https://slinkov.ru/openforum/vsluhforumID10/3911.html Коллеги!<br>Может ли ipfw конфликтовать с железом и если да, то так это можно вылечить?<br>Предыстория такова. Имеется простенький роутер на Фре 7.0 + squid + sarg. Всё по минимуму, статическая адресация, два интерфейса, один смотрит наружу, другой в локалку. В ядро вкомпилены все соответствующие опции, кроме IPFIREWALL_FORWARD (прозрачный прокси не юзается. Машинка - старенький AMD атлон с гигом оперативки и IDE-шным винтом. Работает отлично уже не первый месяц.<br>Возникла идея проапгрейдить это дело. Собрал P4, два гига оперативки, винт SATA. Далее:<br>-ставлю фрю с того же диска<br>-собираю ядро с теми же опциями<br>-переношу конфиг Ipfw со старой тачки на новую. Единственное, что изменяю, так это имена интерфейсов.<br>запускаю. На первом же правиле получаю Invalid_argument Закрываю первое правило, вылетает второе и т.д. Если оформляю загрузку правил не файлом а скриптом, то они вроде как загружаются (вывод ipfw -ad list их показывает) но ни черта не работают. Точнее работают непредсказуемо - у юзеров интернет появляет https://slinkov.ru/openforum/vsluhforumID10/3911.html#9 Fri, 08 Aug 2008 13:55:02 GMT Не верю!<br>(С) Станиславский<br><br> https://slinkov.ru/openforum/vsluhforumID10/3911.html#8 Thu, 07 Aug 2008 08:17:16 GMT 2Vitaly_loki<br>&gt;&gt;Я ведь тебе и говорил выше... Говоришь, пакеты на кальмара форвадятся, а в ядро IPFIREWALL_FORWARD не добавил. Попробуй скомпилить ядро с этой опцией. У тебя в 1005 правиле используется fwd, а в твоем ядре нет такой опции.<br><br>Совершенно верно! У меня в ядре нет IPFIREWALL_FORWARD но и без него ipfw корректно форвардит пакеты на 3128 и squid (непрозрачный) работает абсолютно нормально :) Конечно можно добавить, но думаю что ничего не изменится. В 7.0 ipfw выдавал Invalid argument на первом правиле списка и не грузил остальные. Если я комментировал правило, блокорвалось второе и т.д. Сейчас на 6.3 все нормально работает.<br><br>Фактически глвный вопрос ветки свелся вот к чему: в самом начале ув. Dima упомянул, что есть небольшие отличия между 7.0 и предыдущими фряхами. Вот и хотелось бы узнать, что же это за отличия, хотя бы в части ipfw?<br><br>2Pahanivo<br>&gt;&gt;А чем отличается фря 7 на одном компе от фря 7 на другом? Отвечу сам себе - НИЧЕМ...<br><br>Я тоже так думал, но практика доказывает обратное. Возвращаюс https://slinkov.ru/openforum/vsluhforumID10/3911.html#7 Thu, 07 Aug 2008 05:00:37 GMT &gt;&gt;1) Зачем снова ставить фрю????????? Искать на опеннете поиском по теме "перенос <br>&gt;&gt;фри на другой диск" <br>&gt;<br>&gt;Я не переносил фрю на новый диск. Я её переносил на новый <br>&gt;комп, отличный от исходного (хоть тем же sata) а это всё-таки <br>&gt;две большие разницы. В таких условиях установка начисто ИМХО лучше, чем <br>&gt;перенос, а потом долгая прополка самых нереальных глюков. <br><br>А чем отличается фря 7 на одном компе от фря 7 на другом? Отвечу сам себе - НИЧЕМ!<br>Весь твой софт (скомпиленный) зависит от системы и ее библиотек - они теже.<br>Девайсы поддерживаются ядром - если скомпилен генерик - то разницы абсолютно никакой.<br>Поэтоу и говрю что надо сначала поставить генерик + твои опции фаревола.<br>Можно спокойно перенести на другую систему или диск. Без разницы куда АБСОЛЮТНО.<br>Единственное нужно корректно указать слайсы для монтирования в /etc/fstab в случае если контроллер диска на другой системе будет отличатся.<br> https://slinkov.ru/openforum/vsluhforumID10/3911.html#6 Thu, 07 Aug 2008 04:35:38 GMT &gt;[оверквотинг удален]<br>&gt;Стараюсь избегать. Потому и решил проблему в лоб. Снёс 7.0 и поставил <br>&gt;6.3 Всё работает, правила подгрузились из fw.conf пакеты форвардятся, squid рулит <br>&gt;юзерами. Но вопрос открыт: что разработчики поменяли в системе, что она <br>&gt;теперь давится правилами IPFW взятыми с пердыдущих версий? Если знаете - <br>&gt;подскажите или дайте ссылку на ликбез. Сейчас мне это уже не <br>&gt;актуально но на будущее пригодится. <br>&gt;<br>&gt;&gt;Удачи! <br>&gt;<br>&gt;Пасиб :) <br><br>2Kalessin7_2<br>Я ведь тебе и говорил выше... Говоришь, пакеты на кальмара форвадятся, а в ядро IPFIREWALL_FORWARD не добавил. Попробуй скомпилить ядро с этой опцией. У тебя в 1005 правиле используется fwd, а в твоем ядре нет такой опции<br><br> https://slinkov.ru/openforum/vsluhforumID10/3911.html#5 Wed, 06 Aug 2008 19:31:27 GMT Отвечу тоже по пунктам:<br><br>&gt;1) Зачем снова ставить фрю????????? Искать на опеннете поиском по теме "перенос <br>&gt;фри на другой диск" <br><br>Я не переносил фрю на новый диск. Я её переносил на новый комп, отличный от исходного (хоть тем же sata) а это всё-таки две большие разницы. В таких условиях установка начисто ИМХО лучше, чем перенос, а потом долгая прополка самых нереальных глюков.<br><br>&gt;2) Как ты на ДРУГОМ железе собираешь ядро с опциями для предыдущего??????? <br>&gt;Собери GENERIC + опции необходимые для фаревола<br><br>Я имел ввиду только опции фаервола, которые добавляю в ядро после чистой установки. Они одинаковые на обоих тачках:<br>IPFIREWALL<br>IPFIREWALL_VERBOSE<br>IPFIREWALL_VERBOSE_LIMIT=10<br>IPFIREWALL_DEFAULT_TO_ACCEPT<br>IPDIVERT<br>DUMMYNET<br><br>3)Что за манера самому себе устраивать геморой?<br>Стараюсь избегать. Потому и решил проблему в лоб. Снёс 7.0 и поставил 6.3 Всё работает, правила подгрузились из fw.conf пакеты форвардятся, squid рулит юзерами. Но вопрос открыт: что разработчики поменяли в системе, что она тепер https://slinkov.ru/openforum/vsluhforumID10/3911.html#4 Wed, 06 Aug 2008 03:38:07 GMT &gt;-ставлю фрю с того же диска<br>&gt;-собираю ядро с теми же опциями<br>&gt;-переношу конфиг Ipfw со старой тачки на <br><br>По пунктам:<br>1) Зачем снова ставить фрю????????? Искать на опеннете поиском по теме "перенос фри на другой диск" (dump/restore). Все делается за полчаса без напряга и ковыряния конфига.<br>Только сначала смотреть пункт 2.<br>2) Как ты на ДРУГОМ железе собираешь ядро с опциями для предыдущего??????? Собери GENERIC + опции необходимые для фаревола, после выполни пункт 1.<br>3) Переношу конфиги - смотри с начала!<br><br>Что за манера самому себе устраивать геморой?<br>Удачи!<br> https://slinkov.ru/openforum/vsluhforumID10/3911.html#3 Tue, 05 Aug 2008 18:48:31 GMT 2Vitaly_loki<br>&gt;Странный ты: <br><br>Да это не я странный, это Фря 7.0 как-то странно себя ведёт. Конфиги сняты с рабочей тачки, все пакеты через ipfw ходят так как нужно. Squid стоит в непрозрачном режиме, у клиентов включено принудительное проксирование, при отключении которого выход наружу (для браузеров) пропадает, что мне и нужно. А IPFIREWALL_FORWARD насколь я помню, нужен как раз для поддержки прозрачного прокси.<br>Да и не в этом дело. Вылетают все правила по порядку.<br><br>2Dima<br><br>&gt;Дайте вывод полностью cat fw.conf и ядра с опциями фаера<br><br>Уже не могу, к сожалению. Начальство затопало ногами, сказало, что платит деньги за результат, а не за научные изыскания :) Снёс 7.0 поставил 6.3 подоткнул конфиги. Работает как часы :) Так в чём же такое принципиальное различие между 7.0 и предыдущими фряхами, в контексте ipfw конечно?<br> https://slinkov.ru/openforum/vsluhforumID10/3911.html#2 Tue, 05 Aug 2008 09:33:04 GMT Странный ты: <br>&gt;в локалку. В ядро вкомпилены все соответствующие опции, кроме IPFIREWALL_FORWARD (прозрачный <br>&gt;прокси не юзается. <br><br>А дальше:<br>&gt;add 1005 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0 https://slinkov.ru/openforum/vsluhforumID10/3911.html#1 Tue, 05 Aug 2008 06:24:02 GMT Есть разница между 7.0 и остальными версиями фряхи... Небольшая но есть :-)<br>Дайте вывод полностью cat fw.conf и ядра с опциями фаера :)<br>