IPFW и FTP

[Valmon]

Добрый день!
Есть правила для IPFW

Код: Выделить всё

[Ss][Ee][Rr][Vv][Ee][Rr])
        setup_loopback
        ${fwcmd} add pass tcp from any 22 to any
        ${fwcmd} add pass tcp from any to any 22
        ${fwcmd} add pass udp from any 53 to any
        ${fwcmd} add pass udp from any to any 53
        ${fwcmd} add pass tcp from any to any 20,21
        ${fwcmd} add pass tcp from any 20,21 to any
        ${fwcmd} add pass icmp from any to any

При установке из портов Фря ругается на то что не может скачать

Код: Выделить всё

ru-point# cd /usr/ports/www/apache22/
ru-point# make install clean

 To enable a module category: WITH_<CATEGORY>_MODULES  To disable a module category: WITHOUT_<CATEGORY>_MODULES

 Per default categories are:
  AUTH AUTHN AUTHZ DAV CACHE MISC
 Categories available:
  AUTH AUTHN AUTHZ CACHE DAV EXPERIMENTAL LDAP  MISC PROXY SSL SUEXEC THREADS

  To see all available knobs, type make show-options
  To see all modules in different categories, type make show-categories
  You can check your modules configuration by using make show-modules

===>  Vulnerability check disabled, database not found => httpd-2.2.3.tar.bz2 doesn't seem to exist in /usr/ports/distfiles/apache22.
=> Attempting to fetch from http://www.apache.org/dist/httpd/.
fetch: http://www.apache.org/dist/httpd/httpd-2.2.3.tar.bz2: Permission denied => Attempting to fetch from http://archive.apache.org/dist/httpd/.
fetch: http://archive.apache.org/dist/httpd/httpd-2.2.3.tar.bz2: Permission denied => Attempting to fetch from ftp://ftp.planetmirror.com/pub/apache/dist/httpd/.
fetch: ftp://ftp.planetmirror.com/pub/apache/dist/httpd/httpd-2.2.3.tar.bz2: Permission denied => Attempting to fetch from ftp://ftp.pop-mg.com.br/data/apache/dist/httpd/.
^Cfetch: transfer interrupted

И вылетает с ошибкой из установке
Но с firewall_type="OPEN" все скачивается и ставится прекрасно
В чем может быть косяк с правилами?

P.S. При закачке вручную с моими правилами все скачивается прекрасно по тем же ссылкам!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[PSdok]

Код: Выделить всё

#---- разрешаем обновления портов
    ${fwcmd} add  allow all  from any to any 2401
    ${fwcmd} add  allow all  from any 2401 to any
    ${fwcmd} add  allow all  from any to any 5999
    ${fwcmd} add  allow all  from any 5999 to any

[Valmon]

Код: Выделить всё

#---- разрешаем обновления портов
    ${fwcmd} add  allow all  from any to any 2401
    ${fwcmd} add  allow all  from any 2401 to any
    ${fwcmd} add  allow all  from any to any 5999
    ${fwcmd} add  allow all  from any 5999 to any

Спасибо большое за помощь!
Знать не знал что порты сливаются по этим портам, я почемуто думал что по FTP

[Valmon]

А действительно нужен весь трафик по этим портам?
Может просто стоит ограничить на TCP

[Valmon]

Не помогло!
ru-point# make install clean

Код: Выделить всё

ru-point# cd /usr/ports/databases/mysql51-server
ru-point# make install clean
===>  Vulnerability check disabled, database not found

You may use the following build options:

        WITH_CHARSET=charset    Define the primary built-in charset (latin1).
        WITH_XCHARSET=list      Define other built-in charsets (may be 'all').
        WITH_COLLATION=collate  Define default collation (latin1_swedish_ci).
        WITH_OPENSSL=yes        Enable secure connections.
        WITH_LINUXTHREADS=yes   Use the linuxthreads pthread library.
        WITH_PROC_SCOPE_PTH=yes Use process scope threads
                                (try it if you use libpthread).
        BUILD_OPTIMIZED=yes     Enable compiler optimizations
                                (use it if you need speed).
        BUILD_STATIC=yes        Build a static version of mysqld.
                                (use it if you need even more speed).
        WITH_NDB=yes            Enable support for NDB Cluster.

=> mysql-5.1.11-beta.tar.gz doesn't seem to exist in /usr/ports/distfiles/.
=> Attempting to fetch from ftp://ftp.easynet.be/mysql/Downloads/MySQL-5.1/.
fetch: ftp://ftp.easynet.be/mysql/Downloads/MySQL-5.1/mysql-5.1.11-beta.tar.gz: Permission denied
=> Attempting to fetch from ftp://ftp.fi.muni.cz/pub/mysql/Downloads/MySQL-5.1/.
fetch: ftp://ftp.fi.muni.cz/pub/mysql/Downloads/MySQL-5.1/mysql-5.1.11-beta.tar.gz: File unavailable (e.g., file not found, no access)
Обрезанно
fetch: http://download.softagency.net/MySQL/Downloads/MySQL-5.1/mysql-5.1.11-bet
a.tar.gz: Not Found
=> Attempting to fetch from ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/.
fetch: ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/mysql-5.1.11-beta.tar.g
z: No route to host
=> Couldn't fetch it - please try to retrieve this
=> port manually into /usr/ports/distfiles/ and try again.
*** Error code 1

Stop in /usr/ports/databases/mysql51-server.

Может быть все из за того что использую дефолтный скрипт?
Я просто добывил свою секцию в ee /etc/rc.firewall

Секция такая вот

Код: Выделить всё

[Ss][Ee][Rr][Vv][Ee][Rr])
        setup_loopback
        ${fwcmd} add pass tcp from any 22 to any
        ${fwcmd} add pass tcp from any to any 22
        ${fwcmd} add pass all from any to any 2401
        ${fwcmd} add pass all from any 2401 to any
        ${fwcmd} add pass all from any to any 5999
        ${fwcmd} add pass all from any 5999 to any
        ${fwcmd} add pass udp from any 53 to any
        ${fwcmd} add pass udp from any to any 53
        ${fwcmd} add pass tcp from any to any 20,21,80
        ${fwcmd} add pass tcp from any 20,21,80 to any
        ${fwcmd} add pass icmp from any to any
        ;;

[dikens3]

Включай логи:

${fwcmd} add deny log all from any to any

И смотри в /var/log/security

[Гость]

Очень быстро лог превзашел 100 строк (в ядре стоит options IPFIREWALL_VERBOSE_LIMIT=100) и дальше не пишет
Как почистить? Или отключить этот лимит без перезборки ядра

[Alex Keda]

Код: Выделить всё

squid# sysctl -a | grep fw.verbose
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
squid#  

[schizoid]

почистить

Код: Выделить всё

ipfw resetlog

а какой тип указан в rc.conf?

[Гость]

почистить

Код: Выделить всё

ipfw resetlog

а какой тип указан в rc.conf?

Тип чего?
Касательно ipfw там только

Код: Выделить всё

firewall_enable="YES"
firewall_type="SERVER"

[schizoid]

ну тада тока логи
а правила добавляются правильно?

Код: Выделить всё

ipfw show

[Гость]

При установке из портов в логах

Код: Выделить всё

Nov 16 11:37:00 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:62578 62.243.72.50:63829 out via em0
Nov 16 11:37:05 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:53405 130.240.22.195:64262 out via em0
Nov 16 11:37:15 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:64164 210.171.226.46:60528 out via em0
Nov 16 11:37:18 ru-point kernel: ipfw: 1500 Deny TCP 89.208.43.57:50491 212.135.5.10:11120 out via em0

Это ip зеркал ftp.freebsd.org
Только вот ломится по разным портам, и не понятно что открывать

[schizoid]

ну и показал быб правила
ipfw show

[Гость]

ну и показал быб правила
ipfw show

Правила такие

Код: Выделить всё

00100   200   27374 allow ip from any to any via lo0
00200     0       0 deny ip from any to 127.0.0.0/8
00300     0       0 deny ip from 127.0.0.0/8 to any
00400 12473 1361872 allow tcp from any 22 to any
00500 12897 1171326 allow tcp from any to any dst-port 22
00600     0       0 allow ip from any to any dst-port 2401
00700     0       0 allow ip from any 2401 to any
00800     0       0 allow ip from any to any dst-port 5999
00900     0       0 allow ip from any 5999 to any
01000   157   26408 allow udp from any 53 to any
01100   160    9975 allow udp from any to any dst-port 53
01200   214   12939 allow tcp from any to any dst-port 20,21,80
01300   236   23185 allow tcp from any 20,21,80 to any
01400 21326 1262532 allow icmp from any to any
01500  5986  424169 deny log logamount 100 ip from any to any
65535     0       0 deny ip from any to any

Открыл порты каторые мне посаветоволи постом выше, толку нет

[schizoid]

allow tcp from me to any 1024-65535 out xmit em0 ?

[Гость]

allow tcp from me to any 1024-65535 out xmit em0 ?

Тоесть добавить добавить такое правило ${fwcmd} add pass tcp from any 1024-65535 to any ?

[schizoid]

неужели эти две строки одинаковые?

[Гость]

неужели эти две строки одинаковые?

Я не знаю, одно и тоже это или нет
Я с Фряхой занимаюсь 2 недели, а с фаерволом начал только разбератся

Так что, некто незнает по каким портам закачиваются порты