IPFW и FTP

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Valmon
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-11-14 9:51:19

IPFW и FTP

Непрочитанное сообщение Valmon » 2007-11-14 10:17:48

Добрый день!
Есть правила для IPFW

Код: Выделить всё

[Ss][Ee][Rr][Vv][Ee][Rr])
        setup_loopback
        ${fwcmd} add pass tcp from any 22 to any
        ${fwcmd} add pass tcp from any to any 22
        ${fwcmd} add pass udp from any 53 to any
        ${fwcmd} add pass udp from any to any 53
        ${fwcmd} add pass tcp from any to any 20,21
        ${fwcmd} add pass tcp from any 20,21 to any
        ${fwcmd} add pass icmp from any to any
При установке из портов Фря ругается на то что не может скачать

Код: Выделить всё

ru-point# cd /usr/ports/www/apache22/
ru-point# make install clean

 To enable a module category: WITH_<CATEGORY>_MODULES  To disable a module category: WITHOUT_<CATEGORY>_MODULES

 Per default categories are:
  AUTH AUTHN AUTHZ DAV CACHE MISC
 Categories available:
  AUTH AUTHN AUTHZ CACHE DAV EXPERIMENTAL LDAP  MISC PROXY SSL SUEXEC THREADS

  To see all available knobs, type make show-options
  To see all modules in different categories, type make show-categories
  You can check your modules configuration by using make show-modules

===>  Vulnerability check disabled, database not found => httpd-2.2.3.tar.bz2 doesn't seem to exist in /usr/ports/distfiles/apache22.
=> Attempting to fetch from http://www.apache.org/dist/httpd/.
fetch: http://www.apache.org/dist/httpd/httpd-2.2.3.tar.bz2: Permission denied => Attempting to fetch from http://archive.apache.org/dist/httpd/.
fetch: http://archive.apache.org/dist/httpd/httpd-2.2.3.tar.bz2: Permission denied => Attempting to fetch from ftp://ftp.planetmirror.com/pub/apache/dist/httpd/.
fetch: ftp://ftp.planetmirror.com/pub/apache/dist/httpd/httpd-2.2.3.tar.bz2: Permission denied => Attempting to fetch from ftp://ftp.pop-mg.com.br/data/apache/dist/httpd/.
^Cfetch: transfer interrupted
И вылетает с ошибкой из установке
Но с firewall_type="OPEN" все скачивается и ставится прекрасно
В чем может быть косяк с правилами?

P.S. При закачке вручную с моими правилами все скачивается прекрасно по тем же ссылкам!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

PSdok
ст. сержант
Сообщения: 357
Зарегистрирован: 2006-10-05 18:27:56
Откуда: Нижний НОвгород

Re: IPFW и FTP

Непрочитанное сообщение PSdok » 2007-11-14 10:20:17

Код: Выделить всё

#---- разрешаем обновления портов
    ${fwcmd} add  allow all  from any to any 2401
    ${fwcmd} add  allow all  from any 2401 to any
    ${fwcmd} add  allow all  from any to any 5999
    ${fwcmd} add  allow all  from any 5999 to any

Valmon
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-11-14 9:51:19

Re: IPFW и FTP

Непрочитанное сообщение Valmon » 2007-11-14 11:10:59

tormozok писал(а):

Код: Выделить всё

#---- разрешаем обновления портов
    ${fwcmd} add  allow all  from any to any 2401
    ${fwcmd} add  allow all  from any 2401 to any
    ${fwcmd} add  allow all  from any to any 5999
    ${fwcmd} add  allow all  from any 5999 to any
Спасибо большое за помощь!
Знать не знал что порты сливаются по этим портам, я почемуто думал что по FTP

Valmon
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-11-14 9:51:19

Re: IPFW и FTP

Непрочитанное сообщение Valmon » 2007-11-14 11:15:31

А действительно нужен весь трафик по этим портам?
Может просто стоит ограничить на TCP

Valmon
мл. сержант
Сообщения: 132
Зарегистрирован: 2007-11-14 9:51:19

Re: IPFW и FTP

Непрочитанное сообщение Valmon » 2007-11-14 12:21:07

Не помогло!
ru-point# make install clean

Код: Выделить всё

ru-point# cd /usr/ports/databases/mysql51-server
ru-point# make install clean
===>  Vulnerability check disabled, database not found

You may use the following build options:

        WITH_CHARSET=charset    Define the primary built-in charset (latin1).
        WITH_XCHARSET=list      Define other built-in charsets (may be 'all').
        WITH_COLLATION=collate  Define default collation (latin1_swedish_ci).
        WITH_OPENSSL=yes        Enable secure connections.
        WITH_LINUXTHREADS=yes   Use the linuxthreads pthread library.
        WITH_PROC_SCOPE_PTH=yes Use process scope threads
                                (try it if you use libpthread).
        BUILD_OPTIMIZED=yes     Enable compiler optimizations
                                (use it if you need speed).
        BUILD_STATIC=yes        Build a static version of mysqld.
                                (use it if you need even more speed).
        WITH_NDB=yes            Enable support for NDB Cluster.

=> mysql-5.1.11-beta.tar.gz doesn't seem to exist in /usr/ports/distfiles/.
=> Attempting to fetch from ftp://ftp.easynet.be/mysql/Downloads/MySQL-5.1/.
fetch: ftp://ftp.easynet.be/mysql/Downloads/MySQL-5.1/mysql-5.1.11-beta.tar.gz: Permission denied
=> Attempting to fetch from ftp://ftp.fi.muni.cz/pub/mysql/Downloads/MySQL-5.1/.
fetch: ftp://ftp.fi.muni.cz/pub/mysql/Downloads/MySQL-5.1/mysql-5.1.11-beta.tar.gz: File unavailable (e.g., file not found, no access)
Обрезанно
fetch: http://download.softagency.net/MySQL/Downloads/MySQL-5.1/mysql-5.1.11-bet
a.tar.gz: Not Found
=> Attempting to fetch from ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/.
fetch: ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/mysql-5.1.11-beta.tar.g
z: No route to host
=> Couldn't fetch it - please try to retrieve this
=> port manually into /usr/ports/distfiles/ and try again.
*** Error code 1

Stop in /usr/ports/databases/mysql51-server.
Может быть все из за того что использую дефолтный скрипт?
Я просто добывил свою секцию в ee /etc/rc.firewall

Секция такая вот

Код: Выделить всё

[Ss][Ee][Rr][Vv][Ee][Rr])
        setup_loopback
        ${fwcmd} add pass tcp from any 22 to any
        ${fwcmd} add pass tcp from any to any 22
        ${fwcmd} add pass all from any to any 2401
        ${fwcmd} add pass all from any 2401 to any
        ${fwcmd} add pass all from any to any 5999
        ${fwcmd} add pass all from any 5999 to any
        ${fwcmd} add pass udp from any 53 to any
        ${fwcmd} add pass udp from any to any 53
        ${fwcmd} add pass tcp from any to any 20,21,80
        ${fwcmd} add pass tcp from any 20,21,80 to any
        ${fwcmd} add pass icmp from any to any
        ;;

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение dikens3 » 2007-11-14 12:23:54

Включай логи:
${fwcmd} add deny log all from any to any
И смотри в /var/log/security
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Гость
проходил мимо

Re: IPFW и FTP

Непрочитанное сообщение Гость » 2007-11-16 10:24:12

Очень быстро лог превзашел 100 строк (в ядре стоит options IPFIREWALL_VERBOSE_LIMIT=100) и дальше не пишет
Как почистить? Или отключить этот лимит без перезборки ядра

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35090
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение Alex Keda » 2007-11-16 10:26:33

Код: Выделить всё

squid# sysctl -a | grep fw.verbose
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
squid#  
Убей их всех! Бог потом рассортирует...

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение schizoid » 2007-11-16 10:40:25

почистить

Код: Выделить всё

ipfw resetlog
а какой тип указан в rc.conf?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Гость
проходил мимо

Re: IPFW и FTP

Непрочитанное сообщение Гость » 2007-11-16 11:36:27

schizoid писал(а):почистить

Код: Выделить всё

ipfw resetlog
а какой тип указан в rc.conf?
Тип чего?
Касательно ipfw там только

Код: Выделить всё

firewall_enable="YES"
firewall_type="SERVER"

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение schizoid » 2007-11-16 11:43:58

ну тада тока логи
а правила добавляются правильно?

Код: Выделить всё

ipfw show
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Гость
проходил мимо

Re: IPFW и FTP

Непрочитанное сообщение Гость » 2007-11-16 12:28:49

При установке из портов в логах

Код: Выделить всё

Nov 16 11:37:00 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:62578 62.243.72.50:63829 out via em0
Nov 16 11:37:05 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:53405 130.240.22.195:64262 out via em0
Nov 16 11:37:15 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:64164 210.171.226.46:60528 out via em0
Nov 16 11:37:18 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:50491 212.135.5.10:11120 out via em0
Это ip зеркал ftp.freebsd.org
Только вот ломится по разным портам, и не понятно что открывать

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение schizoid » 2007-11-16 12:48:40

ну и показал быб правила
ipfw show
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Гость
проходил мимо

Re: IPFW и FTP

Непрочитанное сообщение Гость » 2007-11-16 13:15:39

schizoid писал(а):ну и показал быб правила
ipfw show
Правила такие

Код: Выделить всё

00100   200   27374 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
00400 12473 1361872 allow tcp from any 22 to any
00500 12897 1171326 allow tcp from any to any dst-port 22
00600     0       0 allow ip from any to any dst-port 2401
00700     0       0 allow ip from any 2401 to any
00800     0       0 allow ip from any to any dst-port 5999
00900     0       0 allow ip from any 5999 to any
01000   157   26408 allow udp from any 53 to any
01100   160    9975 allow udp from any to any dst-port 53
01200   214   12939 allow tcp from any to any dst-port 20,21,80
01300   236   23185 allow tcp from any 20,21,80 to any
01400 21326 1262532 allow icmp from any to any
01500  5986  424169 deny log logamount 100 ip from any to any
65535     0       0 deny ip from any to any
Открыл порты каторые мне посаветоволи постом выше, толку нет

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение schizoid » 2007-11-16 13:34:03

allow tcp from me to any 1024-65535 out xmit em0 ?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Гость
проходил мимо

Re: IPFW и FTP

Непрочитанное сообщение Гость » 2007-11-16 13:57:41

schizoid писал(а):allow tcp from me to any 1024-65535 out xmit em0 ?
Тоесть добавить добавить такое правило ${fwcmd} add pass tcp from any 1024-65535 to any ?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPFW и FTP

Непрочитанное сообщение schizoid » 2007-11-16 14:01:34

неужели эти две строки одинаковые? :shock:
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Гость
проходил мимо

Re: IPFW и FTP

Непрочитанное сообщение Гость » 2007-11-16 22:46:43

schizoid писал(а):неужели эти две строки одинаковые? :shock:
Я не знаю, одно и тоже это или нет
Я с Фряхой занимаюсь 2 недели, а с фаерволом начал только разбератся

Так что, некто незнает по каким портам закачиваются порты