanip} 3128 ipfw add pass tcp from ${lanip} 3128 to ${inet1} ipfw add allow ip from ${inet1} to ${inet1}} ipfw add allow all from ${sint} to any ipfw add allow all from any to ${sint} ipfw add allow icmp from ${sint} to any ipfw add allow icmp from any to ${sint} ipfw add divert natd ip from ${inet1} to any ipfw add allow ip from ${wanip} to any ipfw add divert natd ip from any to ${wanip} ipfw add allow ip from any to ${inet1} ipfw add deny tcp from any to ${wanip} in via ${wan} tcpflags syn,!ack ipfw add allow tcp from any to ${wanip} ipfw add allow udp from any to ${wanip} 53 ipfw add allow udp from any 53 to ${wanip} ipfw add allow icmp from any to any in via ${wan} ######################################################## # OTHER - Deny NetBIOS broadcast/ Deny ALL & write log ipfw add deny log all from any to any ######################################################## ——————- rc.conf ------------------------ defaultrouter="192.168.1.1" gateway_enable="YES" hostname="s2.test.net" ifconfig_em0="inet 192.168.1.20 netmask 255.255.255.0" ifconfig_em1="inet 192.168.56.254 netmask 255.255.255.0" keymap="us.iso" linux_enable="YES" sshd_enable="YES" firewall_enable="YES" firewall_script="/etc/rc.firewall" firewall_type="getekom" firewall_quiet="YES" firewall_logging="YES" firewall_flags="-q" usbd_enable="NO" natd_enable="YES" natd_interface="em0" natd_flags="-f /etc/natd.conf" В общем выяснилось, что nat не пашет.. стартует, но не пашет. Буду ковырять

# 11 лет, 7 месяцев назад (отредактировано 11 лет, 7 месяцев назад)

Сообщения: 310

Участник с: 25 сентября 2009

Ситуация такая. Есть 2 виртуальные машины. Одна изображает контроллер домена на Windows 2003, вторая изображает шлюз на FreeBSD 7.0. Хост ОС - ArchLinux x64. Виртуальные машины - Vmware Workstation 7.1.3 и та же проблема на VirtualBox 4.0.2-4.
FreeBSD: 2 интерфейса. Один смотрит наружу и подключен как Bridge, шлюзом для него домашний роутер.
2-й интерфейс - HostOnly, смотрит в “локалку”. На FreeBSD поднят Natd, IPFW и Squid. Конфиги если необходимо - выложу. Сразу хочу сказать, конфигурация рабочая, на такой же работает один фоис, проблем нет.
Windows 2003: один интерфейс - HostOnly. Шлюзом для него 2-й интерфейс FreeBSD. Поднят DNS и AD. Днс форвардит днс серверам, которые прописаны в resolv.conf во фряхе. На фряхе для этого хоста открыты все необходимые порты, доступ не ограничен.
В чём проблема. На фряхе работает всё отлично, на все ресурсы по любому порту. На Windows 2003, работает только HTTP. Т.е. Squid пускает и работает отлично, но при этом, с виндовой машины не могу пропинговать ни один адрес, более того, проверял Tcpdump'ом, ни одного пакета до внутреннего интерфейса не доходит, когда я пытаюсь пинговать. Через сквид всё отлично работает.
Не могу понять где затык. Не резолвятся днс имена.
rc.firewall

---------------
########################
#   Firewall Settings   #
#########################
 
# Block console output from FireWall
 
fwcmd="/sbin/ipfw -q"
 
# Outside Interface
 
# wlan inet
 
wan="em0"
 
# lan network
 
lan="em1"
 
wanip="192.168.1.20"
 
# Inside Interface
 
lanip="192.168.56.254"
inet1="192.168.56.0/24"
 
# Servers
sint="192.168.56.10"
 
#######################################
 
# Clear Firewall policy
 
    ipfw -f flush
 
ipfw add allow ip from any to any via lo0
 
# spuff
 
        ipfw add deny ip from any to any not verrevpath in
 
# Fragments
 
        ipfw add deny ip from any to any frag
 
 
        ipfw add deny ip from any to 127.0.0.0/8
        ipfw add deny ip from 127.0.0.0/8 to any
 
        ipfw add pass tcp from ${inet1} to ${lanip} 3128
        ipfw add pass tcp from ${lanip} 3128 to ${inet1}
 
        ipfw add allow ip from ${inet1} to ${inet1}}
        ipfw add allow all from ${sint} to any
        ipfw add allow all from any to ${sint}
        ipfw add allow icmp from ${sint} to any
        ipfw add allow icmp from any to ${sint}
ipfw add divert natd ip from ${inet1} to any
        ipfw add allow ip from ${wanip} to any
 
        ipfw add divert natd ip from any to ${wanip}
        ipfw add allow ip from any to ${inet1}
 
ipfw add deny tcp from any to ${wanip} in via ${wan} tcpflags syn,!ack
        ipfw add allow tcp from any to ${wanip}
 
        ipfw add allow udp from any to ${wanip} 53
        ipfw add allow udp from any 53 to ${wanip}
 
ipfw add allow icmp from any to any in via ${wan}
 
 
########################################################
# OTHER - Deny NetBIOS broadcast/ Deny ALL & write log
 
ipfw add deny log all from any to any
 
########################################################

——————-

rc.conf

------------------------
defaultrouter="192.168.1.1"
gateway_enable="YES"
hostname="s2.test.net"
ifconfig_em0="inet 192.168.1.20  netmask 255.255.255.0"
ifconfig_em1="inet 192.168.56.254 netmask 255.255.255.0"
keymap="us.iso"
linux_enable="YES"
sshd_enable="YES"
 
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="getekom"
firewall_quiet="YES"
firewall_logging="YES"
firewall_flags="-q"
 
usbd_enable="NO"
 
natd_enable="YES"
natd_interface="em0"
natd_flags="-f /etc/natd.conf"

В общем выяснилось, что nat не пашет.. стартует, но не пашет. Буду ковырять

ramcram	# 11 лет, 7 месяцев назад
Темы: 23 Сообщения: 310 Участник с: 25 сентября 2009	Тему можно закрыть. Разобрался.

mango	# 11 лет, 7 месяцев назад
Темы: 43 Сообщения: 1521 Участник с: 18 декабря 2008	Обычно пишут решение.

ramcram	# 11 лет, 7 месяцев назад
Темы: 23 Сообщения: 310 Участник с: 25 сентября 2009	Темой никто не заинтересовался, поэтому не был уверен, что кому-то интересны конфиги FreeBSD, ибо ошибка закралась именно в конфигах. (хотя странно, эта схема у меня всегда исправно работала) Запросы не натились. Если это кому-то на самом деле интересно, выложу все конфиги и опции компиляции ядра.

ramcram

# 11 лет, 7 месяцев назад

Темы: 23

Сообщения: 310

Участник с: 25 сентября 2009

Темой никто не заинтересовался, поэтому не был уверен, что кому-то интересны конфиги FreeBSD, ибо ошибка закралась именно в конфигах. (хотя странно, эта схема у меня всегда исправно работала) Запросы не натились. Если это кому-то на самом деле интересно, выложу все конфиги и опции компиляции ядра.

xfilx	# 11 лет, 7 месяцев назад
Темы: 3 Сообщения: 115 Участник с: 21 сентября 2010	если выложить, то хуже не будет)

ramcram	# 11 лет, 7 месяцев назад
Темы: 23 Сообщения: 310 Участник с: 25 сентября 2009	2 виртуальные машины. 1-я. Windows 2003 - контроллер домена + DNS сервер. Один интерфейс, в тестовом стенде: локальная сеть, в Vmware - Host-Only 2-я. FreeBSD - шлюз. IPWF, NATD (ipfw nat пока не осилил. есть косяки) + squid uname -a FreeBSD s2.test.net 7.3-RELEASE-p4 FreeBSD 7.3-RELEASE-p4 #4: Sun Feb 6 21:41:45 MSK 2011 [email protected]:/usr/obj/usr/src/sys/MYKERNEL i386 2 интерфейса. 1-й типа внешняя сеть, в Vmware Bridged, питается отдомашнего роутера. 2-й - внутренняя сеть Host-Only. И все конфиги: rc.conf # -- sysinstall generated deltas -- # Sun Jan 30 23:18:15 2011 # Created: Sun Jan 30 23:18:15 2011 # Enable network daemons for user convenience. # Please make all changes to this file, not to /etc/defaults/rc.conf. # This file now contains just the overrides from /etc/defaults/rc.conf. defaultrouter="192.168.1.1" gateway_enable="YES" hostname="s2.test.net" ifconfig_em0="inet 192.168.1.10 netmask 255.255.255.0" ifconfig_em1="inet 172.16.168.130 netmask 255.255.255.0" keymap="us.iso" linux_enable="YES" sshd_enable="YES" squid_enable="YES" firewall_enable="YES" firewall_type="/etc/rc.firewall" kern_securelevel_enable="NO" kern_securelevel="2" usbd_enable="NO" natd_enable="YES" natd_interface="em0" natd_flags="-f /etc/natd.conf" Простенький без наворотов рабочий конфиг. cat /etc/rc.firewall # Block console output from FireWall fwcmd="/sbin/ipfw -q" # Outside Interface # wlan inet wan="em0" # lan network lan="em1" wanip="192.168.1.10" # Inside Interface lanip="172.16.168.130" inet1="172.16.168.0/24" # Servers sint="172.16.168.30" # Clear Firewall policy ipfw -f flush ipfw add allow ip from any to any via lo0 # spuff ipfw add deny ip from any to any not verrevpath in # Fragments ipfw add deny ip from any to any frag ipfw add allow tcp from ${inet1} to ${lanip} 3128 ipfw add allow tcp from ${lanip} 3128 to ${inet1} ipfw add divert natd ip from ${inet1} to any out via ${wan} ipfw add divert natd ip from any to ${wanip} in via ${wan} ipfw add allow ip from any to any established ipfw add allow ip from ${wanip} to any out xmit ${wan} ipfw add allow udp from any 53 to any via ${wanip} ipfw add allow udp from any to any 123 via ${wan} ipfw add allow icmp from any to any icmptypes 0,8,11 ipfw add allow ip from any to any via ${em1} ipfw add allow tcp from any to any via ${em1} ipfw add allow udp from any to any via ${em1} ipfw add allow icmp from any to any via ${em1} # ipfw add allow all from ${sint} to any # ipfw add allow all from any to ${sint} ipfw add allow tcp from any to ${wanip} 22 ipfw add allow tcp from ${wanip} 22 to any ipfw add deny log all from any to any cat /etc/natd.conf log yes use_sockets yes same_ports yes unregistered_only yes interface em0 Опции ядра для natd. Для ipfw nat не подойдёт. options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=5 options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options IPFIREWALL_DEFAULT_TO_ACCEPT

ramcram

# 11 лет, 7 месяцев назад

Темы: 23

Сообщения: 310

Участник с: 25 сентября 2009

2 виртуальные машины.
1-я. Windows 2003 - контроллер домена + DNS сервер. Один интерфейс, в тестовом стенде: локальная сеть, в Vmware - Host-Only
2-я. FreeBSD - шлюз. IPWF, NATD (ipfw nat пока не осилил. есть косяки) + squid

uname -a
FreeBSD s2.test.net 7.3-RELEASE-p4 FreeBSD 7.3-RELEASE-p4 #4: Sun Feb  6 21:41:45 MSK 2011     [email protected]:/usr/obj/usr/src/sys/MYKERNEL  i386

2 интерфейса. 1-й типа внешняя сеть, в Vmware Bridged, питается отдомашнего роутера. 2-й - внутренняя сеть Host-Only.
И все конфиги:
rc.conf

# -- sysinstall generated deltas -- # Sun Jan 30 23:18:15 2011
# Created: Sun Jan 30 23:18:15 2011
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
defaultrouter="192.168.1.1"
gateway_enable="YES"
hostname="s2.test.net"
ifconfig_em0="inet 192.168.1.10 netmask 255.255.255.0"
ifconfig_em1="inet 172.16.168.130 netmask 255.255.255.0"
keymap="us.iso"
linux_enable="YES"
sshd_enable="YES"
squid_enable="YES"
firewall_enable="YES"
firewall_type="/etc/rc.firewall"
kern_securelevel_enable="NO"
kern_securelevel="2"
usbd_enable="NO"
natd_enable="YES"
natd_interface="em0"
natd_flags="-f /etc/natd.conf"

Простенький без наворотов рабочий конфиг.

cat /etc/rc.firewall
# Block console output from FireWall
 
fwcmd="/sbin/ipfw -q"
 
# Outside Interface
 
# wlan inet
 
wan="em0"
 
# lan network
 
lan="em1"
 
wanip="192.168.1.10"
 
# Inside Interface
 
lanip="172.16.168.130"
inet1="172.16.168.0/24"
 
# Servers
sint="172.16.168.30"
# Clear Firewall policy
 
    ipfw -f flush
 
ipfw add allow ip from any to any via lo0
 
# spuff
 
        ipfw add deny ip from any to any not verrevpath in
 
# Fragments
 
        ipfw add deny ip from any to any frag
   ipfw add allow tcp from ${inet1} to ${lanip} 3128
   ipfw add allow tcp from ${lanip} 3128 to ${inet1}
   
   ipfw add divert natd ip from ${inet1} to any out via ${wan}
   ipfw add divert natd ip from any to ${wanip} in via ${wan}   
 
   ipfw add allow ip from any to any established
   
   ipfw add allow ip from ${wanip} to any out xmit ${wan}
   ipfw add allow udp from any 53 to any via ${wanip}
   ipfw add allow udp from any to any 123 via ${wan}
ipfw add allow icmp from any to any icmptypes 0,8,11
   ipfw add allow ip from any to any via ${em1}
   ipfw add allow tcp from any to any via ${em1}
   ipfw add allow udp from any to any via ${em1}
   ipfw add allow icmp from any to any via ${em1}
#        ipfw add allow all from ${sint} to any
#        ipfw add allow all from any to ${sint}
   ipfw add allow tcp from any to ${wanip} 22
   ipfw add allow tcp from ${wanip} 22 to any
    
ipfw add deny log all from any to any

cat /etc/natd.conf 
log yes
use_sockets yes
same_ports yes
unregistered_only yes
interface em0

Опции ядра для natd. Для ipfw nat не подойдёт.

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=5
options         IPFIREWALL_FORWARD
options         IPDIVERT
options         DUMMYNET
options         IPFIREWALL_DEFAULT_TO_ACCEPT