Рулим IPFW

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
maniac
мл. сержант
Сообщения: 149
Зарегистрирован: 2006-05-31 7:42:14

Рулим IPFW

Непрочитанное сообщение maniac » 2006-09-06 6:45:18

Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-09-06 7:47:44

man ipfw и там поиск по ключевым словам enable/disable
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Рулим IPFW

Непрочитанное сообщение dikens3 » 2006-09-06 17:19:58

maniac писал(а):Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???

Как ты перезапускаешь FireWall? У меня обычный выполняемый файл на bash правила вносит, никогда не выкидывает. Да и через netstart тоже всё нормально.

ipfw -q deny 10900 log logamount 100 ip from any to any
Будет прибивать всё и первые 100 пакетов будут записаны в /var/log/security в виде:

Sep 6 00:02:04 ns kernel: ipfw: 10900 Deny TCP 216.152.173.38:48537 82.208.*.*:10000 in via rl0

По поводу определения правильной конфигурации ты что имел ввиду? Если правило неправильное то ipfw выдаёт ошибку и обработку прекращает.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-09-06 18:20:11

он имеет ввиду, что у него без ключика -q - вылетает на первом же правиле :))
Убей их всех! Бог потом рассортирует...

maniac
мл. сержант
Сообщения: 149
Зарегистрирован: 2006-05-31 7:42:14

Непрочитанное сообщение maniac » 2006-09-06 19:54:50

значит как у меня сделано, в rc.conf есть запись firewall_script="/etc/rc.firewall". Там с ключиком "-q". Что делаю, сижу через питту, вношу какое нить правило в фаер, затем перегружаю его коммандой sh /etc/rc/firewall & отрубается питту. Потом приходится снова подрубаться. Логи тоже вот не наю как сделать, т.е. если правило неправильное то оно покажется в логах, и оно типа будет игнорироваться чтобы на консоль не пришлось бегать :lol:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-09-06 22:15:57

lissyara писал(а):man ipfw и там поиск по ключевым словам enable/disable
Убей их всех! Бог потом рассортирует...

Baneff
проходил мимо
Сообщения: 8
Зарегистрирован: 2006-06-13 19:36:13

Непрочитанное сообщение Baneff » 2006-09-08 15:37:35

Во первых, для удаленной правки правил ipfw существует специально заточенный под это дело штатный скрипт:
/usr/share/examples/ipfw/change_rules.sh
По крайней мере есть гарантия, что не потеряешь доступ к удаленному компу в результате банальной ошибки.
Во вторых, если хочешь, чтобы сессия не прерывалась при включении новых правил, то придется ставить в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Хотя некоторые и считают, что это несекурно.

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-09-13 19:27:05

А зачем перезапускать фаервол при вносе правила?
ipfw number add allow|deny|reject|divert|fwd proto from ip|any [port] to ip|any [port] [in|out] [via|recv|xmit] [interface|ip]
и правило само станет, а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-09-13 20:29:56

обычная проблема - правило внёс, живьём, а в конфиг фаера забыл...
у меня сервак после 210 дней аптайма ребутнуть пришлось. так после перезагрузки половина сервисов не стартовала - это руками, то руками, тут альяс на интерфейсе, тут nat`ом портик пррокинем, а тут IP-шник... и всё руками...
поди ка через полгода вспомни...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Notaky
мл. сержант
Сообщения: 80
Зарегистрирован: 2006-09-13 19:23:46
Контактная информация:

Непрочитанное сообщение Notaky » 2006-09-13 20:43:16

а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall
Я же написал...
+ есть разные методы решения этой проблемы,
например сделать скриптик или сразу в кроне
<shedule> ipfw list>>~/somefile