Рулим IPFW

[maniac]

Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

man ipfw и там поиск по ключевым словам enable/disable

[dikens3]

Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???

Как ты перезапускаешь FireWall? У меня обычный выполняемый файл на bash правила вносит, никогда не выкидывает. Да и через netstart тоже всё нормально.

ipfw -q deny 10900 log logamount 100 ip from any to any
Будет прибивать всё и первые 100 пакетов будут записаны в /var/log/security в виде:

Sep 6 00:02:04 ns kernel: ipfw: 10900 Deny TCP 216.152.173.38:48537 82.208.*.*:10000 in via rl0

По поводу определения правильной конфигурации ты что имел ввиду? Если правило неправильное то ipfw выдаёт ошибку и обработку прекращает.

[Alex Keda]

он имеет ввиду, что у него без ключика -q - вылетает на первом же правиле )

[maniac]

значит как у меня сделано, в rc.conf есть запись firewall_script="/etc/rc.firewall". Там с ключиком "-q". Что делаю, сижу через питту, вношу какое нить правило в фаер, затем перегружаю его коммандой sh /etc/rc/firewall & отрубается питту. Потом приходится снова подрубаться. Логи тоже вот не наю как сделать, т.е. если правило неправильное то оно покажется в логах, и оно типа будет игнорироваться чтобы на консоль не пришлось бегать

[Alex Keda]

man ipfw и там поиск по ключевым словам enable/disable

[Baneff]

Во первых, для удаленной правки правил ipfw существует специально заточенный под это дело штатный скрипт:
/usr/share/examples/ipfw/change_rules.sh
По крайней мере есть гарантия, что не потеряешь доступ к удаленному компу в результате банальной ошибки.
Во вторых, если хочешь, чтобы сессия не прерывалась при включении новых правил, то придется ставить в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Хотя некоторые и считают, что это несекурно.

[Notaky]

А зачем перезапускать фаервол при вносе правила?
ipfw number add allow|deny|reject|divert|fwd proto from ip|any [port] to ip|any [port] [in|out] [via|recv|xmit] [interface|ip]
и правило само станет, а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall

[Alex Keda]

обычная проблема - правило внёс, живьём, а в конфиг фаера забыл...
у меня сервак после 210 дней аптайма ребутнуть пришлось. так после перезагрузки половина сервисов не стартовала - это руками, то руками, тут альяс на интерфейсе, тут nat`ом портик пррокинем, а тут IP-шник... и всё руками...
поди ка через полгода вспомни...

[Notaky]

а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall

Я же написал...
+ есть разные методы решения этой проблемы,
например сделать скриптик или сразу в кроне
<shedule> ipfw list>>~/somefile