IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
MONSTR-SHEFF
проходил мимо

IPFW

Непрочитанное сообщение MONSTR-SHEFF » 2006-01-25 16:34:00

Вот такой трабля. Ставлю машину с нульки. Лезу в настройки сетевух, пишу ип, прошу сохранить, в конфиге пусто не сохранилось (написал в конфиг, ладно :cry: ) едим дальше начал настройку с ведра и фаера, пока в ведре не пропишеш, фаер не за пускается не подкаким соусом,(ни через rc.conf) собрал ведро с фаером, перезапуск и ни кто никуда неходит. IPFW SHOW пишит только одно правило 65``` ye и т.д. Конфиг брал сдесь же, и ведра (не полностью) и фаера (первую версию). Что может бы???

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-01-25 16:48:52

Я тебе ответил уже в комментах...
Вообще неплохо б говорить версию FreeBSD хотя б....
в /etc/rc.conf должно быть
firewall_type="/etc/rc.firewall"
Убей их всех! Бог потом рассортирует...

MONSTR-SHEFF
проходил мимо

Непрочитанное сообщение MONSTR-SHEFF » 2006-01-31 8:20:18

Удалите эту тему это позор моей седой головы (плохому тонцору яшки мешают)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-01-31 9:05:43

На самом деле - это не твоя ошибка, а моя, поэтому тему-то надо оставить....

Просто где-то между версиями 4.11 и 6.0 поменялся синтаксис rc.conf в этом пункте, и это не твоя вина.
Убей их всех! Бог потом рассортирует...

MONSTR-SHEFF
проходил мимо

IPFW

Непрочитанное сообщение MONSTR-SHEFF » 2006-02-05 14:40:36

ещё там есть пару не дочетов если взять весь конф то в некоторые сайты типа http://www.ru вообще не залезиш :? и как не пенгуй всеравно получиш тишину ну и соответсвенно не попадеш на некоторые сайтики которые со 192.168.*.*

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-05 15:10:51

Хм.. Насчё http://www.ru - всё нормально, а вот частные сетки снаружи зарублены сознательно - это не недочёт.

Почитай man ipfw - это оттуда
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-02-06 10:57:06

Цитата из статьи IPFW "
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any

если писать это правило, то зарубает ВСЕ (рубит весь Интернет). Вопрос : зачем вставлять это правило, если впереди как бы все разрешено ... а в конце все рубим ??? Может я чего-то не понимаю ??? Где логика ???

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-06 11:07:25

Roman писал(а):Цитата из статьи IPFW "
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any

если писать это правило, то зарубает ВСЕ (рубит весь Интернет). Вопрос : зачем вставлять это правило, если впереди как бы все разрешено ... а в конце все рубим ??? Может я чего-то не понимаю ??? Где логика ???
IPFW проверяет до первого совпадающего правила ,в котором есть allow или deny - после этого пакет из него уходит.

Предположим ,тебе засылают пакет ,который тебе не нужен, но он не подошёл ни к одному правилу?
Тогда всё зависит от того, какое правило последнее....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-06 11:17:45

и вообще - почитай ссылки в статье на хандбук...
там всё разжёвано....
Убей их всех! Бог потом рассортирует...

Roman
мл. сержант
Сообщения: 108
Зарегистрирован: 2006-01-22 15:51:57
Откуда: Россия

Непрочитанное сообщение Roman » 2006-02-06 13:13:03

Большое спасибо за разьяснение !!!

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Re: IPFW

Непрочитанное сообщение Yurok104 » 2006-06-14 18:30:25

MONSTR-SHEFF писал(а):Вот такой трабля. Ставлю машину с нульки. Лезу в настройки сетевух, пишу ип, прошу сохранить, в конфиге пусто не сохранилось (написал в конфиг, ладно :cry: ) едим дальше начал настройку с ведра и фаера, пока в ведре не пропишеш, фаер не за пускается не подкаким соусом,(ни через rc.conf) собрал ведро с фаером, перезапуск и ни кто никуда неходит. IPFW SHOW пишит только одно правило 65``` ye и т.д. Конфиг брал сдесь же, и ведра (не полностью) и фаера (первую версию). Что может бы???
Таже самая проблемка Фри 6,0 :?
в /etc/rc.conf
firewall_type="/etc/rc.firewall" и туда вписывать свои правила
не помогает
не видно файервола при загрузке
вот в манях нашел firewall_flags может сдесь чтото?
:?:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-14 18:37:49

more /etc/defaults/rc.conf писал(а):firewall_enable="NO" # Set to YES to enable firewall functionality
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="UNKNOWN" # Firewall type (see /etc/rc.firewall)
firewall_quiet="NO" # Set to YES to suppress rule display
firewall_logging="NO" # Set to YES to enable events logging
firewall_flags="" # Flags passed to ipfw when type is a file

Код: Выделить всё

uname -v
FreeBSD 6.1-RC #0: Sun Apr 30 10:04:53 MSD 2006     lissyara@lissyara.int.otradno.ru:/usr/obj/usr/src/sys/max-optimized.conf
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-19 15:29:44

firewall_type и firewall_script не победил. (гдето читал что на 6,0 - release0 это баг).
Запускаю из консоли настройки файервола.
Работало.
Установил SQUID
После этого при запуске с консоли файла с правилами
стало на строки
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
ругаться так
ipfw: getsockopt(IP_FW_ADD): Invalid argument;
Что это может быть?? (SQuid не разрешает менять после себя правила)
:roll:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-19 15:45:13

про фаер
http://www.lissyara.su/?id=1183 писал(а):# Поставьте YES для включения файрволла.
firewall_enable="NO"
# Скрипт файрволла (с правилами - а фактически обычный shell-скрипт)
firewall_script="/etc/rc.firewall"
# Тип файрволла (за подробностями - в дефолтовый /etc/rc.firewall)
firewall_type="UNKNOWN"
# Поставьте YES для подавления вывода правил файрволла на экран
firewall_quiet="NO"
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"
# Флаги ipfw, для случая, когда тип файрволла - файл (file).
firewall_flags=""
про fwd

Код: Выделить всё

cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-19 18:40:48

lissyara писал(а):про фаер
http://www.lissyara.su/?id=1183 писал(а):# Поставьте YES для включения файрволла.
firewall_enable="NO"
# Скрипт файрволла (с правилами - а фактически обычный shell-скрипт)
firewall_script="/etc/rc.firewall"
# Тип файрволла (за подробностями - в дефолтовый /etc/rc.firewall)
firewall_type="UNKNOWN"
# Поставьте YES для подавления вывода правил файрволла на экран
firewall_quiet="NO"
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"
# Флаги ipfw, для случая, когда тип файрволла - файл (file).
firewall_flags=""
про fwd

Код: Выделить всё

cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
я так понял чтоб из /etc/rc.firewall прочитать чтото с grep fwd надо сначала туда вписать эту строку${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}? и куда вписывать потому что там в разделе "UNKNOWN" только условия в дефолте (просто у меня правила в другом файле )

ipfw: getsockopt(IP_FW_ADD): Invalid argument; так и остался

Аватара пользователя
monstr-sheff
рядовой
Сообщения: 37
Зарегистрирован: 2006-06-16 18:55:23
Откуда: Из глухой деревни

Непрочитанное сообщение monstr-sheff » 2006-06-20 7:42:16

lissyara писал(а):про фаер
http://www.lissyara.su/?id=1183 писал(а):# Поставьте YES для включения файрволла.
firewall_enable="NO" Зыдесь "YES"
Даже если в ведре его нет он заработает

# Скрипт файрволла (с правилами - а фактически обычный shell-скрипт)
firewall_tape="/etc/rc.firewall"
# Тип файрволла (за подробностями - в дефолтовый /etc/rc.firewall)
firewall_type="open" Хоть маленькими хоть большими
# Поставьте YES для подавления вывода правил файрволла на экран
firewall_quiet="NO" тоже "YES"
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"
# Флаги ipfw, для случая, когда тип файрволла - файл (file).
firewall_flags=""
про fwd

Код: Выделить всё

cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} 
 
Про fwd А это можеш запихать перед правилом 50 ты его найдеш если откроеш дефолтовый и чючю прокрутиш там диверт стоит

А если хочеш подцепить свои правила тогда
firewall_tape="/etc/rc.firewall" - Это коментиш и пишиш
firewall_script="/etc/rc.твой фаил"
firewall_type="open" - Это тоже коментиш
и наконец /etc/netstart (чтоб не перезагружаться) и ipfw show и смотриш подключились твои правила или нет

Либо меняеш какоето правило или дополняеш свой firewall_script="/etc/rc.твой фаил" и пишиш sh /etc/rc.твой фаил и опять смотриш.

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 9:39:25

monstr-sheff писал(а):
lissyara писал(а):про фаер
про fwd

Код: Выделить всё

cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} 
 
Про fwd А это можеш запихать перед правилом 50 ты его найдеш если откроеш дефолтовый и чючю прокрутиш там диверт стоит
Либо меняеш какоето правило или дополняеш свой firewall_script="/etc/rc.твой фаил" и пишиш sh /etc/rc.твой фаил и опять смотриш
.................
................
указываю только
firewall_script="/etc/мой фаил" все остальное в коментах

Я очем и говорю: что из rc.conf не запускаеться ни при каких обстоятельствах, запускал вручную с консоли sh /etc/мойфайл, но теперь
так теперь (после установки SQUID ) не дает делать fwd для правила
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
выдает ошибку ipfw: getsockopt(IP_FW_ADD): Invalid argument;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 10:01:13

Yurok104 писал(а):${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
выдает ошибку ipfw: getsockopt(IP_FW_ADD): Invalid argument;
дай в нормальном виде правило, не с переменными, а с реальными значениями
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 10:55:39

lissyara писал(а):
Yurok104 писал(а):${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
выдает ошибку ipfw: getsockopt(IP_FW_ADD): Invalid argument;
дай в нормальном виде правило, не с переменными, а с реальными значениями
В файле настроек

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="ttyd1" # внешний интерфейс
LanIn="ed0" # внутренний интерфейс
IpOut="Мой Айпи внешний"
IpIn="192.168.0.47" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.0.0" # Внутренняя сеть
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
- по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
#${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add deny ip from any to any

если ввожу строкой
ipfw -f flush
ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.47/24 to any 80 via ttyd1
тоже самое

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 11:03:08

дай ifconfig
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 12:07:56

lissyara писал(а):дай ifconfig
ifconfig
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::280:adff:fe40:c58%ed0 prefixlen 64 scopeid 0x1
inet 192.168.0.47 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:80:ad:40:0c:58
media: Ethernet autoselect (10baseT/UTP)
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet 127.0.0.1 netmask 0xff000000
ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet Мой внешний фиксиров.айпи --> Айпи на провайдере(но не DNS) netmask 0xffffff00


ipfw show
00100 0 0 check-state
00200 55 4176 allow tcp from any to any established
00300 0 0 allow udp from any 53 to any via ttyd1
00400 0 0 allow udp from any to any dst-port 123 via ttyd1
00500 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 21 via ttyd1
00600 0 0 allow icmp from any to any icmptypes 0,8,11
00700 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 22 via ttyd1
00800 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 143 via ttyd1
00900 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 110 via ttyd1
01000 1 56 deny ip from any to any
65535 14 1205 deny ip from any to any

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 12:40:27

ну и где ты нашёл интерфейс с именем "ttyd1"?
Убей их всех! Бог потом рассортирует...

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 12:55:56

lissyara писал(а):ну и где ты нашёл интерфейс с именем "ttyd1"?
В том смысле чтоб везде вместо Ttyd1 (в RC.conf, в правилах файервола, сквида и т.д )использовать PPP0 ? ( TTyd1 - это xDSL модем )
Но... что само интересно :D с фрюхи при подключенном интернете (PPPD Ttyd1) и DNS пингуеться и сайты 8)

Yurok104
рядовой
Сообщения: 13
Зарегистрирован: 2006-06-14 17:54:40

Непрочитанное сообщение Yurok104 » 2006-06-20 14:23:09

Yurok104 писал(а):
lissyara писал(а):ну и где ты нашёл интерфейс с именем "ttyd1"?
В том смысле чтоб везде вместо Ttyd1 (в RC.conf, в правилах файервола, сквида и т.д )использовать PPP0 ? ( TTyd1 - это xDSL модем )
Но... что само интересно :D с фрюхи при подключенном интернете (PPPD Ttyd1) и DNS пингуеться и сайты 8)
Без разницы Фрюхе так понял хоть ppp0 хоть Ttyd1.
Всеравно ошибка на строку
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
ipfw: getsockopt(IP_FW_ADD): Invalid argument;
:?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-06-20 14:27:11

а если via ed0?
Убей их всех! Бог потом рассортирует...