не подцепляются правила ipfw во Фре 6.0

[dM4x]

проблемс вот в чем.
написал все правила в один файлик - rc.firewall
в /etc/rc.conf добавил строчку
firewall_type="/etc/rc.firewall"

ядро собрано с фаером внутри.
При загрузке ОС список правил которые должны бы браться из файла не показывается, хотя опция которая отвечает за факт показывания этих самых правил точно установлена так, чтобы эти правила показывать.

после загрузки фаер работает, но у него одно единственное правило, которое запрещает все. Почему не подцепляются правила из файла понять не могу.
Синтаксис уже три раза проверил.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alex3]

firewall_type - тип фаера, который выбирается в умолчательном rc.firewall
надо поставить

Код: Выделить всё

 firewall_enable="YES"
firewall_script="/etc/rc.firewall"

[dM4x]

я что то недопонимаю зачем в конфе прописывать

Код: Выделить всё

firewall_enable="YES"

ведь при пересборке ядра с фаером он уже запускается при старте системы, я же его не модулем подключаю

у меня эта строчка была и при загрузке выдавалось следующее:

Код: Выделить всё

sysctl.net.inet.ip.fw.enable: 1 -> 1

т.е. если я правильно понимаю, эта строчка включает включенную опцию

P.S. правила сгенерились, заработало, но если можно поясните по поводу моих вопросах уже в этом посте

[manefesto]

Код: Выделить всё

firewall_script="/etc/rc.firewall"

[dM4x]

только что проверил: если в конфе rc.conf оставить только

Код: Выделить всё

firewall_script="/etc/rc.firewall"

и
убрать

Код: Выделить всё

firewall_enable="YES"

то правила снова не загружаются как и было в начале

[alex3]

ты не понял...
вставь эти две строчки, что я написал выше

[Morty]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

[dM4x]

ты не понял...
вставь эти две строчки, что я написал выше

я вставил и все заработало. я же написал выше. мне непонятно зачем нужна первая из них, потому что получается что она включает и так включенных фаерволл

[dM4x]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

я старый файлик сохранил с пометкой old:)

[alex3]

по умолчанию в системе куча всячины, DNS например... эта строчка нужна чтобы фаер включался при запуске... а не висел мертвым кодом в ядре.

[Overseer]

у меня на одном серваке:

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/firewall.rc"

на другом:

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall.rc"

только на первом серваке в файле /etc/firewall.rc везде "ipfw" в правилах, а на втором - нет.
фаеры работают на обоих.


З.Ы.
на первом серваке в начале правил:

Код: Выделить всё

ipfw -f flush
ipfw -f pipe flush

# black list
ipfw table 1 flush

# white list
ipfw table 2 flush

на втором:

Код: Выделить всё

-f flush
-f table 1 flush

для очистки при перезагрузке правил.

[Morty]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

я старый файлик сохранил с пометкой old:)

Молоток ! -)
возьми на полке пряник

[dM4x]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

я старый файлик сохранил с пометкой old:)

Молоток ! -)
возьми на полке пряник

Уже взял, уже сгрыз, очччч вкусно
Вобщем все заработало, всем спасибо.

[dM4x]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.

[Morty]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.

ну в приницпе може так тоже правильно , я правда всегда писал firewall_enable=YES и не задумывался
но так как ipfw при загрузке пишет

Код: Выделить всё

ipfw2 initialized и пр...

то выходит что можно одним скриптом в такой ситуации оперировать
а это

Код: Выделить всё

sh /etc/rc.firewall

говорил просто с консоли дать ....что б сам скрипт проверить
ЗЫ: аккуратно токо если ядро собрано без IPFIREWALL_DEAULT_TO_ACCEPT (или както там ...) может когданить серезно наказать

[dM4x]

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall

ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.

ну в приницпе може так тоже правильно , я правда всегда писал firewall_enable=YES и не задумывался
но так как ipfw при загрузке пишет

Код: Выделить всё

ipfw2 initialized и пр...

то выходит что можно одним скриптом в такой ситуации оперировать

так вот и я так решил. НО когда оперируешь одним скриптом, то данные из него почему то не подгружаются при загрузке системы.
загружается сам фаер только и дефолтное правило "запретить все". скрипт вручную запускается, значит дело не в нем.
Вот и хочу знать в чем. Почему отсутствие firewall_enable=YES не дает подгрузить скрипт при загрузке системы. Я уже этот скрипт и переименовывал и переносил в др. место(естественно правя при этом rc.conf)

[alex3]

все очень просто... посмотри скрипт запуска фаера в /etc/rc.d
в ядре он скомпилирован с одним правилом 65500 (или как-то так). остальное делает этот скрипт... и он не отрабатывает, если нет енабла.

[Overseer]

Почему отсутствие firewall_enable=YES не дает подгрузить скрипт при загрузке системы.

потому что етсь файл /etc/defaults/rc.conf в котором прописано дефолтное значение

Код: Выделить всё

firewall_enable=NO

почитай мой пост. в каком виде у тебя правила?
покажи хоть
# cat /etc/rc.firewall

[dM4x]

Все, теперь окончательно все понял. Всем спасибо за советы!

[Bayerische]

Давненько соседи не слышали столько мата, что вылилось за последние 2 часа. Как и многие, я понял, что

Код: Выделить всё

firewall_enable="YES"

нужно только с загружаемым модулем фаерволом. Перерыл весь рунет, везде эта загвоздка. Мой ангельский хромает, долго медитировал на

IPFW is included in the basic FreeBSD install as a separate run time loadable module. The system will dynamically load the kernel module when the rc.conf statement firewall_enable="YES" is used. There is no need to compile IPFW into the FreeBSD kernel unless NAT functionality is desired.