не могу настроть шлюз на FreeBSD 6.2

[Morty]

хозяин - барин
у меня всё получаеться как описал выше
в rc.conf

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/firewall"
firewall_quiet="YES"

и правишь файл /etc/firewall
сразу проверяешь , смотришь если что кудато log вставить можно

Код: Выделить всё

#sh /etc/firewall

всё просто удобно и красиво
для базы можно взять работу Лисяры - скрипт в татье тут http://www.lissyara.su/?id=1127
(либо писать самому, либо так же как было сказано взять нужную секцию правил из системного файла и перенести его в свой файл)
и править либо не править до тех пор пока не понравиться самому

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[emoxam]

1 - насчет команды перегрузки правил оч удачно, я подозревалд что это как то можно сделать )) спасибочки ))
насчет дефолтного - я отвечал, мне бы не хотел менять дефолтный файл

2 - узнав у того кто настраивал, а он дает минимум информации по направлению поиска )) сделал вывод о следующем

в rc.firewall (радуйтесь сбылось )))) ) добавлена строчка /bin/sh ${firewall_type}

в rc.conf есть
firewall_type="/etc/rc.fw.conf"

а в нем уже шеловый скрипт

прально мыслю ? и потому скрипт мой уже исполняеться на шеле?


3 - ну а ежели не выкобениваться, то можно сделать стандартным образом, по схеме приведенной сегодня днем! (за что отдельное спасибо, про стуктуру я не нашел ни слова, а все пишут как им вздумаеться, в смысле порядка, додуамть правильный порядок это уже отдельное ноу хау)

4 - где искать теперь логи файрвола, и какой параметр и где надо передавать чтобы они включились ? о логах тож не могу найти инфу!

5 - смейтесь я герой, я сменил шел по умолчанию руту, но указав путь которого не существует, теперь меня ясен пень не пускает рутом )) че делать ?

6 - не могу понять, чем различаються firewall_type и firewall_script если и там и там могу указать путь к скрипту!

[emoxam]

да и самое крутое.. в рабочем конфиге нашёл вот что, и это же есть в rc.firewall

тока я не могу понят, что это делает ? зачем это нуждно ? в каком момент пригодиться ?

Код: Выделить всё

# Suck in the configuration variables. [b](особено удивляет сак.. [b]да, я знаю только одно значение этого слова![/b])[/b]
if [ -z "${source_rc_confs_defined}" ]; then
        if [ -r /etc/defaults/rc.conf ]; then
                . /etc/defaults/rc.conf
                source_rc_confs
        elif [ -r /etc/rc.conf ]; then
                . /etc/rc.conf
        fi
fi 

Код: Выделить всё

if [ -n "${1}" ]; then
        firewall_type="${1}"
fi

############
# Set quiet mode if requested
#
case ${firewall_quiet} in
[Yy][Ee][Ss])
        fwcmd="/sbin/ipfw -q"
        ;;
*)
        fwcmd="/sbin/ipfw"
        ;;
esac 

Код: Выделить всё

*)
        if [ -r "${firewall_type}" ]; then
                #${fwcmd} ${firewall_flags} ${firewall_type}
                /bin/sh ${firewall_type}
        fi
        ;;
esac 

вот!

[Morty]

firewall_type - укзываеш какой блок правил юзать из шаттаного скрипат rc.firewall
firewall_script - указываешь путь на насвой скрипт со своим набором правил

[emoxam]

ну а желеи я указываю firewall_type и путь ? тогда что происходит ?

[dikens3]

ну а желеи я указываю firewall_type и путь ? тогда что происходит ?

Тогда по указанному пути ищется соответствующий тип, которого там нет.

[emoxam]

1 и потому у лисяры
firewall_type="/etc/rc.firewall" - файл с правилами файрволла ?
по адресу http://www.lissyara.su/?id=1127 ?

2 какие из этих команд нужны на 6.2 ?

Код: Выделить всё

cd /usr/src
make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=MYKERNEL

cd /usr/src/sys/compile/MYKERNEL
cd ../compile/MYKERNEL
make depend && make && make install 

в раных местах по разному!!!

3 как посваить мс ? через sysinstall Он ставиться перестал!
через pkg_add ругаеться на +CONTENTS
с чего вдруг то ?

[Morty]

Код: Выделить всё

1 и потому у лисяры
firewall_type="/etc/rc.firewall" - файл с правилами файрволла ?
по адресу http://www.lissyara.su/?id=1127 ?

статья размещалась 2 года назад - может тогда и было правильно так
по поводу
firewall_type
firewall_script
описано в хэндбуке - что есть что
http://www.freebsd.org/doc/en_US.ISO885 ... -ipfw.html

2 какие из этих команд нужны на 6.2 ?

Код: Выделить всё

cd /usr/src
make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=MYKERNEL

cd /usr/src/sys/compile/MYKERNEL
cd ../compile/MYKERNEL
make depend && make && make install 

в раных местах по разному!!!

и тот и другой вариант правильный, 1ый сборка "по новому стилю"
2ой - сборка ядра по старинке (для 6.2. любой вариант рабочий)

3 как посваить мс ? через sysinstall Он ставиться перестал!
через pkg_add ругаеться на +CONTENTS
с чего вдруг то ?

как ставил ? пакетом ? или из портов ?
в любом сл. удаляешь порт (make deinstall) или пакет (pkg_delete вроде)
и ставь по новой из портов

[emoxam]

при первом варианте после ребут uname -a сказало что ядро GENERIC
так что пользуюсь вторым )

если пытаюсь через sysinstall он пишет что не могет найти index
а если через pkg_add (после fetch или до не важно) пишет что не найден +CONTENTS

сдается мне ругань на то что не найден +CONTENTS идет потому что я не поставил при установке Linux compability.. а как же его поставить сейчас ? или как его запустить ? как быть ?

[emoxam]

в каком файле смотреть логи фаервола ?
в ядре указал
IPFIREWALL_VERBOSE

в rc.conf указал
firewall_logging="YES"

но как тока делаю deny all (вне зависимости от предыдущих правил)
все тихо мирно отваливается без каких либо сообщений..

или даже подскажите как сделать чтобы логи выводились на экран даже если не залогинен.. знаю так можно но не знаю как...
в общем без логов никак !! выручайте господа!!!

[kapka]

в каком файле смотреть логи фаервола ?

/var/log/security

[emoxam]

пришлось найти руками.. и сказать ему
pkg_add ftp://ftp2.freebsd.org/pub/FreeBSD/port ... .6.1_6.tbz
а то пути не совпадаюсь.. а гед БСД хранит у себя путь где искать пакеты ?

но! при поптыке запустить mc

пишет

Shared object "libm.so.5" not found, required by "perl"

[kapka]

или даже подскажите как сделать чтобы логи выводились на экран даже если не залогинен.. знаю так можно но не знаю как...
в общем без логов никак !! выручайте господа!!!

в /etc/syslog.conf добавь

Код: Выделить всё

security.*   /dev/console

Ну и правила пишешь что-то типа

Код: Выделить всё

add 100 deny log ip from any to any

[emoxam]

я добился того чего хотел.. при deny all сыпяться логи.. пора изучать принцип рабоыт ipfw
возникло сразу 2 вопроса..
1 что делать когда logamount достигает сотни ? как сбросить ? без перекомпиляции ядра ? ))
2 запрос с внутренней машины (10.10.10.2) по shh на (10.10.10.1) внутренний интерфейс шлюза приходит не на 109 (это я такой указал) порт а на рандомный (26358 например) верхний.. это видно из лога.. кто подменяет порт ? как это поправить ?

я в удивлении!

спасибо!

[dikens3]

1 что делать когда logamount достигает сотни ? как сбросить ? без перекомпиляции ядра ? ))

ipfw zero тебе в помощь. Можно обнулять всё или же отдельно указанное правило. Правило, которое превыcило logamount, перестаёт писать лог (/var/log/security).

2 запрос с внутренней машины (10.10.10.2) по shh на (10.10.10.1) внутренний интерфейс шлюза приходит не на 109 (это я такой указал) порт а на рандомный (26358 например) верхний.. это видно из лога.. кто подменяет порт ? как это поправить ?

Не совсем ясно о чём идёт речь, пример можно?

[emoxam]

внутр. ин-йс шлюза 10.10.10.1
ин-йс меня 10.10.10.2
SSH висит на 109 порту

пытаюсь подключится с 10.10.10.2 на 10.10.10.1 по 109 порту

логи файрвола показывают что denied from 10.10.10.2 109 to 10.10.10.1 26845
или
denied from 10.10.10.2 109 to 10.10.10.1 26324

ну итд..

вопрос! почему запрос приходит НЕ на порт 109 ? в ssh клиенте, я перепроверил, стоит 109-ый порт! значит сам шлюз подменяет порт ? зачем и где ?

natd запускаю с -m -u ...

[dikens3]

Странный вы однако человек.

Давайте по порядку:

логи файрвола показывают что denied

У вас есть файрвол?

почему запрос приходит НЕ на порт 109 ?....

Ага, и как нам догадаться?
Настраиваем файрвол или выклыдваем ipfw show сюда. Принцип подключения понятен.
и ещё:

логи файрвола показывают что denied from 10.10.10.2 109 to 10.10.10.1 26845

Логи также показывают на каком правиле сработала блокировка.

P.S. Причём тут нат? Он не нужен вовсе для такого подключения.
P.S2. Я добрый, вот правило - добавить в начало:

Код: Выделить всё

ipfw add allow tcp from 10.10.10.2 to me 109 in via ВНУТРЕННИЙ_ИНТЕРФЕЙС keep-state

[emoxam]

о! спасибо! стал пускать!