не могу настроть шлюз на FreeBSD 6.2

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение Morty » 2008-03-07 13:14:40

хозяин - барин :wink:
у меня всё получаеться как описал выше
в rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/firewall"
firewall_quiet="YES"
и правишь файл /etc/firewall
сразу проверяешь , смотришь если что кудато log вставить можно

Код: Выделить всё

#sh /etc/firewall
всё просто удобно и красиво
для базы можно взять работу Лисяры - скрипт в татье тут http://www.lissyara.su/?id=1127
(либо писать самому, либо так же как было сказано взять нужную секцию правил из системного файла и перенести его в свой файл)
и править либо не править до тех пор пока не понравиться самому

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-07 15:19:08

1 - насчет команды перегрузки правил оч удачно, я подозревалд что это как то можно сделать )) спасибочки ))
насчет дефолтного - я отвечал, мне бы не хотел менять дефолтный файл

2 - узнав у того кто настраивал, а он дает минимум информации по направлению поиска )) сделал вывод о следующем

в rc.firewall (радуйтесь сбылось )))) ) добавлена строчка /bin/sh ${firewall_type}

в rc.conf есть
firewall_type="/etc/rc.fw.conf"

а в нем уже шеловый скрипт

прально мыслю ? и потому скрипт мой уже исполняеться на шеле?


3 - ну а ежели не выкобениваться, то можно сделать стандартным образом, по схеме приведенной сегодня днем! (за что отдельное спасибо, про стуктуру я не нашел ни слова, а все пишут как им вздумаеться, в смысле порядка, додуамть правильный порядок это уже отдельное ноу хау)

4 - где искать теперь логи файрвола, и какой параметр и где надо передавать чтобы они включились ? о логах тож не могу найти инфу!

5 - смейтесь я герой, я сменил шел по умолчанию руту, но указав путь которого не существует, теперь меня ясен пень не пускает рутом )) че делать ? :D

6 - не могу понять, чем различаються firewall_type и firewall_script если и там и там могу указать путь к скрипту! :?
Самурай без меча подобен самураю с мечом но только без меча.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-07 15:28:32

да и самое крутое.. в рабочем конфиге нашёл вот что, и это же есть в rc.firewall

тока я не могу понят, что это делает ? зачем это нуждно ? в каком момент пригодиться ?

Код: Выделить всё

# Suck in the configuration variables. [b](особено удивляет сак.. [b]да, я знаю только одно значение этого слова![/b])[/b]
if [ -z "${source_rc_confs_defined}" ]; then
        if [ -r /etc/defaults/rc.conf ]; then
                . /etc/defaults/rc.conf
                source_rc_confs
        elif [ -r /etc/rc.conf ]; then
                . /etc/rc.conf
        fi
fi 

Код: Выделить всё

if [ -n "${1}" ]; then
        firewall_type="${1}"
fi

############
# Set quiet mode if requested
#
case ${firewall_quiet} in
[Yy][Ee][Ss])
        fwcmd="/sbin/ipfw -q"
        ;;
*)
        fwcmd="/sbin/ipfw"
        ;;
esac 

Код: Выделить всё

*)
        if [ -r "${firewall_type}" ]; then
                #${fwcmd} ${firewall_flags} ${firewall_type}
                /bin/sh ${firewall_type}
        fi
        ;;
esac 

вот!
Самурай без меча подобен самураю с мечом но только без меча.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение Morty » 2008-03-07 15:34:27

firewall_type - укзываеш какой блок правил юзать из шаттаного скрипат rc.firewall
firewall_script - указываешь путь на насвой скрипт со своим набором правил

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-07 20:35:05

ну а желеи я указываю firewall_type и путь ? тогда что происходит ?
Самурай без меча подобен самураю с мечом но только без меча.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение dikens3 » 2008-03-07 21:44:03

emoxam писал(а):ну а желеи я указываю firewall_type и путь ? тогда что происходит ?
Тогда по указанному пути ищется соответствующий тип, которого там нет.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 12:58:06

1 и потому у лисяры
firewall_type="/etc/rc.firewall" - файл с правилами файрволла ?
по адресу http://www.lissyara.su/?id=1127 ?

2 какие из этих команд нужны на 6.2 ?

Код: Выделить всё

cd /usr/src
make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=MYKERNEL

cd /usr/src/sys/compile/MYKERNEL
cd ../compile/MYKERNEL
make depend && make && make install 
в раных местах по разному!!!

3 как посваить мс ? через sysinstall Он ставиться перестал!
через pkg_add ругаеться на +CONTENTS
с чего вдруг то ?
Самурай без меча подобен самураю с мечом но только без меча.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение Morty » 2008-03-23 14:06:49

Код: Выделить всё

1 и потому у лисяры
firewall_type="/etc/rc.firewall" - файл с правилами файрволла ?
по адресу http://www.lissyara.su/?id=1127 ?
статья размещалась 2 года назад - может тогда и было правильно так
по поводу
firewall_type
firewall_script
описано в хэндбуке - что есть что
http://www.freebsd.org/doc/en_US.ISO885 ... -ipfw.html
2 какие из этих команд нужны на 6.2 ?

Код: Выделить всё

cd /usr/src
make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=MYKERNEL

cd /usr/src/sys/compile/MYKERNEL
cd ../compile/MYKERNEL
make depend && make && make install 
в раных местах по разному!!!
и тот и другой вариант правильный, 1ый сборка "по новому стилю"
2ой - сборка ядра по старинке (для 6.2. любой вариант рабочий)
3 как посваить мс ? через sysinstall Он ставиться перестал!
через pkg_add ругаеться на +CONTENTS
с чего вдруг то ?
как ставил ? пакетом ? или из портов ?
в любом сл. удаляешь порт (make deinstall) или пакет (pkg_delete вроде)
и ставь по новой из портов

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 14:49:15

при первом варианте после ребут uname -a сказало что ядро GENERIC
так что пользуюсь вторым )

если пытаюсь через sysinstall он пишет что не могет найти index
а если через pkg_add (после fetch или до не важно) пишет что не найден +CONTENTS

сдается мне ругань на то что не найден +CONTENTS идет потому что я не поставил при установке Linux compability.. а как же его поставить сейчас ? или как его запустить ? как быть ?
Самурай без меча подобен самураю с мечом но только без меча.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 14:57:02

в каком файле смотреть логи фаервола ?
в ядре указал
IPFIREWALL_VERBOSE

в rc.conf указал
firewall_logging="YES"

но как тока делаю deny all (вне зависимости от предыдущих правил)
все тихо мирно отваливается без каких либо сообщений..

или даже подскажите как сделать чтобы логи выводились на экран даже если не залогинен.. знаю так можно но не знаю как...
в общем без логов никак !! выручайте господа!!!
Самурай без меча подобен самураю с мечом но только без меча.

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение kapka » 2008-03-23 15:09:39

emoxam писал(а):в каком файле смотреть логи фаервола ?
/var/log/security
мы живем в стране с обширными недокументированными возможностями...

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 15:37:04

пришлось найти руками.. и сказать ему
pkg_add ftp://ftp2.freebsd.org/pub/FreeBSD/port ... .6.1_6.tbz
а то пути не совпадаюсь.. а гед БСД хранит у себя путь где искать пакеты ?

но! при поптыке запустить mc

пишет

Shared object "libm.so.5" not found, required by "perl"
Самурай без меча подобен самураю с мечом но только без меча.

kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение kapka » 2008-03-23 15:43:55

emoxam писал(а): или даже подскажите как сделать чтобы логи выводились на экран даже если не залогинен.. знаю так можно но не знаю как...
в общем без логов никак !! выручайте господа!!!
в /etc/syslog.conf добавь

Код: Выделить всё

security.*   /dev/console
Ну и правила пишешь что-то типа

Код: Выделить всё

add 100 deny log ip from any to any
мы живем в стране с обширными недокументированными возможностями...

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 17:46:46

я добился того чего хотел.. при deny all сыпяться логи.. пора изучать принцип рабоыт ipfw
возникло сразу 2 вопроса..
1 что делать когда logamount достигает сотни ? как сбросить ? без перекомпиляции ядра ? ))
2 запрос с внутренней машины (10.10.10.2) по shh на (10.10.10.1) внутренний интерфейс шлюза приходит не на 109 (это я такой указал) порт а на рандомный (26358 например) верхний.. это видно из лога.. кто подменяет порт ? как это поправить ?

я в удивлении!

спасибо!
Самурай без меча подобен самураю с мечом но только без меча.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение dikens3 » 2008-03-23 20:59:57

emoxam писал(а):1 что делать когда logamount достигает сотни ? как сбросить ? без перекомпиляции ядра ? ))
ipfw zero тебе в помощь. Можно обнулять всё или же отдельно указанное правило. Правило, которое превыcило logamount, перестаёт писать лог (/var/log/security).
2 запрос с внутренней машины (10.10.10.2) по shh на (10.10.10.1) внутренний интерфейс шлюза приходит не на 109 (это я такой указал) порт а на рандомный (26358 например) верхний.. это видно из лога.. кто подменяет порт ? как это поправить ?
Не совсем ясно о чём идёт речь, пример можно?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 21:28:22

внутр. ин-йс шлюза 10.10.10.1
ин-йс меня 10.10.10.2
SSH висит на 109 порту

пытаюсь подключится с 10.10.10.2 на 10.10.10.1 по 109 порту

логи файрвола показывают что denied from 10.10.10.2 109 to 10.10.10.1 26845
или
denied from 10.10.10.2 109 to 10.10.10.1 26324

ну итд..

вопрос! почему запрос приходит НЕ на порт 109 ? в ssh клиенте, я перепроверил, стоит 109-ый порт! значит сам шлюз подменяет порт ? зачем и где ?

natd запускаю с -m -u ...
Самурай без меча подобен самураю с мечом но только без меча.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение dikens3 » 2008-03-23 21:35:16

Странный вы однако человек.

Давайте по порядку:
логи файрвола показывают что denied
У вас есть файрвол?
почему запрос приходит НЕ на порт 109 ?....
Ага, и как нам догадаться?
Настраиваем файрвол или выклыдваем ipfw show сюда. Принцип подключения понятен.
и ещё:
логи файрвола показывают что denied from 10.10.10.2 109 to 10.10.10.1 26845
Логи также показывают на каком правиле сработала блокировка.

P.S. Причём тут нат? Он не нужен вовсе для такого подключения.
P.S2. Я добрый, вот правило - добавить в начало:

Код: Выделить всё

ipfw add allow tcp from 10.10.10.2 to me 109 in via ВНУТРЕННИЙ_ИНТЕРФЕЙС keep-state
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

emoxam
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-03-03 20:45:14
Откуда: Москва
Контактная информация:

Re: не могу настроть шлюз на FreeBSD 6.2

Непрочитанное сообщение emoxam » 2008-03-23 23:17:39

о! спасибо! стал пускать!
Самурай без меча подобен самураю с мечом но только без меча.