Проблема с правилами PF

[amd_miek]

Имеется

Код: Выделить всё

FreeBSD gw.nadzornn.local 7.2-PRERELEASE FreeBSD 7.2-PRERELEASE #1: Fri May 29 11:56:01 MSD 2009 /
    admin@gw.nadzornn.local:/usr/obj/usr/src/sys/GENERIC.PF  i386

Развернуты squid, sams, mysql, apache 1.3, samba и так по мелочи.

Проблема в том, что после перезагрузки системы PF не загружает правила из файла указанного в rc.conf да и из дефолтного тоже. Если зайти и подгрузить руками то все работает.

в /etc/rc.d/pf видел строчку KEYWORD: nojail
Дело в том что как раз проблема обозначилась где-то после поднятия клетки, хотя это может быть и не связано конечно.

Переменные клетки, алиасы и прочее были закоменчены в rc.conf ну и опробованы ребуты все ранво не помогло.

Хотелось бы услышать какие-нибудь идеи

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

покажи rc.conf

[amd_miek]

Код: Выделить всё

# -- sysinstall generated deltas -- # Wed Apr 22 23:39:04 2009
# Created: Wed Apr 22 23:39:04 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
gateway_enable="YES"
inetd_enable="YES"
hostname="gw.nadzornn.local"
keymap="ru.koi8-r"
linux_enable="YES"
mousechar_start="3"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
ifconfig_re0="inet 192.168.1.1  netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.10.10  netmask 255.255.255.0"
#ifconfig_rl0_alias0="inet 192.168.10.251  netmask 255.255.255.0"

defaultrouter="192.168.10.1"
samba_enable="YES"
apache_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"
pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
#syslogd_flags="-b 192.168.1.1"
#jail_enable="NO"
#jail_list="vds"
#jail_set_hostname_allow="YES"
#jail_vds_rootdir="/usr/jails/vds"
#jail_vds_hostname="vds.nadzornn.local"
#jail_vds_ip="192.168.10.251"
#jail_vds_devfs_enable="YES"
#jail_vds_procfs_enable="YES"
#jail_vds_flags="-l -U root"

Лично я не уразумел проблем в нем...

[AzureZ]

А еще желательно конфиг PF

[amd_miek]

Код: Выделить всё

#macros
int_if="re0"
ext_if="rl0"
dns_serv="{ 4.2.2.2 195.98.32.193 195.98.32.200 }"
proxy_if="lo0"
proxy_port="3128"
#provider_dns="{ 195.98.32.193 195.98.32.200 }"
LAN="{ 192.168.1.0/24 }"
DC="192.168.1.2"
modem_subnet="{ 192.168.10.0/24 }"
allowed_icmp_types="{ echoreq, unreach }"
non_route_nets_inet="{ 127.0.0.0/8, 192.168.0.0/24, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 }"

#tables
table <BRUTEFORCERS> persist
table <blockedips> persist file "/etc/pf/blockedips"

#options
set loginterface rl0
set block-policy drop
set skip on lo0
set timeout { frag 10, tcp.established 3600 }
scrub in all


#nat
nat on $ext_if from $int_if:network to any port { ntp, domain } -> $ext_if
rdr on $ext_if proto tcp from any to $ext_if port rdp -> $DC port rdp
rdr on $ext_if proto tcp from any to $ext_if port 1723 -> $DC port 1723
rdr on $ext_if proto gre from any to $ext_if -> $DC

#firewall
block all

pass on $int_if from any to any
#pass on $ext_if from any to any

antispoof log quick for { lo0, $int_if, $ext_if }

pass in quick on $ext_if proto tcp from xx.xx.xx.xx to $ext_if port ssh

#blocking bad ips
block drop in log quick on $ext_if from $non_route_nets_inet to any
block drop log quick on $ext_if from any to <blockedips>
block drop log quick on $ext_if from <blockedips> to any
block drop in log quick on $int_if from !$int_if:network to any
block drop log quick from <BRUTEFORCERS>

pass in on $int_if proto tcp from $int_if:network to $int_if port ssh  synproxy state ( max-src-conn-rate 1/60, overload <BRUTEFORCERS> flush global )
pass in on $ext_if  proto tcp from any to $ext_if port ssh synproxy state ( max-src-conn-rate 1/60, overload <BRUTEFORCERS> flush global )

pass out quick on $ext_if from self to any

pass out quick on $ext_if proto tcp from $ext_if to any port www modulate state

#pass out on $ext_if proto udp from $ext_if to any port domain
pass quick on $ext_if proto tcp from any to $DC port rdp
pass quick on $ext_if proto tcp from any to $DC port 1723
pass quick on $ext_if proto gre from any to $DC

pass in log on $ext_if proto tcp from any to $ext_if port www synproxy state

pass log inet proto icmp all icmp-type $allowed_icmp_types

Только я не понимаю к чем он? Если руками pfctl -f /etc/pf.conf - то все на ура работает, pfctl -nf /etc/pf.conf естественно тоже ошибок не выдает.
Повторюсь, меня интересует почему конфиг автоматом не грузится в случае ребута системы.

[princeps]

Полтергейст?
Попробуй закомментить pf_rules="/etc/pf.conf", по идее должен и без этого по умолчанию именно этот файл цеплять. Кстати, а в логах что?

[amd_miek]

Пробовал комментить - не суть. В логах чего что должно быть? В логах pf? В логах pf только кого куда пустило-непустило. В meggages pf вообще никак не упоминается (что имхо странно)....

[princeps]

вот именно, странно. В ядро вкомпилен?

[amd_miek]

Код: Выделить всё

#PF modules
device pf
device pflog
device pfsync
options         ALTQ
options         ALTQ_CBQ        # Class Bases Queuing (CBQ)
options         ALTQ_RED        # Random Early Detection (RED)
options         ALTQ_RIO        # RED In/Out
options         ALTQ_HFSC       # Hierarchical Packet Scheduler (HFSC)
options         ALTQ_PRIQ       # Priority Queuing (PRIQ)
options         ALTQ_NOPCC      # Required for SMP build

В ядро... Думаю может весь мир с ядром пересобрать, как уж крайний случай

[princeps]

теоретически, если ты не собирал мир вместе с ядром, а у тебя настроена автообновление исходников, то может возникнуть рассинхронизация мира и ядра. Как при этом может вести себя pf - хз.

в /etc/rc.d/pf видел строчку KEYWORD: nojail
Дело в том что как раз проблема обозначилась где-то после поднятия клетки, хотя это может быть и не связано конечно.

Ты мог что-то там неправильно указать при сборе jail'а и в итоге пересобрать мир на хосте. Ну, это так, предположения Пересобери мир вместе с ядром что ли, лишним не будет.

[amd_miek]

А вот таить не буду что у мну и на самом деле CVSятся и порты и сорцы регулярно. По поводу ресинхронизации - когда я вбивал jls то получал сообщения о ресинхронизации кернела и среды, так что видимо придется признать где-то свою криворукость... Хотя я даже знаю где... Когда джейл делал я его сначала попробовал по лиссяровской статье, а та была под 6.4 что-ли, ну я тогда в маны от 7ки заглянул... вообщем с утра пораньше мир стругаю )) отпишусь о результате.

[princeps]

какая разница, по какой статье ты его делал? Если у тебя исходники самые свежие, то и мир соберется самый наисвежайший, а ядро останется старое, вот тебе и рассинхронизация.

[Гость]

может интерфейс поднимается после запуска pf?
что у тебя в messages по pf?

[princeps]

а, кстати, может быть и такое. У меня обычные интерфейсы, я и не подумал об этом

[amd_miek]

Гость » 2009-06-02 10:49:31
может интерфейс поднимается после запуска pf?
что у тебя в messages по pf?

Как я уже писал в messages вообще ничего нет про pf что мне и самому кажется странным. В манах по pf написано что правила можно подгружать до или после запуска pf если я ничего не путаю, так что проядок загрузки интерфейсов несущественен. И кроме того там стандартные интерфейсы езернетовские.

Большая просьба, подскажите как удаленно проинсталить мир а то я чего то не могу найти где это было описано, на глаза где то попадалось...

[GRooVE]

мне кажется, что вы слишком глубоко ищите...
покажите что у вас в /etc/rc.d/pf и как вообще реагирует pf на запуск из этого скрипта?

[princeps]

Большая просьба, подскажите как удаленно проинсталить мир а то я чего то не могу найти где это было описано, на глаза где то попадалось...

эээ... старый добрый make installworld не канает почему-то?

мне кажется, что вы слишком глубоко ищите...
покажите что у вас в /etc/rc.d/pf и как вообще реагирует pf на запуск из этого скрипта?

Что-то мне подсказывает, что он сам не менял там ничего.

[GRooVE]

Что-то мне подсказывает, что он сам не менял там ничего.

Я думаю это никто не знает, кроме топикстартера...
Столкнувшись с аналогичной проблемой я первым же делом глянул бы туда, ну а потом бы уже копал глубже...

[amd_miek]

GRooVE, спасиб за недоверие Естественно менял, когда не заработало, но потом вернул нафиг все как было. Эт еще д того как тему поднял было.
По поводу мира ну вообще то он в многопользовательской среде как то плохо ставится и не зря ж его просят ставить из однополдьзовательского режима.
Не суть, доехал, руками поставил, правда перед этим сломав мегремастер и усе пароли <тихий мат про себя и 2 часа восстановления...>
Потом мир не поставился до конца, встав на rescue.
Здесь меня тотально все достало, я ребутнул еще разок. Мучаться кст уже не хотелось, я точно знал какое ядро у меня, но как то сомневался по поводу мира, и немного напрягся по поводу полного отсутствия мегремастера о_О.
Кст проблема с правилами так и осталась.
Специально для GRooVE ремарка - при /etc/rc.d/pf start все на ура заводилось после загрузки.

Решил я ее наверно неправильно, но зато эффективно, удалив KEYWORD: nojail из /etc/rc.d/pf* и ненужный мне BEFORE: routing ибо его я не юзаю. (Надеюсь ) После чего контрольный ребут и все наконец заработало.
ИМХО это еще раз доказывает какая фря замечательная ось даже в руках таких отъявленных криворуков как я

И наверно мораль - jail не игрушка

PS если кому интересно могу отписаться если после всего этого фря в скорости упадет (в чем я сомневаюсь)

[$Alchemist]

Перезагружал недавно шлюз и с такой же проблемой столкнулся. Не появилось ли альтернативных решений?

[amd_miek]

Re: Проблема с правилами PF

$Alchemist » 2009-06-03 17:51:10
Перезагружал недавно шлюз и с такой же проблемой столкнулся. Не появилось ли альтернативных решений?

Ну как сказать, у меня после дальнейших разбирательств оказалось что незагрузка правил связана с #BEFORE: routing
В сущности проблема возникает при неполном обновлении системы или каких-то переходах между версиями.
Я на другой фряхе, я их собирал партией, так что там все один в один почти, так же обновил систему с 7.1 на 7.2 и никаких проблем не возникло с правилами, так что ИМХО на той фряхе я просто что-то не туда поставил при экспериментировании с jail.
Для борьбы с этим действительно надо руками попробовать:

Код: Выделить всё

/etc/rc.d/pf start

уже после запуска и посмотреть получится ли, и если да, то просто ковырять почему собственно скрипт не исполняется при загрузке. Могу предложнить убрать тот же #BEFORE: routing если не используется маршрутизация силами pf (насколько я понимаю это именно для маршрутизации силами pf и нужно, потому что в /etc/rc.d/ipfw ничего подобного нету да и сам ipfw применяется при маршрутизации) и можно например дописать какой нибудь #REQUIRE: mysql чтобы pf подгружался попозднее.

[$Alchemist]

незагрузка правил связана с #BEFORE: routing

Убрал, помогло, спасибо.

[amd_miek]

В качестве еще одного решения могу предложить взять нормально работающий /etc/rc.d/pf из соответствующей версии FreeBSD и попробовать подсунуть его вместо того который не загружает правила. На этой неделе уже не успею, а на следующей еще поковыряюсь в поисках возможных решений.