Сборка ядра с поддержкой PF

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
sysbes
рядовой
Сообщения: 32
Зарегистрирован: 2009-02-26 19:29:00

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение sysbes » 2009-03-05 9:00:46

Код: Выделить всё

forum# pfctl -f /etc/pf.conf
/etc/pf.conf:2: syntax error
pfctl: Syntax error in config file: pf rules not loaded
forum#
=( кто-нибудь еще бы на 7.1 поробовал

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
24rus
мл. сержант
Сообщения: 75
Зарегистрирован: 2008-09-27 16:04:59
Откуда: Красноярск
Контактная информация:

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение 24rus » 2009-03-06 13:19:56

А зачем тебе "PASS" если ты используешь фаер как NAT ??
Show must go on !

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение skeletor » 2009-03-06 13:33:34

У меня на FreeBSD 7.1-RELEASE-p2 #1 так:

Код: Выделить всё

[skeletor@srv-test ~]$ uname -a
FreeBSD srv-test 7.1-RELEASE-p2 FreeBSD 7.1-RELEASE-p2 #1: Fri Feb 13 20:56:08 UTC 2009     root@srv-test:/usr/obj/usr/src/sys/kern1  i386
[skeletor@srv-test ~]$ grep pf /usr/src/sys/i386/conf/kern1
#device         ispfw           # Firmware for QLogic HBAs- normally a module
# The `bpf' device enables the Berkeley Packet Filter.
# Note that 'bpf' is required for DHCP.
device          bpf             # Berkeley packet filter
device          pf
device          pflog
device          pfsync
[skeletor@srv-test ~]$ cat /etc/pf.conf

services="{20,21,43,80,21,179,2600,2601,2604,2605}"
icmp_types="{echoreq}"

set skip on lo

scrub in

block log all

pass keep state

# block flud traffic
pass quick on lo0 from any to any
block quick from any to 127.0.0.0/8
block quick from 127.0.0.0/8 to any

# ssh
pass proto tcp from any to any port 22 keep state
pass proto tcp from any port 22 to any keep state

#dns
pass proto udp from any to any port 53
pass proto udp from any port 53 to any

#
pass proto tcp from any to any port $services keep state
pass proto tcp from any port $services to any keep state

#icmp
pass in proto icmp from any to any
pass out proto icmp from any to any

#tracerroute
pass out inet proto udp from any to any port 33433 >< 33626 keep state

#ftp passive
pass in proto tcp from any to any port > 49151 keep state
Работает и не ругается.

2Автор: попробуй поменять местами строчки. Может туда вкрался какой-то нечитаемый символ? Попробуй переписать правила заново, руками.

Аватара пользователя
Alvares
прапорщик
Сообщения: 485
Зарегистрирован: 2008-07-10 12:48:08
Откуда: Воронеж
Контактная информация:

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение Alvares » 2009-03-06 15:43:14

а в HEX-виде можно pf.conf выдать?
Бог создал людей сильными и слабыми. Сэмюэл Кольт сделал их равными...

Аватара пользователя
sysbes
рядовой
Сообщения: 32
Зарегистрирован: 2009-02-26 19:29:00

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение sysbes » 2009-03-06 16:54:12

24rus писал(а):А зачем тебе "PASS" если ты используешь фаер как NAT ??
А не знаю я, как по дрогому можно :oops:
Вот по этой статье все делал

Аватара пользователя
sysbes
рядовой
Сообщения: 32
Зарегистрирован: 2009-02-26 19:29:00

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение sysbes » 2009-03-06 17:03:29

Блин только что прописал

Код: Выделить всё

pass all keep state 
загрузилось! Так будет работать, это тоже самое что и:

Код: Выделить всё

pass in all
pass out all
?

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение reLax » 2009-03-06 23:41:30

Вы ребята все такие тут умные такие (на самом деле так и есть - ни капельки сарказма).Только не заметили одной мелочи...
KERNCONF при сборке ядра пишется через C, а не через K - KERNCONF ! У человека просто собирался обычный GENERIC в итоге, естественно (http://forum.lissyara.su/viewtopic.php? ... 15#p146233 :) Как всегда все просто...А вы тут в дебри полезли :)

А насчет /etc/rc.conf наверное лучше писать так, чтобы он хоть понял, откуда конфиг брать (хоть он и по умолчанию именно там):

Код: Выделить всё

pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_flags=""
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pflog_flags=""
и тд и тп.

:)
Последний раз редактировалось reLax 2009-03-06 23:53:40, всего редактировалось 1 раз.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение hizel » 2009-03-06 23:53:08

KERNCONF пишется через KERNCONF :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение reLax » 2009-03-06 23:54:29

hizel писал(а):KERNCONF пишется через KERNCONF :)
Вы новую букву алфавита изобрели ? )) Я имел ввиду KERNСONF вообще-то. Внимательнее посмотрите на ссылку на пост форума в моем предыдущем сообщении, оттуда поймете откуда там GENERIC появился у него в uname -a том-же :)

Код: Выделить всё

forum# uname -a
FreeBSD forum.rdtc.ru 7.1-RELEASE FreeBSD 7.1-RELEASE #2: Mon Mar  2 23:00:18 KRAT 2009     sysbes@forum.rdtc.ru:/usr/obj/usr/src/sys/GENERIC  i386

Ясен хрен, что после такого KERNKONF - GENERIC в конфиге будет. О каком тут еще pf+ALTQ говорить... :)

Код: Выделить всё

cd /usr/src
make make installkernel KERNKONF=SYSKERNEL
Ну что тут не понятно то ? Чета я сегодня пива перепил видать, раз свои посты редактирую по 10 раз, 8-е марта все-таки накануне )))
Последний раз редактировалось reLax 2009-03-07 1:16:35, всего редактировалось 1 раз.

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение reLax » 2009-03-07 0:48:43

sysbes У тебя сколько интерфейсов то, скажи хоть?

Аватара пользователя
sysbes
рядовой
Сообщения: 32
Зарегистрирован: 2009-02-26 19:29:00

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение sysbes » 2009-03-07 17:40:16

reLax писал(а):sysbes У тебя сколько интерфейсов то, скажи хоть?

Код: Выделить всё

forum# ifconfig
xl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9<RXCSUM,VLAN_MTU>
        ether 00:01:02:0c:10:de
        media: Ethernet autoselect (none)
        status: no carrier
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:90:27:a4:c3:57
        inet 192.168.79.2 netmask 0xffffff00 broadcast 192.168.79.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
pflog0: flags=0<> metric 0 mtu 33204

Аватара пользователя
sysbes
рядовой
Сообщения: 32
Зарегистрирован: 2009-02-26 19:29:00

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение sysbes » 2009-03-07 21:13:47

Всем спасибо ) PF работает, только толку мало (

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение reLax » 2009-03-08 7:52:22

sysbes писал(а):Всем спасибо ) PF работает, только толку мало (
Поподробнее пожалуйста. Вообщем насколько я понял у вас есть компьютер со встроенной сетевой картой и дополнительной от 3Com, которая в дауне сейчас. Вы из этого компьютера хотите сделать роутер ? В принципе я могу вам дать рабочий конфиг pf с какого-нибудь своего шлюза, Вам только надо его будет немного подрихтовать. Единственное что в таком случае учитывайте, что там весь NAT-трафик теггирован. :shock: :-D Вообщем. если интересно пишите - дам )))

Аватара пользователя
sysbes
рядовой
Сообщения: 32
Зарегистрирован: 2009-02-26 19:29:00

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение sysbes » 2009-03-08 11:41:20

reLax писал(а):
sysbes писал(а):Всем спасибо ) PF работает, только толку мало (
Поподробнее пожалуйста. Вообщем насколько я понял у вас есть компьютер со встроенной сетевой картой и дополнительной от 3Com, которая в дауне сейчас. Вы из этого компьютера хотите сделать роутер ? В принципе я могу вам дать рабочий конфиг pf с какого-нибудь своего шлюза, Вам только надо его будет немного подрихтовать. Единственное что в таком случае учитывайте, что там весь NAT-трафик теггирован. :shock: :-D Вообщем. если интересно пишите - дам )))
Он не шлюх, а просто комп в сети, шлюз у нас другой, на нем 3com и Realteck карточки, нет встроеной.

Вот тут все описал http://forum.lissyara.su/viewtopic.php?f=8&t=16201

Blaz
проходил мимо

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение Blaz » 2010-12-06 19:35:18

автору конечно уже не актуально, но всё же :smile:

делал по статье, столкнулся с такой же ошибкой, решением оказалось после 3-й строчки нажать enter, и только переведя курсор на новую строку сохранять.
После сей манипуляции pf благополучно схавал конфиг

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение Gloft » 2010-12-08 16:32:54

sysbes писал(а):Только что:

Код: Выделить всё

cd /usr/src
make make installkernel KERNKONF=SYSKERNEL
Внимательней надо быть не KERNKONF, а KERNСONF
Ядро ты так и не установил,точнее ставил но не новое а старое без PF.

---
сори за офтоп, наверное уже разобрались

blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Re: Сборка ядра с поддержкой PF

Непрочитанное сообщение blackjackchik » 2010-12-10 21:35:02

у меня было когдато что-то похожее, надо в конце пустую строку вставить