IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 14:32:40

lissyara писал(а):а если via ed0?
ed0 - это сетевуха на внутреннюю сеть. на внешнюю TTyd1 - это xDSL модем
Я просто счас подумал а как поднять модем (выполнив PPPD TTYD1) до того как начнет
работать rc.conf?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 14:34:11

lissyara писал(а):а если via ed0?
а всё таки? меня не интересует - заработает или нет, а то,ругань будет или нет
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 15:19:49

lissyara писал(а):
lissyara писал(а):а если via ed0?
а всё таки? меня не интересует - заработает или нет, а то,ругань будет или нет
Тот же самый инвалид :( . Сто %- сквид не дает!

а по поводу поднятия модема до rc.conf- возможно???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 15:26:02

Код: Выделить всё

options         IPFIREWALL_FORWARD
в ядре есть?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 15:26:45

http://www.lissyara.su/?id=1127

Код: Выделить всё

options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле 
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на 
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость 
                                         # инета пользователям (обычно - да :))
options         IPFIREWALL_DEFAULT_TO_ACCEPT  # дефолтовое правило (последнее)
                                           # будет разрешающим (во всех других)
                                           # случаях - запрещающее
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 15:38:13

lissyara писал(а):http://www.lissyara.su/?id=1127

Код: Выделить всё

options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле 
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на 
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость 
                                         # инета пользователям (обычно - да :))
options         IPFIREWALL_DEFAULT_TO_ACCEPT  # дефолтовое правило (последнее)
                                           # будет разрешающим (во всех других)
                                           # случаях - запрещающее
Точно помню пересобирал ядро с следующими опциями
#Включение файрвола
options IPFIREWALL
#Дополнительные возможности для отслеживания сетевого трафика.
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT="32"
#Поддержка перенаправления портов (для NAT)
options IPDIVERT
options IPSTEALTH
#Следующие опции затрудняют сканирование портов сервера
options TCP_DROP_SYNFIN
А тут форварда(options IPFIREWALL_FORWARD ) и нет :oops:.
Или подождите это только для прозрачного прокси?

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 16:34:31

lissyara писал(а):http://www.lissyara.su/?id=1127

Код: Выделить всё

options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле 
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на 
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость 
                                         # инета пользователям (обычно - да :))
options         IPFIREWALL_DEFAULT_TO_ACCEPT  # дефолтовое правило (последнее)
                                           # будет разрешающим (во всех других)
                                           # случаях - запрещающее
А если всетаки делать прокси не прозрачный без опции options IPFIREWALL_FORWARD обойтись можно???
Если можно то как ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 16:39:38

ты что вводишь?
ipfw add fwd
ну так нужна опция в ядре:
IPFIREWALL_FORWARD
или нет?
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 16:54:19

lissyara писал(а):ты что вводишь?
ipfw add fwd
ну так нужна опция в ядре:
IPFIREWALL_FORWARD
или нет?
Да. У меня в правилах ipfw add fwd
Да. Я понял для этого нужна опция в ядре: IPFIREWALL_FORWARD
Но не понял : это только для прозрачного прокси (мне он не очень нужен и да и ядро цел день пересобирать не хочеться) и обычный прокатит (всеравно в инет через модем а не сетевуху).
Как сделать обычный прокси на SQUID - прочитал в http://www.lissyara.su/?id=1026 сейчас попробую

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2006-06-21 15:19:22

Настрил ipfw и возник вопрос.
Как проверить правильность его работы? Шела у меня нигде нет. А онлайнового сканера портов из инета не нашел.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-21 15:37:09

отсканить снаружи....
Убей их всех! Бог потом рассортирует...

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2006-06-21 15:41:04

lissyara писал(а):отсканить снаружи....
Я же говорю, что нет шела :(

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-21 20:23:32

ну так огласи IP - мы посканим :)))
Убей их всех! Бог потом рассортирует...

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2006-06-22 9:01:50

lissyara писал(а):ну так огласи IP - мы посканим :)))
Да нашел я уже онлайн сканер :)
Еще появился один вопрос, а как прикрыть нат для всех внутри сети и оставить только для определенных машин?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-22 10:20:45

ну так не сетку укажи а эти IP
Убей их всех! Бог потом рассортирует...

BAV_Lug
сержант
Сообщения: 299
Зарегистрирован: 2006-06-02 15:38:28
Откуда: Харьков

Непрочитанное сообщение BAV_Lug » 2006-06-22 12:11:57

lissyara писал(а):ну так не сетку укажи а эти IP
Ты меня видимо не понял. Я хочу, чтобы натом погли пользоваться только определенные машины в сети. А остальным он был не досупен. Как это сделать?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-22 12:39:52

я тебе ответил
Убей их всех! Бог потом рассортирует...

chip
рядовой
Сообщения: 14
Зарегистрирован: 2009-02-25 15:22:19

Re: IPFW

Непрочитанное сообщение chip » 2009-02-27 23:56:21

такой вопрос, файл ipfw.conf, который указан в rc.conf (firewall_type="/etc/ipfw.conf")

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"
при выполнении netstart выдает ошибку Line 2: bad command `fwcmd="/sbin/ipfw"', и дальше правила не грузятся ...

Код: Выделить всё

netstart
devd already running? (pid=572).
...
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Line 2: bad command `fwcmd="/sbin/ipfw"'
права на выполнение есть ...

Код: Выделить всё

[root@bsd ~]# ls /etc| grep ipfw.conf
-rwxr-xr-x  1 root  wheel       897 Feb 27 19:37 ipfw.conf
когда коментирую эту строку, правила со статическими номерами подгужаются, и работают. прописаны вот в таком виде:

Код: Выделить всё

00401 add pass icmp from 1.1.1.0/24 to any via le1
00402 add pass icmp from any to 1.1.1.0/24 via le1
Спасибо за ответ.

а, еще

Код: Выделить всё

[root@bsd ~]# uname -a
FreeBSD bsd.localdomain 7.0-RELEASE FreeBSD 7.0-RELEASE #1: Fri Feb 27 15:11:02 EET 2009     root@bsd.localdomain:/usr/obj/usr/src/sys/MY_KER2  i386

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW

Непрочитанное сообщение paradox » 2009-02-28 0:09:51

Код: Выделить всё

firewall_type=
наскоко я помню никогда небыл путем к скрипту
может все таки

Код: Выделить всё

firewall_script="/etc/rc.firewall"
и мануальчик почитаем?

chip
рядовой
Сообщения: 14
Зарегистрирован: 2009-02-25 15:22:19

Re: IPFW

Непрочитанное сообщение chip » 2009-02-28 0:20:48

хм, а в статье Лиса
http://www.lissyara.su/?id=1127 писал(а):firewall_type="/etc/rc.firewall" - файл с правилами файрволла
но вы правы, все решилось :) не мог предположить что в таком месте могут быть опечатки, тем более что статья не новая ...

Аватара пользователя
f_andrey
майор
Сообщения: 2644
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

Re: IPFW

Непрочитанное сообщение f_andrey » 2009-02-28 0:28:22

chip писал(а):хм, а в статье Лиса
http://www.lissyara.su/?id=1127 писал(а):firewall_type="/etc/rc.firewall" - файл с правилами файрволла
но вы правы, все решилось :) не мог предположить что в таком месте могут быть опечатки, тем более что статья не новая ...
Опечатки могут быть везде и всегда, а уж тут статьи зачастую пишутся не гениями мысли :)
Так что лучше сверятся с документацией, прежде чем что то делать, могут элементарно меняться значения в зависимости от версий, ну или появятся новые более эффективные приемы.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPFW

Непрочитанное сообщение paradox » 2009-02-28 0:29:06

статью поправим
может правда на 4 было и так, не помню
но на 7 уже подругому

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW

Непрочитанное сообщение Alex Keda » 2009-02-28 0:36:25

статья под 4.11 написано.
все моменты что изменились - уже есть в камментах....
Убей их всех! Бог потом рассортирует...

chip
рядовой
Сообщения: 14
Зарегистрирован: 2009-02-25 15:22:19

Re: IPFW

Непрочитанное сообщение chip » 2009-02-28 0:45:41

lissyara писал(а):статья под 4.11 написано.
все моменты что изменились - уже есть в камментах....
но я не дошел до чтения каментов
не хочу показаться невежливым, но может стоит внести прямо в статью поправку о том, что в 7 версии нужно писать firewall_script, думаю не я один с этим столкнулся.
В любом случае спасибо вам за статью :good:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPFW

Непрочитанное сообщение Alex Keda » 2009-02-28 2:19:27

та незачто.
её в архив надо двинуть уже...
старая совсем. уже и нат ядрёный есть...
Убей их всех! Бог потом рассортирует...