фобия - uptime
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ефрейтор
- Сообщения: 53
- Зарегистрирован: 2007-02-20 0:06:30
фобия - uptime
да, у меня такая фобия, посему вопрос следующий
собственно, насколько я понимаю, при загрузки фаервола как модуля, мы по умолчанию имеем запрет на всё, и правила:
firewall_type="/etc/ipfw.conf
описанные в этом файле неработают, и заработают только после перезагрузки ?
но задача стоит включить фаервол, при этом сохранив uptime, поэтому:
kldload ipfw ipfw add 64000 allow ip from any to any,
имеем фаервол и неотваливаемся от ssh (да, мы всё это делаем удалённо, конечно), как в этом случае подгрузить те правила, что находятся в firewall_type="/etc/ipfw.conf, без перезагрузки ?
в сюда же второй вопрос, нужна ли строчка в rc.conf вида:
firewall_enable="YES", при условии, что фаервол вмонтирован в ядро ?
собственно, насколько я понимаю, при загрузки фаервола как модуля, мы по умолчанию имеем запрет на всё, и правила:
firewall_type="/etc/ipfw.conf
описанные в этом файле неработают, и заработают только после перезагрузки ?
но задача стоит включить фаервол, при этом сохранив uptime, поэтому:
kldload ipfw ipfw add 64000 allow ip from any to any,
имеем фаервол и неотваливаемся от ssh (да, мы всё это делаем удалённо, конечно), как в этом случае подгрузить те правила, что находятся в firewall_type="/etc/ipfw.conf, без перезагрузки ?
в сюда же второй вопрос, нужна ли строчка в rc.conf вида:
firewall_enable="YES", при условии, что фаервол вмонтирован в ядро ?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
подгрузить
тока, боюсь, с такой строкой сервер не загрузиться вообще:
с кавычками внимательней!!
======
вообще, rc.conf можно попробовать также
должен ничё не выдать и не ругнуться.
===========
до загрузки лучше сделать
так помоему звучит...
=============
по последнему - нужна, иначе не загрузит файрволл.
=============
а вообще на WEB-сервере файрволл - лишнее - лучше приложения грамотно настроить чтоб никто ничё лишего не слушал...
тока если как мера на случай отрубить кого совсем...
а так - не нужен...
Код: Выделить всё
sh /etc/ipfw.conf
Код: Выделить всё
firewall_type="/etc/ipfw.conf
======
вообще, rc.conf можно попробовать также
Код: Выделить всё
sh /etc/rc.conf
===========
до загрузки лучше сделать
Код: Выделить всё
ipfw disable firewall
=============
по последнему - нужна, иначе не загрузит файрволл.
=============
а вообще на WEB-сервере файрволл - лишнее - лучше приложения грамотно настроить чтоб никто ничё лишего не слушал...
тока если как мера на случай отрубить кого совсем...
а так - не нужен...
Убей их всех! Бог потом рассортирует...
-
- ефрейтор
- Сообщения: 53
- Зарегистрирован: 2007-02-20 0:06:30
спасибо, значит порядок действий такой:
1) в rc.conf
2) ipfw disable firewall
3) kldload ipfw ipfw add 64000 allow ip from any to any
4) sh /etc/файл с правилами
и всё работает исправно ?
вот без этого можно обойтись ? если просто вписать в файл, скажем, только это:
1) в rc.conf
Код: Выделить всё
firewall_enable="YES"
firewall_type="/etc/файл с пркавилами"
firewall_logging="YES"
3) kldload ipfw ipfw add 64000 allow ip from any to any
4) sh /etc/файл с правилами
и всё работает исправно ?
Код: Выделить всё
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="xl0" # внешний интерфейс
LanIn="sis0" # внутренний интерфейс
IpOut="222.222.222.222" # внешний IP адрес машины
IpIn="192.168.20.254" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.20.0" # Внутренняя сеть
Код: Выделить всё
add 1001 reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
add 1002 reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
add 1003 reject log tcp from any to any not established tcpflags fin
add 1004 deny log ip from any to any not verrevpath in
add 1005 allow ip from any to any setup limit src-addr 10
:::
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
не совсем.
файрволл - это просто шелл-скрипт.
поэтому надо указвать путь к ipfw
всякие LANin и LANout писать не обязательно - можно прям IP вбить.
=========
и лучше без номеров правил, если не используется какая-то хитрая система skip и прочего - если понадобиться находу добавить правило между ними - то придётся править файл...
=========
и ещё
вот с амперсандом на конце - корректне всего. иначе есть шанс отвалиться ))
========
но последнее актаульно без firewaall disable -так, на всякий случай
файрволл - это просто шелл-скрипт.
поэтому надо указвать путь к ipfw
всякие LANin и LANout писать не обязательно - можно прям IP вбить.
=========
и лучше без номеров правил, если не используется какая-то хитрая система skip и прочего - если понадобиться находу добавить правило между ними - то придётся править файл...
=========
и ещё
Код: Выделить всё
sh /etc/rc.firewall &
========
но последнее актаульно без firewaall disable -так, на всякий случай
Убей их всех! Бог потом рассортирует...
-
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2006-10-31 14:15:36
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
после 100 дней психологически становиться жалко. На себе проверял. ))
У меня по 200 с копейками бывает. Обычно - ~150 дней....
========
в двух филиалах серваки ребтнули с интервалом в неделю - оба за пару дней до 200 (
так жалко было. Почему жалко - не знаю )
А ребутнули - потому что не могли разобраться как ретартануть сервисы...
У меня по 200 с копейками бывает. Обычно - ~150 дней....
========
в двух филиалах серваки ребтнули с интервалом в неделю - оба за пару дней до 200 (
так жалко было. Почему жалко - не знаю )
А ребутнули - потому что не могли разобраться как ретартануть сервисы...
Убей их всех! Бог потом рассортирует...
-
- ефрейтор
- Сообщения: 53
- Зарегистрирован: 2007-02-20 0:06:30
хмм,lissyara писал(а): и лучше без номеров правил
тоесть я могу написать так:
Код: Выделить всё
kldload ipfw ipfw add allow ip from any to any
Код: Выделить всё
#!/bin/sh
net="192.0.2.0" (непонятно что)
mask="255.255.255.0" (маска)
ip="192.0.2.1" (реальный ip во внешнем мире)
add reject log tcp from any to any tcpflags fin, syn, rst, psh, ack, urg
add reject log tcp from any to any tcpflags !fin, !syn, !rst, !psh, !ack, !urg
add reject log tcp from any to any not established tcpflags fin
add deny log ip from any to any not verrevpath in
add allow ip from any to any setup limit src-addr 10
:::
Код: Выделить всё
ipfw ipfw add allow ip from any to any
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
- bakake
- сержант
- Сообщения: 265
- Зарегистрирован: 2006-11-21 14:04:58
Не рискну советовать, но я как человек деревянный, делаю новый фаервол отдельным файлом и сперва с ним эксперементирую. Предварительно запустив shutdown -r +10m.schizoid писал(а):я делаю так:
ipfw disable firewall
sh /etc/rc.firewall
ipfw enable firewall
при этом не выкидывает из ссх
ну и в начале конфига фаера ессесно обнуление всех правил, счетчиков, пайпов, очередей....
Ежели все пучком, копирую его на место штатного (который у меня firewall_type="/usr/local/etc/ipfw.conf") и делаю pkill shutdown. Впрочем, пара поездок в коллок на другом конце города в 11 вечера и подобная перестраховка уже не кажется такой уж глупостью