не подцепляются правила ipfw во Фре 6.0

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
dM4x
проходил мимо

не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 10:51:17

проблемс вот в чем.
написал все правила в один файлик - rc.firewall
в /etc/rc.conf добавил строчку
firewall_type="/etc/rc.firewall"

ядро собрано с фаером внутри.
При загрузке ОС список правил которые должны бы браться из файла не показывается, хотя опция которая отвечает за факт показывания этих самых правил точно установлена так, чтобы эти правила показывать.

после загрузки фаер работает, но у него одно единственное правило, которое запрещает все. Почему не подцепляются правила из файла понять не могу.
Синтаксис уже три раза проверил.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение alex3 » 2008-07-11 11:00:26

firewall_type - тип фаера, который выбирается в умолчательном rc.firewall
надо поставить

Код: Выделить всё

 firewall_enable="YES"
firewall_script="/etc/rc.firewall"
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 11:12:51

я что то недопонимаю зачем в конфе прописывать

Код: Выделить всё

firewall_enable="YES"
ведь при пересборке ядра с фаером он уже запускается при старте системы, я же его не модулем подключаю

у меня эта строчка была и при загрузке выдавалось следующее:

Код: Выделить всё

sysctl.net.inet.ip.fw.enable: 1 -> 1
т.е. если я правильно понимаю, эта строчка включает включенную опцию

P.S. правила сгенерились, заработало, но если можно поясните по поводу моих вопросах уже в этом посте

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение manefesto » 2008-07-11 11:17:05

Код: Выделить всё

firewall_script="/etc/rc.firewall"
я такой яростный шо аж пиздеЦ
Изображение

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 11:22:24

только что проверил: если в конфе rc.conf оставить только

Код: Выделить всё

firewall_script="/etc/rc.firewall"
и
убрать

Код: Выделить всё

firewall_enable="YES"
то правила снова не загружаются как и было в начале

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение alex3 » 2008-07-11 11:43:07

ты не понял...
вставь эти две строчки, что я написал выше
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение Morty » 2008-07-11 13:04:18

вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 14:21:13

alex3 писал(а):ты не понял...
вставь эти две строчки, что я написал выше
я вставил и все заработало. я же написал выше. мне непонятно зачем нужна первая из них, потому что получается что она включает и так включенных фаерволл

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 14:22:18

Morty писал(а):вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
я старый файлик сохранил с пометкой old:)

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение alex3 » 2008-07-11 14:30:15

по умолчанию в системе куча всячины, DNS например... эта строчка нужна чтобы фаер включался при запуске... а не висел мертвым кодом в ядре.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Overseer
сержант
Сообщения: 218
Зарегистрирован: 2008-03-20 23:00:42

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение Overseer » 2008-07-11 14:31:55

у меня на одном серваке:

Код: Выделить всё

firewall_enable="YES"
firewall_script="/etc/firewall.rc"
на другом:

Код: Выделить всё

firewall_enable="YES"
firewall_type="/etc/firewall.rc"
только на первом серваке в файле /etc/firewall.rc везде "ipfw" в правилах, а на втором - нет.
фаеры работают на обоих.


З.Ы.
на первом серваке в начале правил:

Код: Выделить всё

ipfw -f flush
ipfw -f pipe flush

# black list
ipfw table 1 flush

# white list
ipfw table 2 flush
на втором:

Код: Выделить всё

-f flush
-f table 1 flush
для очистки при перезагрузке правил.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение Morty » 2008-07-11 14:33:16

dM4x писал(а):
Morty писал(а):вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
я старый файлик сохранил с пометкой old:)
Молоток ! -)
возьми на полке пряник :-D

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 15:00:46

Morty писал(а):
dM4x писал(а):
Morty писал(а):вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
я старый файлик сохранил с пометкой old:)
Молоток ! -)
возьми на полке пряник :-D
Уже взял, уже сгрыз, очччч вкусно :)
Вобщем все заработало, всем спасибо.

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 15:07:04

Morty писал(а):вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение Morty » 2008-07-11 15:33:54

dM4x писал(а):
Morty писал(а):вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.
ну в приницпе може так тоже правильно , я правда всегда писал firewall_enable=YES и не задумывался
но так как ipfw при загрузке пишет

Код: Выделить всё

ipfw2 initialized и пр...
то выходит что можно одним скриптом в такой ситуации оперировать
а это

Код: Выделить всё

sh /etc/rc.firewall
говорил просто с консоли дать ....что б сам скрипт проверить
ЗЫ: аккуратно токо если ядро собрано без IPFIREWALL_DEAULT_TO_ACCEPT (или както там ...) может когданить серезно наказать

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 16:21:09

Morty писал(а):
dM4x писал(а):
Morty писал(а):вручную грузятся ?

Код: Выделить всё

sh /etc/rc.firewall
ЗЫ: вообще если ты составил свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.
ну в приницпе може так тоже правильно , я правда всегда писал firewall_enable=YES и не задумывался
но так как ipfw при загрузке пишет

Код: Выделить всё

ipfw2 initialized и пр...
то выходит что можно одним скриптом в такой ситуации оперировать
так вот и я так решил. НО когда оперируешь одним скриптом, то данные из него почему то не подгружаются при загрузке системы.
загружается сам фаер только и дефолтное правило "запретить все". скрипт вручную запускается, значит дело не в нем.
Вот и хочу знать в чем. Почему отсутствие firewall_enable=YES не дает подгрузить скрипт при загрузке системы. Я уже этот скрипт и переименовывал и переносил в др. место(естественно правя при этом rc.conf)

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение alex3 » 2008-07-11 16:33:49

все очень просто... посмотри скрипт запуска фаера в /etc/rc.d
в ядре он скомпилирован с одним правилом 65500 (или как-то так). остальное делает этот скрипт... и он не отрабатывает, если нет енабла.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Overseer
сержант
Сообщения: 218
Зарегистрирован: 2008-03-20 23:00:42

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение Overseer » 2008-07-11 16:41:14

dM4x писал(а): Почему отсутствие firewall_enable=YES не дает подгрузить скрипт при загрузке системы.
потому что етсь файл /etc/defaults/rc.conf в котором прописано дефолтное значение

Код: Выделить всё

firewall_enable=NO
почитай мой пост. в каком виде у тебя правила?
покажи хоть
# cat /etc/rc.firewall

dM4x
проходил мимо

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение dM4x » 2008-07-11 16:56:29

Все, теперь окончательно все понял. Всем спасибо за советы!

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: не подцепляются правила ipfw во Фре 6.0

Непрочитанное сообщение Bayerische » 2011-03-07 14:38:35

Давненько соседи не слышали столько мата, что вылилось за последние 2 часа. Как и многие, я понял, что

Код: Выделить всё

firewall_enable="YES"
нужно только с загружаемым модулем фаерволом. Перерыл весь рунет, везде эта загвоздка. Мой ангельский хромает, долго медитировал на
IPFW is included in the basic FreeBSD install as a separate run time loadable module. The system will dynamically load the kernel module when the rc.conf statement firewall_enable="YES" is used. There is no need to compile IPFW into the FreeBSD kernel unless NAT functionality is desired.