FreeBSD+IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Yevgeniy
проходил мимо

FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy » 2008-10-06 15:26:39

Здравствуйте у меня такая проблема
настраиваю ipfw после вкл его ложитса сетка(даже сервак неможет никуда ходить) настраивал по статье http://www.lissyara.su/?id=1127.
что характерно даже через ssh немогу достучатса к серваку хотя по примеру со статьи прописывал что бы пускало. Вот мой rc.firewall помогите плз уже 2 дня сижу ломаю голову в чем проблема зарание спасибо.

Код: Выделить всё

#!/bin/sh

FwCMD="/sbin/ipfw"

LanOut="nfe0"
NetOut="192.168.17.0/24"
IpOut="192.168.17.1"

LanIn="rl0"
NetIn="192.168.18.0/24"
IpIn="192.168.18.1"
ip_lan="192.168.18"

#Sbros schetchikov

${FwCMD} -f flush
${FwCMD} -f pipe flush
${FwCMD} -f queue flush

		#Scorost
#Allows to use more than 1 pipe for packet

/sbin/sysctl net.inet.ip.fw.one_pass=0

#Router

${FwCMD} add pipe 1 ip from ${IpOut} to ${NetIn}
${FwCMD} pipe 1 config bw 100Mbit/s
${FwCMD} add pipe 2 ip from ${NetIn} to ${IpOut}
${FwCMD} pipe 2 config bw 100Mbit/s
${FwCMD} add pipe 3 ip from any to any tcpflags ack iplen 0-128
${FwCMD} pipe 3 config bw 100Mbit/s
#${FwCMD} add allow ip from any to any via nfe0
#${FwCMD} add allow from any to any via rl0

#users 15Kbit

${FwCMD} pipe 4 config mask dst-ip 0xffffffff bw 15Kbit/s
${FwCMD} pipe 5 config mask src-ip 0xffffffff bw 15Kbit/s
${FwCMD} add pipe 4 ip from any to 192.168.1.3 out #To client
${FwCMD} add pipe 5 ip from 192.168.1.3 to any in  #From client

#Admins

${FwCMD} pipe 6 config mask dst-ip 0xffffffff bw 100Kbit/s
${FwCMD} pipe 7 config mask src-ip 0xffffffff bw 100Kbit/s
${FwCMD} add pipe 6 ip from any to 192.168.18.2,192.168.18.5,192.168.18.4 out #To client
${FwCMD} add pipe 7 ip from 192.168.18.2,192.168.18.5,192.168.18.4 to any in  #From client

#Razreshaem ves trafik v vnutri seti

${FwCMD} add allow ip from any to any via lo0

#Vvodim zapretu

${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

${FwCMD} add deny ip from ${NetIn} to any in via ${LanOut}

${FwCMD} add deny ip from ${NetOut} to any in via ${LanIn}

${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}

${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}

${FwCMD} add deny ip from any to 224.0.0.0/4 in via ${LanOut}

${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}

${FwCMD} add deny icmp from any to any frag

${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn} to any 80 via ${LanOut}

${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}

${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}

${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}

${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}

${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

${FwCMD} add allow icmp from any to any icmptypes 0,8,11

${FwCMD} add allow ip from any to ${NetIn} in via ${LanIn}

${FwCMD} add allow ip from ${NetIn} to any out via ${LanIn}

${FwCMD} add allow tcp from any to any established

#DNS

${FwCMD} add allow udp from any to ${IpOut} 53 in via ${LanOut}
${FwCMD} add allow udp from ${IpOut} 53 to any out via ${LanOut}
${FwCMD} add allow udp from any 53 to ${NetIn} in via ${LanIn}
${FwCMD} add allow udp from ${IpIn} to any 53 out via ${LanIn}

#Sinhronizaciy vremeny

${FwCMD} add allow udp from any to any 123 via ${LanOut}

#Razreshaem 53 port s narygu(DNS)

${FwCMD} add allow tcp from any to ${IpOut} 53 in via ${LanOut} setup

#www(Razreshaem 80 port s narygu)

${FwCMD} add allow tcp from any to ${IpOut} 80 in via ${LanOut} setup

#otkr 20 i 21 port dl9 aktivnogo FTP

${FwCMD} add allow tcp from any to ${IpOut} 20,21 in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} 20,21 in via ${LanOut} to any setup

#pochta

${FwCMD} add allow tcp from any to ${IpOut} 25 in via ${LanOut} setup

#SSH

${FwCMD} add allow tcp from 192.168.18.2 to ${IpIn} 22 in via ${LanIn} setup
${FwCMD} add allow tcp from any to ${IpOut} 22 in via ${LanOut} setup

#Pasivnuy FTP

${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}

# COUNTER-STRIKE

${FwCMD} add allow udp from any 27015-27025 to ${NetIn} in via ${LanOut}
${FwCMD} add allow udp from any 27015-27025 to ${NetIn} out via ${LanIn}
${FwCMD} add allow udp from ${NetIn} to any 27015-27025 in via ${LanIn}
${FwCMD} add allow udp from ${IpOut} to any 27015-27025 out via ${LanOut}

#Blok vseh ostal poputok soedineni9 s vneseneeem v LOG
${FwCMD} add deny log tcp from any to ${IpOut} in via ${LanOut} setup
${FwCMD} add allow tcp from ${IpOut} to any out via ${LanOut} setup
${FwCMD} add allow tcp from any to ${IpOut} in via ${LanIn} setup

########### BEGIN USERS   ###############################

#ICQ

${FwCMD} add allow tcp from ${NetIn} to any 5190 in via ${LanIn} setup

#INET

${FwCMD} add allow tcp from ${ip_lan}.1 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.2 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.3 to not ${NetIn} in via ${LanIn} setup
${FwCMD} add allow tcp from ${ip_lan}.4 to not ${NetIn} in via ${LanIn} setup

############# END USERS #################################

${FwCMD} add deny ip from any to any
Последний раз редактировалось hizel 2008-10-06 16:18:54, всего редактировалось 1 раз.
Причина: [code][/code]

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: FreeBSD+IPFW

Непрочитанное сообщение hizel » 2008-10-06 16:19:28

в таких случаях лучше ipfw show показывать
а также окружение, типа
netstat -rn
ifconfig
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Yevgeniy
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy » 2008-10-06 16:48:54

ifconfig

Код: Выделить всё

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=8<VLAN_MTU>
	ether 00:15:8a:02:a6:d1
	inet 192.168.18.1 netmask 0xffffff00 broadcast 192.168.18.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=10b<RXCSUM,TXCSUM,VLAN_MTU,TSO4>
	ether 00:15:f2:16:e2:2c
	inet 192.168.17.1 netmask 0xffffff00 broadcast 192.168.17.255
	media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
	status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1492
	inet 92.112.52.194 --> 195.5.5.184 netmask 0xffffffff 
	Opened by PID 399

netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            195.5.5.184        UGS         0  1956099   tun0
92.112.52.194      127.0.0.1          UH          0        0    lo0
127.0.0.1          127.0.0.1          UH          0        6    lo0
192.168.17.0/24    link#2             UC          0        0   nfe0
192.168.17.1       00:15:f2:16:e2:2c  UHLW        1      602    lo0
192.168.18.0/24    link#1             UC          0        0    rl0
192.168.18.2       00:19:db:ad:6c:48  UHLW        1       89    rl0    939
192.168.18.3       00:16:d4:4e:4f:9b  UHLW        1     6099    rl0    916
192.168.18.4       00:00:e2:54:dd:c2  UHLW        1  3263130    rl0    643
195.5.5.184        92.112.52.194      UH          0        0   tun0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#4                        UHL         lo0
ff01:4::/32                       fe80::1%lo0                   UC          lo0
ff01:5::/32                       link#5                        UGC        tun0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0
ff02::%tun0/32
Последний раз редактировалось manefesto 2008-10-06 16:49:41, всего редактировалось 1 раз.
Причина: ужость

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD+IPFW

Непрочитанное сообщение manefesto » 2008-10-06 16:51:38

ТопикстартерУ:
Сам написать свой фарйвол не пробовал?
копипаст не есть панацея от всех несчастий.
я такой яростный шо аж пиздеЦ
Изображение

Yevgeniy
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy » 2008-10-06 17:00:25

Я бы может и написал бы если б разбиралса, но я не тупо передрал его я понимал что пишу во всяком случаи догадивалса к чему это относитса, я понимаю что мои вопросы кажутса Вам смешними но я с юниксами неработал раньше, книгами обложилса так что меня на работе уже не узнают :roll: хендбук мне вообще снитса, Сначало все ишло нормально настроил ДНС все поднилось пока не дошол до фаирвола, когда я вкл фаирвол то сервак мой нивидет даже ДНС провайдера и внутреней сетки я думаю что я сам сервак закрыл просто может неправельно интерфейсы прописал, или с переменными напутал

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD+IPFW

Непрочитанное сообщение manefesto » 2008-10-06 17:04:10

ну вот ты взял готовый фаер.
В котором ты не всё понимаешь.
Состряпай файр снуля.
я такой яростный шо аж пиздеЦ
Изображение

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-06 17:19:39

можно тогда спросить правило 1 и 2 правельно написано поидеи если я правильно понял я откр свой сервак ходить в внут сетки к внешнему айпишнику нужно ли мне дописывать правило типа?????

Код: Выделить всё

 {FwCMD} add allow ip any to any via nfeo

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD+IPFW

Непрочитанное сообщение manefesto » 2008-10-06 17:27:24

Это не внутри сети, это localhost
#Razreshaem ves trafik v vnutri seti

${FwCMD} add allow ip from any to any via lo0
а как ты написал....да...правильно
я такой яростный шо аж пиздеЦ
Изображение

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-06 17:36:51

Спасибо я кажетса понял
тоисть мне нужно прописать разрешения для внут сетки еще можно написать типа

Код: Выделить всё

 {FwCMD} add allow any to any via rl0
(rl0 внутренний интерфейс смотрит в локалку)
а правило

Код: Выделить всё

 {FwCMD} add allow any to any via nfe0
(nfe0 интерфейс смотрит в инет)
тем самым первое правило окрывает трафик внутри сети а второе окрыв трафик снаружи,
Тогда вполне логично почесу у меня ничего не работало,
Я все правильно понимаю???

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD+IPFW

Непрочитанное сообщение manefesto » 2008-10-06 17:39:32

слушай....может я те свой конфиг дам...а?
У меня проще
я такой яростный шо аж пиздеЦ
Изображение

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-06 17:43:23

Давай если тебе не трудно вышли плз на мыло
mk_geka@ukr.net
или здесь на форуме выложи

огромное спасибо

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-07 10:36:28

Ребята у менятакой вопрос єможно ли так писать правила на ограничение скорости?????

Код: Выделить всё

$fw add 10010 allow tcp from any to any 80 out via $internet_if setup keep-state
$fw add 10020 allow tcp from any to any 8080 out via $internet_if setup
keep-state
$fw 10010 config mask dst-ip 0xffffffff bw 15Kbit/s
$fw 100200 config mask dst-ip 0xffffffff bw 15Kbit/s

Temich
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Temich » 2008-10-07 12:20:47

У меня вот какой вопрос, IPFW создает динамичесские правила но не отображает IP адреса источника и адреса назначения
## Dynamic rules (249):
02000 299 136529 (300s) STATE ip UNKNOWN <-> UNKNOWN
02200 31 22135 (245s) STATE ip UNKNOWN <-> UNKNOWN
02200 49 36340 (245s) STATE ip UNKNOWN <-> UNKNOWN
Правила фаера:

Код: Выделить всё

vnu='vr0'
vnun='10.10.0.0/24'
virteks='192.168.1.0/24'
virteksif='xl0'
vne='vr1'
cmd='/sbin/ipfw -q'
ks='keep-state'
mailru='2041-2044,110'
ouip='xxx.xxx.xxx.xxx'

/var/db/rrd/create_base #Трем базу статистики, а то глючит скотина....

$cmd -f flush
$cmd -f pipe flush
$cmd -f nat flush

# Передаем инфу о трафике считалке
$cmd add count all from any to any in via $vne
$cmd add count all from any to any out via $vne
$cmd add count all from any to any out via $virteksif

# Настройка ната для виртекса
$cmd nat 1 config if $vne log redirect_port tcp 192.168.1.80:4899 4899
$cmd add nat 1 tcp from any to $ouip 4899 via $vne
$cmd add nat 1 tcp from 192.168.1.80 4899 to any via $virteksif
$cmd add allow tcp from any to 192.168.1.80 4899 via $virteksif

# Настройка ната для торрента
$cmd nat 3 config if $vne log redirect_port tcp 10.10.0.35:36151 36151
$cmd add nat 3 tcp from any to $ouip 36151 via $vne
$cmd add nat 3 tcp from 10.10.0.35 36151 to any via $vnu
$cmd add allow tcp from any to 10.10.0.35 36151 via $vnu

# Настройка общего ната
$cmd nat 2 config if $vne log
$cmd add nat 2 ip from any to any via $vne


#Разрешаем пинги
$cmd add allow icmp from any to any in via $vne icmptypes 0,3,8,11
$cmd add allow icmp from any to any out via $vne
$cmd add allow icmp from any to any via $vnu

#Разрошение на соединение, не прерывать соединение и получение фрагментир покетов
#$cmd add allow all from $ouip to any out via $vne setup
#$cmd add allow tcp from any to any established
#$cmd add allow tcp from any to any frag

$cmd add reject ip from $vnun to any in via $vne
$cmd add reject ip from $vnun to $virteks
$cmd add reject ip from $virteks to $vnun
$cmd add allow all from any to any via lo0 $ks
$cmd add check-state

# Резалка скорости
$cmd add queue 20 ip from any to $virteks via $virteksif        #Указываем что к Виртексу будет применен шейп
$cmd queue 20 config pipe 10 mask dst-ip 0xffffffff             #Ссылаемся на скорость шейпа и способ создания очередей
$cmd pipe 10 config bw 4Mbit/s                                  #Собственно сама скорость шейпа


$cmd add allow all from me to any $ks
$cmd add allow all from $vnun to me 22,53,80,3129,3306,20001,10000 in via $vnu $ks      #Админские штучки
$cmd add allow all from $vnun to me 3128 in via $vnu $ks                        #Доступ к проксе
$cmd add allow all from 10.10.0.35 to not me $ks                                #Типа шлюз для админского компа
$cmd add allow all from 10.10.0.24 to any $ks                           #Типа шлюз для админского компа
$cmd add allow all from $vnun to any 5190 $ks                                   #Аська... куда же без нее
$cmd add allow all from $vnun to any $mailru $ks                                #Маил агент.....
$cmd add allow all from $virteks to me 53,80 in via $virteksif $ks              #Доступ Виртекса к сервачку
$cmd add allow all from $virteks to not me $ks                                  #Пускаем Виртекс наружу по всем портам
и в итоге получается вообще нереальная весч... на внешнем интерфейсе открыты все порты... может кто подскажет в чем я не прав?

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD+IPFW

Непрочитанное сообщение manefesto » 2008-10-07 16:43:39

блин....мне так нравится....кидают готовый конфиг фаервола где-то содранный, да еще оформляют отвратительно и хотят чтобы все сходу въехали и помогли.
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: FreeBSD+IPFW

Непрочитанное сообщение manefesto » 2008-10-07 16:46:32

в догонку....почему правила не пронумерованы?
как будешь искать где ошибка ?
я такой яростный шо аж пиздеЦ
Изображение

Temich
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Temich » 2008-10-08 7:48:58

Не буду врать, что то содрано, а что то и выстрадано... по поводу нумерации, так они сами по себе нумеруются и если надо, то номера вилны по ipfw show.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: FreeBSD+IPFW

Непрочитанное сообщение hizel » 2008-10-08 9:05:25

Код: Выделить всё

$cmd add allow all from any to any via lo0 $ks
зачем динамика на петле?

Код: Выделить всё

$cmd add check-state
все динамические правила отрабатыватся по первому keep-state или при вхождении check-state
следовательно эта строчка в вашем случае не нужна, если только вы не отрубите keep-state на петле
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-08 14:03:02

Никто не знает что означает эта ошибка???

Код: Выделить всё

routed[562] ignore RTM_GHENGE without mask 
И еще а где мона посмотреть логи работы ipfw???(на какие сайти ходит ошибки и так далее)

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-08 14:22:21

Ребята никто не знает что это за ошибки?
вот мой лог ошибок посмотрите плз

Код: Выделить всё

Oct  8 10:01:42 sdpi-net ppp[401]: tun0: Warning: 0.0.0.0/0: Change route failed: errno: No such process
Oct  8 10:01:42 sdpi-net ppp[401]: tun0: Warning: ff02:5::/32: Change route failed: errno: Network is unreachable
Oct  8 10:01:42 sdpi-net routed[562]: ignore RTM_CHANGE without mask
Oct  8 11:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 11:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
Oct  8 12:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 12:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
Oct  8 12:14:03 sdpi-net sshd[1162]: error: PAM: authentication error for admin from 192.168.18.2
Oct  8 12:14:13 sdpi-net su: admin to root on /dev/ttyp0
Oct  8 13:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 13:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
Oct  8 13:42:06 sdpi-net su: admin to root on /dev/ttyp0
Oct  8 14:01:05 sdpi-net named[696]: could not listen on UDP socket: permission denied
Oct  8 14:01:05 sdpi-net named[696]: creating IPv4 interface tun0 failed; interface ignored
И подскажите где можно посмотреть лог работы ipfw(на какие сайти ходит, какие ошибки бьет и так далее)

Зарание спасибо

Temich
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Temich » 2008-10-08 15:04:20

Спасибо Вам hizel, это поменял, но вот в чем причина того, что динамические правила не имеют IP адресов?

Код: Выделить всё

## Dynamic rules (309):
03700     394     64587 (196s) STATE ip UNKNOWN <-> UNKNOWN
04000      66     57128 (298s) STATE ip UNKNOWN <-> UNKNOWN
04000      76     57394 (299s) STATE ip UNKNOWN <-> UNKNOWN
03700       1        80 (1s) STATE ip UNKNOWN <-> UNKNOWN

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-09 13:26:19

Ребята кто знает что это за ошибка и как её исправить
Ругаетса при запуске Squid(ругаетса на строчки в файлике squid.conf)

Код: Выделить всё

line 38 unrecognized: httpd_accel_host_virtual
Зарание спасибо

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: FreeBSD+IPFW

Непрочитанное сообщение hizel » 2008-10-09 13:30:22

Temich
вы таймауты на динамику не крутили?

Yevgeniy1
версию сквида и текущий конфиг бы привели для ясночти, а пока понятно, что опция не правильная )
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-09 13:49:41

Версия сквида у меня 2,6,6 за основу брал статью http://www.lissyara.su/?id=1026
вот мой конфиг

Код: Выделить всё

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 222.222.222.222
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/etc/squid/redirector.pl
redirect_children 10

acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       \
"/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl     limited_IP      src             \
"/usr/local/my_doc_smb/squid/limited_IP.conf"
acl     localhost       src             127.0.0.0/8
acl     our_networks    src             192.168.0.0/24
#acl    denied_sites    dstdomain       \
#"/usr/local/my_doc_smb/squid/denied_ext.conf"
#http_access    deny    denied_sites
http_access     allow   allowed_sites
http_access     deny    limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_uses_host_header on

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid


Yevgeniy1
проходил мимо

Re: FreeBSD+IPFW

Непрочитанное сообщение Yevgeniy1 » 2008-10-09 13:50:54

Айпишники я изминил у себя

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: FreeBSD+IPFW

Непрочитанное сообщение hizel » 2008-10-09 13:59:21

это для древнего squid-а
сейчас прозрачный прокси подругому настраивается :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.