[FUG-BR] pfsense: problemas de acesso
Zhu Sha Zang
zhushazang em yahoo.com.br
Quarta Maio 20 12:35:55 BRT 2009
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Vamos lá:
PING
ACESSA
# ping -c www.google.com.br
ping: invalid count of packets to transmit: `www.google.com.br'
# ping -c 5 www.google.com.br
PING www.l.google.com (64.233.163.147): 56 data bytes
64 bytes from 64.233.163.147: icmp_seq=0 ttl=246 time=16.464 ms
64 bytes from 64.233.163.147: icmp_seq=1 ttl=246 time=15.858 ms
64 bytes from 64.233.163.147: icmp_seq=2 ttl=246 time=10.307 ms
64 bytes from 64.233.163.147: icmp_seq=3 ttl=246 time=11.087 ms
64 bytes from 64.233.163.147: icmp_seq=4 ttl=246 time=11.561 ms
- --- www.l.google.com ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 10.307/13.055/16.464/2.574 ms
# ping -c 5 64.233.163.147
PING 64.233.163.147 (64.233.163.147): 56 data bytes
64 bytes from 64.233.163.147: icmp_seq=0 ttl=246 time=11.294 ms
64 bytes from 64.233.163.147: icmp_seq=1 ttl=246 time=10.966 ms
64 bytes from 64.233.163.147: icmp_seq=2 ttl=246 time=11.355 ms
64 bytes from 64.233.163.147: icmp_seq=3 ttl=246 time=9.594 ms
64 bytes from 64.233.163.147: icmp_seq=4 ttl=246 time=10.722 ms
- --- 64.233.163.147 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 9.594/10.786/11.355/0.639 ms
NÃO ACESSA
# ping -c 5 www.uol.com.br
PING www.uol.com.br (200.221.2.45): 56 data bytes
- --- www.uol.com.br ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
# ping -c 5 200.221.2.45
PING 200.221.2.45 (200.221.2.45): 56 data bytes
- --- 200.221.2.45 ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
TRACEROUTE
# traceroute www.google.com.br
traceroute: Warning: www.google.com.br has multiple addresses; using
64.233.163.147
traceroute to www.l.google.com (64.233.163.147), 64 hops max, 40 byte
packets
1 * * *
2 IG.ufscar.br (200.9.84.100) 0.736 ms 0.547 ms 0.485 ms
3 G-0-3-EG.ufscar.br (200.136.207.1) 2.213 ms 2.167 ms 2.270 ms
4 143-108-254-190.ansp.br (143.108.254.190) 9.928 ms 11.357 ms
8.314 ms
5 143.107.151.189 (143.107.151.189) 9.167 ms 8.678 ms 11.103 ms
6 as15169.sp.ptt.br (200.219.130.55) 11.608 ms 9.723 ms 9.739 ms
7 209.85.249.232 (209.85.249.232) 12.872 ms
209.85.250.246 (209.85.250.246) 10.343 ms 11.149 ms
8 72.14.233.93 (72.14.233.93) 17.324 ms 10.357 ms
72.14.233.89 (72.14.233.89) 11.459 ms
9 64.233.175.58 (64.233.175.58) 15.439 ms 11.086 ms 14.442 ms
10 bs-in-f147.google.com (64.233.163.147) 11.232 ms 10.612 ms
10.554 ms
# traceroute 64.233.163.147
traceroute to 64.233.163.147 (64.233.163.147), 64 hops max, 40 byte
packets
1 * * *
2 IG.ufscar.br (200.9.84.100) 1.109 ms 0.873 ms 0.694 ms
3 G-0-3-EG.ufscar.br (200.136.207.1) 1.531 ms 1.012 ms 1.513 ms
4 143-108-254-190.ansp.br (143.108.254.190) 9.298 ms 9.486 ms
8.528 ms
5 143.107.151.189 (143.107.151.189) 10.161 ms 18.737 ms 9.064 ms
6 as15169.sp.ptt.br (200.219.130.55) 11.519 ms 20.345 ms 10.537 ms
7 209.85.250.246 (209.85.250.246) 11.866 ms
209.85.249.232 (209.85.249.232) 14.226 ms 10.419 ms
8 72.14.233.89 (72.14.233.89) 43.640 ms 15.506 ms
72.14.233.95 (72.14.233.95) 13.289 ms
9 64.233.175.54 (64.233.175.54) 24.769 ms
64.233.175.18 (64.233.175.18) 11.389 ms 15.574 ms
10 bs-in-f147.google.com (64.233.163.147) 11.254 ms 10.800 ms 9.985 ms
# pfctl -sa | grep 64.233.163.147
all udp 200.136.226.143:56448 -> 64.233.163.147:33435
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33436
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33437
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33438
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33439
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33440
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33441
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33442
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33443
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33444
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33445
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33446
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:56448 -> 64.233.163.147:33447
SINGLE:NO_TRAFFIC
# traceroute www.uol.com.br
traceroute: Warning: www.uol.com.br has multiple addresses; using
200.221.2.45
traceroute to www.uol.com.br (200.221.2.45), 64 hops max, 40 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
# pfctl -sa |grep 200.221.2.45
all udp 200.136.226.143:55938 -> 200.221.2.45:33458
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33459
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33460
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33461
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33462
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33463
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33464
SINGLE:NO_TRAFFIC
all udp 200.136.226.143:55938 -> 200.221.2.45:33465
SINGLE:NO_TRAFFIC
+++++++++++++++++++++++++++++++++++++++++++++++++++++=
Não fui claro em relação à clientes, desculpem-me. No caso, clientes
são as máquinas desktop dos usuários atras do NAT (do pfsense). Segue
em anexo o resultado dos mesmos comandos acima assim como os testes
com o dig
att
P.S.1: Google acessa normalmente, UOL não. Como visto no arquivo
traceroutes_clientes, a regra está em pass.
P.S.2: Sr. Trober, a solução do MTU não resolveu. Valew.
Trober escreveu:
> Senhores, após configurar o pfsense para fazer NAT (apenas
> outbound) este , o NAT, funciona. Porém somente em alguns sites.
>
> As regras em anexo.
>
> Entretanto, não acesso o site dos clientes, tão pouco a partir do
> próprio servidor.
>
> Alguns exemplos não acessados:
>
> www.uol.com.br www.yahoo.com.br gdk.thegamecreators.com
>
> Entre outros.
>
> Alguma luz?
>
> Obrigado
>
> P.S.: Tentando essas regras, o problema persiste.
>
> nat on re0 from any to any -> (re0) pass quick on re0 all keep
> state pass quick on xl0 all keep state
>
> falow
>>
- -------------------------
>>
> Olá Zhu Sha Zang!
> Cara, este seu problema está muito parecido com "double natting"
> (quando há um nat atrás de outro nat, ex: servidor atrás de ADSL).
> Contornei isso mudando o MTU da interface externa do FreeBSD para
> 1450, pois, se diferente disso (como 1500), seus usuários não vão
> conseguir fazer upload de arquivos para o Hotmail, Yahoo e
> autenticação em HTTPS.
> No underground (.dk, .ru, .pl) os caras estão usando 1300. Segundo
> o que lembro, o 1300 é para não ir contra uma das RFCs de IPv6 que
> define o MTU mínimo em 1280.
> Posso estar totalmente enganado quanto à exatidão do problema, mas
> que funciona, funciona!
> Saudações,
> Trober - - - - -
> ------------------------- Histórico:
> http://www.fug.com.br/historico/html/freebsd/ Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkoUI1sACgkQ35zeJy7JhCjStACfWto/074ihSfgs8OPI0tLBMbA
nCIAn2DuxDvOI8e4C7wq6CQn2owVK34c
=564O
-----END PGP SIGNATURE-----
-------------- Próxima Parte ----------
Um texto embutido e sem conjunto de caracteres especificado associado...
Nome: google
Url: http://www.fug.com.br/historico/html/freebsd/attachments/20090520/e6e0da27/attachment.ksh
-------------- Próxima Parte ----------
Um texto embutido e sem conjunto de caracteres especificado associado...
Nome: uol
Url: http://www.fug.com.br/historico/html/freebsd/attachments/20090520/e6e0da27/attachment-0001.ksh
-------------- Próxima Parte ----------
Um texto embutido e sem conjunto de caracteres especificado associado...
Nome: traceroutes_clientes
Url: http://www.fug.com.br/historico/html/freebsd/attachments/20090520/e6e0da27/attachment-0002.ksh
Mais detalhes sobre a lista de discussão freebsd