Рулим IPFW
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 149
- Зарегистрирован: 2006-05-31 7:42:14
Рулим IPFW
Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35426
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Рулим IPFW
maniac писал(а):Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???
Как ты перезапускаешь FireWall? У меня обычный выполняемый файл на bash правила вносит, никогда не выкидывает. Да и через netstart тоже всё нормально.
ipfw -q deny 10900 log logamount 100 ip from any to any
Будет прибивать всё и первые 100 пакетов будут записаны в /var/log/security в виде:
Sep 6 00:02:04 ns kernel: ipfw: 10900 Deny TCP 216.152.173.38:48537 82.208.*.*:10000 in via rl0
По поводу определения правильной конфигурации ты что имел ввиду? Если правило неправильное то ipfw выдаёт ошибку и обработку прекращает.
- Alex Keda
- стреляли...
- Сообщения: 35426
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- мл. сержант
- Сообщения: 149
- Зарегистрирован: 2006-05-31 7:42:14
значит как у меня сделано, в rc.conf есть запись firewall_script="/etc/rc.firewall". Там с ключиком "-q". Что делаю, сижу через питту, вношу какое нить правило в фаер, затем перегружаю его коммандой sh /etc/rc/firewall & отрубается питту. Потом приходится снова подрубаться. Логи тоже вот не наю как сделать, т.е. если правило неправильное то оно покажется в логах, и оно типа будет игнорироваться чтобы на консоль не пришлось бегать 

- Alex Keda
- стреляли...
- Сообщения: 35426
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- проходил мимо
- Сообщения: 8
- Зарегистрирован: 2006-06-13 19:36:13
Во первых, для удаленной правки правил ipfw существует специально заточенный под это дело штатный скрипт:
/usr/share/examples/ipfw/change_rules.sh
По крайней мере есть гарантия, что не потеряешь доступ к удаленному компу в результате банальной ошибки.
Во вторых, если хочешь, чтобы сессия не прерывалась при включении новых правил, то придется ставить в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Хотя некоторые и считают, что это несекурно.
/usr/share/examples/ipfw/change_rules.sh
По крайней мере есть гарантия, что не потеряешь доступ к удаленному компу в результате банальной ошибки.
Во вторых, если хочешь, чтобы сессия не прерывалась при включении новых правил, то придется ставить в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Хотя некоторые и считают, что это несекурно.
- Notaky
- мл. сержант
- Сообщения: 80
- Зарегистрирован: 2006-09-13 19:23:46
- Контактная информация:
А зачем перезапускать фаервол при вносе правила?
ipfw number add allow|deny|reject|divert|fwd proto from ip|any [port] to ip|any [port] [in|out] [via|recv|xmit] [interface|ip]
и правило само станет, а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall
ipfw number add allow|deny|reject|divert|fwd proto from ip|any [port] to ip|any [port] [in|out] [via|recv|xmit] [interface|ip]
и правило само станет, а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall
- Alex Keda
- стреляли...
- Сообщения: 35426
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
обычная проблема - правило внёс, живьём, а в конфиг фаера забыл...
у меня сервак после 210 дней аптайма ребутнуть пришлось. так после перезагрузки половина сервисов не стартовала - это руками, то руками, тут альяс на интерфейсе, тут nat`ом портик пррокинем, а тут IP-шник... и всё руками...
поди ка через полгода вспомни...
у меня сервак после 210 дней аптайма ребутнуть пришлось. так после перезагрузки половина сервисов не стартовала - это руками, то руками, тут альяс на интерфейсе, тут nat`ом портик пррокинем, а тут IP-шник... и всё руками...
поди ка через полгода вспомни...
Убей их всех! Бог потом рассортирует...
- Notaky
- мл. сержант
- Сообщения: 80
- Зарегистрирован: 2006-09-13 19:23:46
- Контактная информация: