forum.opennet.ru - "IPFW в FreeBSD - прошу хэлпа!!!" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW в FreeBSD - прошу хэлпа!!!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW в FreeBSD - прошу хэлпа!!!"
Сообщение от netop on 21-Июл-07, 11:23
Помогите с параметрами сбора IPFW в ядре. Собираю так: options IPFIREWALL options DIVERT options DUMMYNET При работе через SSH, если запустить ./rc.firewall open или любой параметр, то комп тупо блочится, спасает резет. Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT то все работает нормально, но в конце само добавляется правило allow ip from any to any и не могу закрыть все ненужное :( в первом случае добавляется deny ip from any to any есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет, ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

IPFW в FreeBSD - прошу хэлпа!!!, ws, 12:02 , 21-Июл-07, (1)
IPFW в FreeBSD - прошу хэлпа!!!, Beavis, 12:57 , 21-Июл-07, (2)

IPFW в FreeBSD - прошу хэлпа!!!, netop, 22:13 , 22-Июл-07, (3)

IPFW в FreeBSD - прошу хэлпа!!!, crash, 02:28 , 23-Июл-07, (4)

IPFW в FreeBSD - прошу хэлпа!!!, Александр, 09:36 , 23-Июл-07, (5)

IPFW в FreeBSD - прошу хэлпа!!!, netop, 20:50 , 23-Июл-07, (6)

IPFW в FreeBSD - прошу хэлпа!!!, muhlik, 21:11 , 23-Июл-07, (7)

IPFW в FreeBSD - прошу хэлпа!!!, netop, 22:08 , 23-Июл-07, (8)

IPFW в FreeBSD - прошу хэлпа!!!, hvosting, 01:57 , 24-Июл-07, (9)

IPFW в FreeBSD - прошу хэлпа!!!, Serjant, 13:34 , 25-Июл-07, (10)

Сообщения по теме [Сортировка по времени, UBB]

1. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от ws (ok) on 21-Июл-07, 12:02

>[оверквотинг удален]
>
>Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
>то все работает нормально, но в конце само добавляется правило
>allow ip from any to any
>и не могу закрыть все ненужное :(
>в первом случае добавляется deny ip from any to any
>
>есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет,
>ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
>
Что-то ж должно быть по умолчанию в любых настройках! В ipfw это как раз выбирается опцией ядра options IPFIREWALL_DEFAULT_TO_ACCEPT.
В твоем случае смотри правила - правь под себя.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от Beavis (ok) on 21-Июл-07, 12:57

>[оверквотинг удален]
>
>Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
>то все работает нормально, но в конце само добавляется правило
>allow ip from any to any
>и не могу закрыть все ненужное :(
>в первом случае добавляется deny ip from any to any
>
>есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет,
>ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
>
Ты сам подумай, как может быть в конце НИЧЕГО?
Там либо все разрешено либо запрещено.
Это как раз и выбирается опцией ядра IPFIREWALL_DEFAULT_TO_ACCEPT
А чтобы все было понятно с правилами IPFW, настраивай все вручную (удали все записи из rc.firewall и делай все сам)
Инфы на opennet по ээтому поводу предостаточно:) юзай поиск

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от netop on 22-Июл-07, 22:13

Можно как-нибудь при настроенном файрволе в DEFAULT_TO_ACCEPT, выполнить deny ip from any to any ?
Настраивал все вручную - раньше работало зашибись. Делал DEFAULT_TO_DENY и все отлично работало. PUTTY просто вылетала, а потом коннектишься заново и продолжаешь работать.
Не пойму что сейчас случилось, может быть из-за того что версия PUTTY другая? Настройки все теже остались, виснет тупо соединение и на комп уже никак не зайти. Правила все писал сам с нуля.
Вообщем "на гарячую" файрвол перезапустить нельзя, если я делаю изменения - нужно перезагружать сервер, иначе удаленно я на него уже не залезу. Ну это ж не выход :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от crash (ok) on 23-Июл-07, 02:28

>Можно как-нибудь при настроенном файрволе в DEFAULT_TO_ACCEPT, выполнить deny ip from any
>to any ?
тогда смысл по умолчанию разрешать?
>Настраивал все вручную - раньше работало зашибись. Делал DEFAULT_TO_DENY и все отлично
>работало. PUTTY просто вылетала, а потом коннектишься заново и продолжаешь работать.
>
>Не пойму что сейчас случилось, может быть из-за того что версия PUTTY
>другая? Настройки все теже остались, виснет тупо соединение и на комп
>уже никак не зайти. Правила все писал сам с нуля.
>Вообщем "на гарячую" файрвол перезапустить нельзя, если я делаю изменения - нужно
>перезагружать сервер, иначе удаленно я на него уже не залезу. Ну
>это ж не выход :(
чтото вы делаете не так, потому как все нормально перегружается без перегрузке сервера и не завуисит от версии putty

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от Александр (??) on 23-Июл-07, 09:36

ну у меня так:
в конвиге ядра добавлены опции
options         IPFIREWALL              # firewall
options         IPFIREWALL_VERBOSE      # enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=100    # limit verbosity
options         IPFIREWALL_FORWARD      # packet destination changes
options         IPDIVERT                # divert sockets
в rc.conf соответственно стоит
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="fxp0"
вместо OPEN указываешь свой набор правил
и никаких проблем с IPFW не возникало (ну если только с правилами иной раз чего нибудь нето сотворишь)
если перелопатить все советы по IPFW в инете - получится тоже самое

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от netop on 23-Июл-07, 20:50

>[оверквотинг удален]
>firewall_type="OPEN"
>natd_enable="YES"
>natd_interface="fxp0"
>
>вместо OPEN указываешь свой набор правил
>
>и никаких проблем с IPFW не возникало (ну если только с правилами
>иной раз чего нибудь нето сотворишь)
>если перелопатить все советы по IPFW в инете - получится тоже самое
>
У меня все так-же, и если я работаю на этой-же машине, то все нормально. А вот удаленно - при перезапуски правил файрвола она тупо блочится. Я думаю - правила тут не причем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от muhlik (??) on 23-Июл-07, 21:11

>У меня все так-же, и если я работаю на этой-же машине, то
>все нормально. А вот удаленно - при перезапуски правил файрвола она
>тупо блочится. Я думаю - правила тут не причем.
Мне кажется (под рукой нет фрюхи), если ты делаешь ./rc.firewall open (хотя как это можно сделать если файл не +x) то первым делом делается сброс всех правил и ты отваливаешься из-за этого, а дальше правила не грузятся так как отвалилась консоль, я перегружаю ifpw как положено ;-)
/etc/rc.d/ipfw restart
при это сначала ipfw вообще дизаблится (через sysctl) потом правила прописываются и потом включается обратно, все!!! ничего отвалиться не может ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от netop on 23-Июл-07, 22:08

>>У меня все так-же, и если я работаю на этой-же машине, то
>>все нормально. А вот удаленно - при перезапуски правил файрвола она
>>тупо блочится. Я думаю - правила тут не причем.
>
>Мне кажется (под рукой нет фрюхи), если ты делаешь ./rc.firewall open (хотя
>как это можно сделать если файл не +x)
Я сделал его +х
> то первым делом
>делается сброс всех правил и ты отваливаешься из-за этого, а дальше
>правила не грузятся так как отвалилась консоль, я перегружаю ifpw как
>положено ;-)
>/etc/rc.d/ipfw restart
>при это сначала ipfw вообще дизаблится (через sysctl) потом правила прописываются и
>потом включается обратно, все!!! ничего отвалиться не может ;-)
Спасибочки!!! Попробую сегодня, правда пересобрать ядро заново придется, думаю что все получится!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от hvosting (??) on 24-Июл-07, 01:57

При удаленной работе с IPFW рекомендую
a - работать в скринах (/usr/ports/sysutils/screen)
b - всегда во время работы держать запущенный shutdown -r +10
    когда время уже подпирает пристреливать его по killall  shutdown
    и запускать опять, пока работа с IPFW не закончится.

с - редактировать при этом сразу те скрипты, что будут отрабатываться автоматически
    при   перезагрузке системы вредно для здоровья.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IPFW в FreeBSD - прошу хэлпа!!!"

Сообщение от Serjant (??) on 25-Июл-07, 13:34

>[оверквотинг удален]
>
>Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
>то все работает нормально, но в конце само добавляется правило
>allow ip from any to any
>и не могу закрыть все ненужное :(
>в первом случае добавляется deny ip from any to any
>
>есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет,
>ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
>
При  работе по ssh правила надо добавля с ключём -q
Этот ключ подавляет вербозный, который и вешает всё.
Правила-то сброшены, ssh отвалился (так как осталось только одно правило, запрещающее всё), вывод информации делать некуда.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPFW в FreeBSD - прошу хэлпа!!!"
Сообщение от ws (ok) on 21-Июл-07, 12:02
>[оверквотинг удален] > >Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT >то все работает нормально, но в конце само добавляется правило >allow ip from any to any >и не могу закрыть все ненужное :( >в первом случае добавляется deny ip from any to any > >есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет, >ни разрешение? Чтобы можно было самому это добавлять - в скрипте. > Что-то ж должно быть по умолчанию в любых настройках! В ipfw это как раз выбирается опцией ядра options IPFIREWALL_DEFAULT_TO_ACCEPT. В твоем случае смотри правила - правь под себя.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "IPFW в FreeBSD - прошу хэлпа!!!"
Сообщение от Beavis (ok) on 21-Июл-07, 12:57
>[оверквотинг удален] > >Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT >то все работает нормально, но в конце само добавляется правило >allow ip from any to any >и не могу закрыть все ненужное :( >в первом случае добавляется deny ip from any to any > >есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет, >ни разрешение? Чтобы можно было самому это добавлять - в скрипте. > Ты сам подумай, как может быть в конце НИЧЕГО? Там либо все разрешено либо запрещено. Это как раз и выбирается опцией ядра IPFIREWALL_DEFAULT_TO_ACCEPT А чтобы все было понятно с правилами IPFW, настраивай все вручную (удали все записи из rc.firewall и делай все сам) Инфы на opennet по ээтому поводу предостаточно:) юзай поиск
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "IPFW в FreeBSD - прошу хэлпа!!!"
	Сообщение от netop on 22-Июл-07, 22:13
	Можно как-нибудь при настроенном файрволе в DEFAULT_TO_ACCEPT, выполнить deny ip from any to any ? Настраивал все вручную - раньше работало зашибись. Делал DEFAULT_TO_DENY и все отлично работало. PUTTY просто вылетала, а потом коннектишься заново и продолжаешь работать. Не пойму что сейчас случилось, может быть из-за того что версия PUTTY другая? Настройки все теже остались, виснет тупо соединение и на комп уже никак не зайти. Правила все писал сам с нуля. Вообщем "на гарячую" файрвол перезапустить нельзя, если я делаю изменения - нужно перезагружать сервер, иначе удаленно я на него уже не залезу. Ну это ж не выход :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPFW в FreeBSD - прошу хэлпа!!!"
	Сообщение от crash (ok) on 23-Июл-07, 02:28
	>Можно как-нибудь при настроенном файрволе в DEFAULT_TO_ACCEPT, выполнить deny ip from any >to any ? тогда смысл по умолчанию разрешать? >Настраивал все вручную - раньше работало зашибись. Делал DEFAULT_TO_DENY и все отлично >работало. PUTTY просто вылетала, а потом коннектишься заново и продолжаешь работать. > >Не пойму что сейчас случилось, может быть из-за того что версия PUTTY >другая? Настройки все теже остались, виснет тупо соединение и на комп >уже никак не зайти. Правила все писал сам с нуля. >Вообщем "на гарячую" файрвол перезапустить нельзя, если я делаю изменения - нужно >перезагружать сервер, иначе удаленно я на него уже не залезу. Ну >это ж не выход :( чтото вы делаете не так, потому как все нормально перегружается без перегрузке сервера и не завуисит от версии putty
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "IPFW в FreeBSD - прошу хэлпа!!!"
Сообщение от Александр (??) on 23-Июл-07, 09:36
ну у меня так: в конвиге ядра добавлены опции options IPFIREWALL # firewall options IPFIREWALL_VERBOSE # enable logging to syslogd(8) options IPFIREWALL_VERBOSE_LIMIT=100 # limit verbosity options IPFIREWALL_FORWARD # packet destination changes options IPDIVERT # divert sockets в rc.conf соответственно стоит firewall_enable="YES" firewall_script="/etc/rc.firewall" firewall_type="OPEN" natd_enable="YES" natd_interface="fxp0" вместо OPEN указываешь свой набор правил и никаких проблем с IPFW не возникало (ну если только с правилами иной раз чего нибудь нето сотворишь) если перелопатить все советы по IPFW в инете - получится тоже самое
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "IPFW в FreeBSD - прошу хэлпа!!!"
	Сообщение от netop on 23-Июл-07, 20:50
	>[оверквотинг удален] >firewall_type="OPEN" >natd_enable="YES" >natd_interface="fxp0" > >вместо OPEN указываешь свой набор правил > >и никаких проблем с IPFW не возникало (ну если только с правилами >иной раз чего нибудь нето сотворишь) >если перелопатить все советы по IPFW в инете - получится тоже самое > У меня все так-же, и если я работаю на этой-же машине, то все нормально. А вот удаленно - при перезапуски правил файрвола она тупо блочится. Я думаю - правила тут не причем.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "IPFW в FreeBSD - прошу хэлпа!!!"
	Сообщение от muhlik (??) on 23-Июл-07, 21:11
	>У меня все так-же, и если я работаю на этой-же машине, то >все нормально. А вот удаленно - при перезапуски правил файрвола она >тупо блочится. Я думаю - правила тут не причем. Мне кажется (под рукой нет фрюхи), если ты делаешь ./rc.firewall open (хотя как это можно сделать если файл не +x) то первым делом делается сброс всех правил и ты отваливаешься из-за этого, а дальше правила не грузятся так как отвалилась консоль, я перегружаю ifpw как положено ;-) /etc/rc.d/ipfw restart при это сначала ipfw вообще дизаблится (через sysctl) потом правила прописываются и потом включается обратно, все!!! ничего отвалиться не может ;-)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "IPFW в FreeBSD - прошу хэлпа!!!"
	Сообщение от netop on 23-Июл-07, 22:08
	>>У меня все так-же, и если я работаю на этой-же машине, то >>все нормально. А вот удаленно - при перезапуски правил файрвола она >>тупо блочится. Я думаю - правила тут не причем. > >Мне кажется (под рукой нет фрюхи), если ты делаешь ./rc.firewall open (хотя >как это можно сделать если файл не +x) Я сделал его +х > то первым делом >делается сброс всех правил и ты отваливаешься из-за этого, а дальше >правила не грузятся так как отвалилась консоль, я перегружаю ifpw как >положено ;-) >/etc/rc.d/ipfw restart >при это сначала ipfw вообще дизаблится (через sysctl) потом правила прописываются и >потом включается обратно, все!!! ничего отвалиться не может ;-) Спасибочки!!! Попробую сегодня, правда пересобрать ядро заново придется, думаю что все получится!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "IPFW в FreeBSD - прошу хэлпа!!!"
	Сообщение от hvosting (??) on 24-Июл-07, 01:57
	При удаленной работе с IPFW рекомендую a - работать в скринах (/usr/ports/sysutils/screen) b - всегда во время работы держать запущенный shutdown -r +10 когда время уже подпирает пристреливать его по killall shutdown и запускать опять, пока работа с IPFW не закончится. с - редактировать при этом сразу те скрипты, что будут отрабатываться автоматически при перезагрузке системы вредно для здоровья.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

10. "IPFW в FreeBSD - прошу хэлпа!!!"
Сообщение от Serjant (??) on 25-Июл-07, 13:34
>[оверквотинг удален] > >Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT >то все работает нормально, но в конце само добавляется правило >allow ip from any to any >и не могу закрыть все ненужное :( >в первом случае добавляется deny ip from any to any > >есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет, >ни разрешение? Чтобы можно было самому это добавлять - в скрипте. > При работе по ssh правила надо добавля с ключём -q Этот ключ подавляет вербозный, который и вешает всё. Правила-то сброшены, ssh отвалился (так как осталось только одно правило, запрещающее всё), вывод информации делать некуда.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]