запуск Фри стопорится(решено), постоянные arp логи(решено)

[Demis]

И еще почитай http://unix.derkeiler.com/Mailing-Lists ... 00447.html
Может это натолкнет на путь истинный.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Demis]

Еще наблюдение:
Сегодня перегружал сервер, посмотрел внимательно на консоль.
У меня тоже на определенном этапе загрузки пробегает "mounting late file system".
И продолжает грузиться дальше.
Соответственно нужно смотреть что запускается (или пытается зпуститься) после этого.

[manefesto]

late вроде монтирует фс которые не смогло сразу смонтировать...например nfs

[beegimot]

Нет. Твой /etc/rc стандартен. Тут все в порядке (проверил по своему).
Если все правильно в свое время конфигурировалось,
то скрипты запуска дополнительно установленных программ лежат в /usr/local/etc/rc.d
Можно проверить что там творится.
Надеюсь что в /etc/rc.d самопальные скрипты не укладывались, хотя вручную это могли сделать по тем или иным соображениям.
с другой стороны есть-же сообщение "mounting late file system" значит и с файловой системой что-то не впорядке...
Попробуй fsck в однопользовательском режиме для основного диска (т.е. загрузочного+система),
и заодно для дополнительных дисков. Проверь нет-ли такой ситуации - по конфигам диск монтируется, а физически его нет (дискета, сд, флешки и т.д. (им-бы тоже fsck не помешал)), хотя это не должно вызывать остановок загрузки. как пользоваться fsck - man fsck или просто в интернете нарой. Проверить список файловых устройств - /etc/fstab , соответствует-ли он действительности. Я не думаю что тебе надо все сносить и переустанавливать, тут что-то простое. Просто где-то закавыка и ее надо нарыть.
Еще есть какие-то проблемы в конфигах зон named (вроде 18: file does not end with newline, тут и без "переводчика" понятно что делать), см.ниже. Хотя лучше сначала подумать и вспомнить когда именно туда вносились изменения до начала проблем или после, или вообще не вносились.

И еще.
Перечитав все твои логи сгруппировал все.
Часть из этого не критична, но ты и сам это прекрасно понимаешь.

Код: Выделить всё

Группа 1
Sep 14 09:02:02 hostname kernel: arp: 192.168.5.105 is on re0 but got reply from 00:0a:e6:ae:96:16 on rl0
Sep 14 09:02:03 hostname kernel: arp: 192.168.5.10 is on re0 but got reply from 00:15:17:23:82:0c on rl0
Sep 14 09:02:03 hostname kernel: arp: 192.168.5.220 is on re0 but got reply from 00:19:db:c8:b4:77 on rl0
Sep 14 09:02:04 hostname kernel: arp: 192.168.5.10 is on re0 but got reply from 00:15:17:23:82:0c on rl0

Группа 2
Sep 14 09:02:09 hostname nmbd[1023]: [2009/09/14 09:02:09, 0] nmbd/nmbd.c:terminate(58)

Группа 3
Sep 14 09:03:21 hostname kernel: ar0: WARNING - mirror protection lost. RAID1 array in DEGRADED mode
Sep 14 09:03:21 hostname kernel: ar0: 305108MB <LSILogic v3 MegaRAID RAID1> status: DEGRADED
Sep 14 09:03:21 hostname kernel: ar0: disk0 DOWN no device found for this subdisk
Sep 14 09:03:21 hostname kernel: ar0: disk1 READY (mirror) using ad7 at ata3-slave

Группа 4
Sep 14 09:03:21 hostname named[881]: /etc/namedb/master/bp_back.conf:18: file does not end with newline
Sep 14 09:03:21 hostname named[881]: master/for.conf:18: file does not end with newline

Группа 1-2
Sep 14 09:03:24 hostname kernel: arp: 192.168.5.1 is on lo0 but got reply from 00:1a:4d:24:bf:e0 on rl0
Sep 14 09:03:28 hostname last message repeated 3 times
Sep 14 09:03:32 hostname kernel: arp: 192.168.5.10 is on re0 but got reply from 00:15:17:23:82:0c on rl0
Sep 14 09:03:35 hostname last message repeated 2 times

Группа 5
Sep 14 09:03:35 hostname root: /etc/rc: ERROR: USAGE: load_rc_config name

Группа 6
Sep 14 09:03:36 hostname nmbd[1028]: [2009/09/14 09:03:36, 0] param/loadparm.c:map_parameter(2769)
Sep 14 09:03:36 hostname nmbd[1028]:   Unknown parameter encountered: "referred master"
Sep 14 09:03:36 hostname nmbd[1028]: [2009/09/14 09:03:36, 0] param/loadparm.c:lp_do_parameter(3503)
Sep 14 09:03:36 hostname nmbd[1028]:   Ignoring unknown parameter "referred master"
Sep 14 09:03:36 hostname nmbd[1029]: [2009/09/14 09:03:36, 0] nmbd/asyncdns.c:start_async_dns(151)
Sep 14 09:03:36 hostname nmbd[1029]:   started asyncdns process 1030
Sep 14 09:03:36 hostname nmbd[1029]: [2009/09/14 09:03:36, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(335)

Группа 7
Sep 14 09:03:47 hostname freshclam[1079]: Your ClamAV installation is OUTDATED!
Sep 14 09:03:47 hostname freshclam[1079]: Local version: 0.93 Recommended version: 0.95.2

Группа 3-2
ad4: 152626MB <Seagate ST3160815AS 3.AAC> at ata2-master SATA150
ad7: 476940MB <SAMSUNG HD501LJ CR100-12> at ata3-slave SATA150
ar0: WARNING - mirror protection lost. RAID1 array in DEGRADED mode
ar0: 305108MB <LSILogic v3 MegaRAID RAID1> status: DEGRADED
ar0: disk0 DOWN no device found for this subdisk
ar0: disk1 READY (mirror) using ad7 at ata3-slave
Trying to mount root from ufs:/dev/ad4s1a

Вот fstab тут всё совпадает с системой единственное только вместо ad4s1с сразу идет ad4s1d , это могло возникнуть при переносе /var на более емкий раздел (сам перенос я не делал но просто слышал про это)

Код: Выделить всё

# Device    Mountpoint      FStype  Options     Dump    Pass#
/dev/ad4s1b             none            swap    sw              0       0
/dev/ad4s1a               /                 ufs     rw              1       1
/dev/ad4s1e              /tmp            ufs     rw              2       2
/dev/ad4s1f              /usr              ufs     rw              2       2
/dev/ad4s1d             /var              ufs     rw              2       2
/dev/acd0                /cdrom     cd9660  ro,noauto     0       0
/dev/ad7s1d            /500              ufs     rw              2       2

С группами 1; 1-2; 3; 3-2; 7 вроде всё более менее понятно, но вот группа 2; 5 и 6 чесно говоря, не однозначные мало о чем говорящие уведомления для меня ...

И еще почитай http://unix.derkeiler.com/Mailing-Lists ... 00447.html
Может это натолкнет на путь истинный.

может что не так посмотрел, но там очень мало инфы и что это могло бы значить: тут чувак пишет что мол после обновления выходят ошибки, и видимо кто то написал ему или он сам написал, что суть проблемы лежит в /etc/rc.d/lockd, /etc/rc.d/statd - у меня таких файлов нету почемуто в /etc/rc.d/, и это может быть любой скрипт из rc.d а не только эти два, и решение проблемы в этом топике как то сомнительно...

Код: Выделить всё

Aug 18 11:42:37 omval root: /etc/rc: ERROR: USAGE: load_rc_config name
Aug 18 11:42:37 omval kernel: /etc/rc: ERROR: USAGE: load_rc_config name
Aug 18 11:42:37 omval root: /etc/rc: ERROR: USAGE: load_rc_config name
Aug 18 11:42:37 omval kernel: /etc/rc: ERROR: USAGE: load_rc_config name

The problem is in /etc/rc.d/lockd en /etc/rc.d/statd, which call
load_rc_config $name
without setting "name"..

Еще наблюдение:
Сегодня перегружал сервер, посмотрел внимательно на консоль.
У меня тоже на определенном этапе загрузки пробегает "mounting late file system".
И продолжает грузиться дальше.
Соответственно нужно смотреть что запускается (или пытается зпуститься) после этого.

Я уже писал что по моему тормозится загрузка по причине этой ошибки

Код: Выделить всё

/etc/rc: ERROR: USAGE: load_rc_config name

, т.к. когда загрузка системы останавливается, нажимаю Enter и вываливается следующее:(еще раз посмотрел)

Код: Выделить всё

read: settings, : bad variable name
/etc/rc: ERROR: USAGE: load_rc_config name

[beegimot]

Код: Выделить всё

man rcorder

я выяснил что после апача идет havp.sh(кстати в /usr/local/etc/rc.d/ два скрипта havp.sh и havp и написаны они одинаково, различия только в закомментированных строках, причем весьма странным способом-если в одном что то отключенно то в другом включено), но он отключен в rc.conf, после нажатия на enter вываливается вышеописанная ошибка и запускается proftpd, и другие по списку:

Код: Выделить всё

/home/user/>sudo rcorder /etc/rc.d/** /usr/local/etc/rc.d/**
rcorder: file `/usr/local/etc/rc.d/courier-authdaemond' is before unknown provision `imap'
/etc/rc.d/dumpon
/etc/rc.d/initrandom
/etc/rc.d/geli
/etc/rc.d/gbde
/etc/rc.d/encswap
/etc/rc.d/ccd
/etc/rc.d/swap1
/etc/rc.d/mdconfig
/etc/rc.d/ramdisk
/etc/rc.d/early.sh
/etc/rc.d/fsck
/etc/rc.d/root
/etc/rc.d/mountcritlocal
/etc/rc.d/var
/etc/rc.d/random
/etc/rc.d/adjkerntz
/etc/rc.d/atm1
/etc/rc.d/hostname
/etc/rc.d/ipfilter
/etc/rc.d/ipnat
/etc/rc.d/ipfs
/etc/rc.d/kldxref
/etc/rc.d/sppp
/etc/rc.d/addswap
/etc/rc.d/auto_linklocal
/etc/rc.d/sysctl
/etc/rc.d/serial
/etc/rc.d/pccard
/etc/rc.d/netif
/etc/rc.d/ip6addrctl
/etc/rc.d/atm2
/etc/rc.d/pfsync
/etc/rc.d/cleanvar
/etc/rc.d/pflog
/etc/rc.d/pf
/etc/rc.d/isdnd
/etc/rc.d/ppp
/etc/rc.d/routing
/etc/rc.d/ip6fw
/etc/rc.d/network_ipv6
/etc/rc.d/devd
/etc/rc.d/ipsec
/etc/rc.d/ipfw
/etc/rc.d/nsswitch
/etc/rc.d/mroute6d
/etc/rc.d/route6d
/etc/rc.d/mrouted
/etc/rc.d/routed
/etc/rc.d/NETWORKING
/etc/rc.d/mountcritremote
/etc/rc.d/accounting
/etc/rc.d/ldconfig
/etc/rc.d/devfs
/etc/rc.d/ipmon
/etc/rc.d/mdconfig2
/etc/rc.d/ramdisk-own
/etc/rc.d/newsyslog
/etc/rc.d/syslogd
/etc/rc.d/savecore
/etc/rc.d/archdep
/etc/rc.d/abi
/etc/rc.d/SERVERS
/etc/rc.d/named
/etc/rc.d/ntpdate
/etc/rc.d/rpcbind
/etc/rc.d/nfsclient
/etc/rc.d/nisdomain
/etc/rc.d/ypserv
/etc/rc.d/ypbind
/etc/rc.d/amd
/etc/rc.d/atm3
/etc/rc.d/auditd
/etc/rc.d/tmp
/etc/rc.d/cleartmp
/etc/rc.d/dmesg
/etc/rc.d/ike
/etc/rc.d/ipxrouted
/etc/rc.d/kerberos
/etc/rc.d/kadmind
/etc/rc.d/keyserv
/etc/rc.d/kpasswdd
/etc/rc.d/quota
/etc/rc.d/nfsserver
/etc/rc.d/mountd
/etc/rc.d/nfsd
/etc/rc.d/nfslocking
/etc/rc.d/pppoed
/etc/rc.d/pwcheck
/etc/rc.d/virecover
/usr/local/etc/rc.d/mpd4
/etc/rc.d/DAEMON
/etc/rc.d/apm
/etc/rc.d/apmd
/etc/rc.d/bootparams
/etc/rc.d/hcsecd
/etc/rc.d/bthidd
/etc/rc.d/local
/etc/rc.d/lpd
/etc/rc.d/motd
/etc/rc.d/mountlate
/etc/rc.d/ntpd
/etc/rc.d/powerd
/etc/rc.d/rarpd
/etc/rc.d/rtadvd
/etc/rc.d/rwho
/etc/rc.d/sdpd
/etc/rc.d/timed
/etc/rc.d/ugidfw
/etc/rc.d/usbd
/etc/rc.d/yppasswdd
/usr/local/etc/rc.d/apache.sh
/usr/local/etc/rc.d/havp
/usr/local/etc/rc.d/havp.sh
/usr/local/etc/rc.d/proftpd
/usr/local/etc/rc.d/rinetd
/etc/rc.d/resolv
/usr/local/etc/rc.d/samba
/etc/rc.d/LOGIN
/usr/local/etc/rc.d/webmin
/usr/local/etc/rc.d/vtund
/usr/local/etc/rc.d/vtunclient
/usr/local/etc/rc.d/teamspeak-server
/usr/local/etc/rc.d/stargazer.sh
/usr/local/etc/rc.d/stargazer.core
/usr/local/etc/rc.d/squid
/usr/local/etc/rc.d/sa-spamd
/usr/local/etc/rc.d/rc.tun
/usr/local/etc/rc.d/clamav-clamd
/usr/local/etc/rc.d/clamav-freshclam
/usr/local/etc/rc.d/mysql-server
/usr/local/etc/rc.d/courier-authdaemond
/usr/local/etc/rc.d/dcc-start
/usr/local/etc/rc.d/postfix
/usr/local/etc/rc.d/portsentry.sh
/usr/local/etc/rc.d/ng_ipacct
rcorder: requirement `snmpd' in file `/usr/local/etc/rc.d/mrtg_daemon' has no providers.
/etc/rc.d/bsnmpd
/usr/local/etc/rc.d/mrtg_daemon
/usr/local/etc/rc.d/monkey.sh
/usr/local/etc/rc.d/esets_daemon.sh
/usr/local/etc/rc.d/cupsd
/usr/local/etc/rc.d/courier-imap-pop3d-ssl
/usr/local/etc/rc.d/courier-imap-pop3d
/usr/local/etc/rc.d/courier-imap-imapd-ssl
/usr/local/etc/rc.d/courier-imap-imapd
/usr/local/etc/rc.d/clamsmtpd
/usr/local/etc/rc.d/assp
/etc/rc.d/ypxfrd
/etc/rc.d/ypupdated
/etc/rc.d/ypset
/etc/rc.d/wpa_supplicant
/etc/rc.d/watchdogd
/etc/rc.d/syscons
/etc/rc.d/sshd
/etc/rc.d/sendmail
/etc/rc.d/cron
/etc/rc.d/jail
/etc/rc.d/localpkg
/etc/rc.d/netoptions
/etc/rc.d/securelevel
/etc/rc.d/power_profile
/etc/rc.d/pcvt
/etc/rc.d/othermta
/etc/rc.d/natd
/etc/rc.d/msgs
/etc/rc.d/moused
/etc/rc.d/mixer
/etc/rc.d/inetd
/etc/rc.d/hostapd
/etc/rc.d/geli2
/etc/rc.d/ftpd
/etc/rc.d/dhclient
/etc/rc.d/bridge
/etc/rc.d/bluetooth
/etc/rc.d/bgfsck

[beegimot]

я удалил havp и расскомментировал строки в havp.sh теперь грузится без Enter

Код: Выделить всё

#!/bin/sh
#
# $FreeBSD: ports/www/havp/files/havp.in,v 1.1 2006/06/18 04:54:26 novel Exp $
#

# PROVIDE: havp
# REQUIRE: DAEMON cleanvar
# BEFORE: LOGIN

#
# Add the following lines to /etc/rc.conf to enable c-icap:
#
# havp_enable="YES"
#
# See '/usr/local/sbin/havp --help' for flags
#

. /etc/rc.subr     ### была закомментированна

name="havp"      ### была закомментированна
rcvar=`set_rcvar`  ### была закомментированна

command="/usr/local/sbin/$name"
pidfile="/var/run/havp/${name}.pid"
required_dirs="/var/tmp/havp"
#required_files="/usr/local/etc/havp/blacklist /usr/local/etc/havp/havp.config /usr/local/etc/havp/whitelist"
required_files="/usr/local/etc/havp/havp.config"

#read settings, set default values - 
load_rc_config "$name"
: ${havp_enable="NO"}
: ${havp_flags=""}

sleep 2s && run_rc_command "$1"  ### было 20секунд поставил на 2 секунды чтоб быстрее проходил слип

read settings, set default values - только после того как закомментировал эту строку ОСЬ начала сама грузится и не выдавала ошибку "read: settings, : bad variable name"
Ошибка "/etc/rc: ERROR: USAGE: load_rc_config name" было из за строчки "name="havp" - его закомментировали и соответсвенно система не могла обработать индетификатор службы havp "load_rc_config "$name""
Вывод: прошлый админ видимо что то химичел с этим havp и как то коряво отключил его.
Скажите пожалуста, если это варварский метод, и подскажите как правильно сделать.
Вот новый лог загрузки

Код: Выделить всё

Oct 26 13:14:16 hostname syslogd: kernel boot file is /boot/kernel/kernel
Oct 26 13:14:16 hostname kernel: Copyright (c) 1992-2007 The FreeBSD Project.
Oct 26 13:14:16 hostname kernel: Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
Oct 26 13:14:16 hostname kernel: The Regents of the University of California. All rights reserved.
Oct 26 13:14:16 hostname kernel: FreeBSD is a registered trademark of The FreeBSD Foundation.
Oct 26 13:14:16 hostname kernel: FreeBSD 6.2-RELEASE #0: Sun Feb  3 14:20:56 UTC 2008
Oct 26 13:14:16 hostname kernel: root@hostname.domain.ru:/usr/obj/usr/src/sys/user
Oct 26 13:14:16 hostname kernel: ACPI APIC Table: <GBT    GBTUACPI>
Oct 26 13:14:16 hostname kernel: Timecounter "i8254" frequency 1193182 Hz quality 0
Oct 26 13:14:16 hostname kernel: CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz (3014.50-MHz 686-class CPU)
Oct 26 13:14:16 hostname kernel: Origin = "GenuineIntel"  Id = 0xf49  Stepping = 9
Oct 26 13:14:16 hostname kernel: Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLUSH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE>
Oct 26 13:14:16 hostname kernel: Features2=0x641d<SSE3,RSVD2,MON,DS_CPL,CNTX-ID,CX16,<b14>>
Oct 26 13:14:16 hostname kernel: AMD Features=0x20100000<NX,LM>
Oct 26 13:14:16 hostname kernel: AMD Features2=0x1<LAHF>
Oct 26 13:14:16 hostname kernel: Logical CPUs per core: 2
Oct 26 13:14:16 hostname kernel: real memory  = 528416768 (503 MB)
Oct 26 13:14:16 hostname kernel: avail memory = 507674624 (484 MB)
Oct 26 13:14:16 hostname kernel: ioapic0: Changing APIC ID to 2
Oct 26 13:14:16 hostname kernel: ioapic0 <Version 2.0> irqs 0-23 on motherboard
Oct 26 13:14:16 hostname kernel: kbd1 at kbdmux0
Oct 26 13:14:16 hostname kernel: acpi0: <GBT GBTUACPI> on motherboard
Oct 26 13:14:16 hostname kernel: acpi0: Power Button (fixed)
Oct 26 13:14:16 hostname kernel: Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
Oct 26 13:14:16 hostname kernel: acpi_timer0: <24-bit timer at 3.579545MHz> port 0x408-0x40b on acpi0
Oct 26 13:14:16 hostname kernel: cpu0: <ACPI CPU> on acpi0
Oct 26 13:14:16 hostname kernel: acpi_throttle0: <ACPI CPU Throttling> on cpu0
Oct 26 13:14:16 hostname kernel: acpi_button0: <Power Button> on acpi0
Oct 26 13:14:16 hostname kernel: pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
Oct 26 13:14:16 hostname kernel: pci0: <ACPI PCI bus> on pcib0
Oct 26 13:14:16 hostname kernel: pci0: <display, VGA> at device 2.0 (no driver attached)
Oct 26 13:14:16 hostname kernel: pci0: <multimedia> at device 27.0 (no driver attached)
Oct 26 13:14:16 hostname kernel: uhci0: <UHCI (generic) USB controller> port 0xb000-0xb01f irq 23 at device 29.0 on pci0
Oct 26 13:14:16 hostname kernel: uhci0: [GIANT-LOCKED]
Oct 26 13:14:16 hostname kernel: usb0: <UHCI (generic) USB controller> on uhci0
Oct 26 13:14:16 hostname kernel: usb0: USB revision 1.0
Oct 26 13:14:16 hostname kernel: uhub0: Intel UHCI root hub, class 9/0, rev 1.00/1.00, addr 1
Oct 26 13:14:16 hostname kernel: uhub0: 2 ports with 2 removable, self powered
Oct 26 13:14:16 hostname kernel: uhci1: <UHCI (generic) USB controller> port 0xb400-0xb41f irq 19 at device 29.1 on pci0
Oct 26 13:14:16 hostname kernel: uhci1: [GIANT-LOCKED]
Oct 26 13:14:16 hostname kernel: usb1: <UHCI (generic) USB controller> on uhci1
Oct 26 13:14:16 hostname kernel: usb1: USB revision 1.0
Oct 26 13:14:16 hostname kernel: uhub1: Intel UHCI root hub, class 9/0, rev 1.00/1.00, addr 1
Oct 26 13:14:16 hostname kernel: uhub1: 2 ports with 2 removable, self powered
Oct 26 13:14:16 hostname kernel: uhci2: <UHCI (generic) USB controller> port 0xb800-0xb81f irq 18 at device 29.2 on pci0
Oct 26 13:14:16 hostname kernel: uhci2: [GIANT-LOCKED]
Oct 26 13:14:16 hostname kernel: usb2: <UHCI (generic) USB controller> on uhci2
Oct 26 13:14:16 hostname kernel: usb2: USB revision 1.0
Oct 26 13:14:16 hostname kernel: uhub2: Intel UHCI root hub, class 9/0, rev 1.00/1.00, addr 1
Oct 26 13:14:16 hostname kernel: uhub2: 2 ports with 2 removable, self powered
Oct 26 13:14:16 hostname kernel: uhci3: <UHCI (generic) USB controller> port 0xbc00-0xbc1f irq 16 at device 29.3 on pci0
Oct 26 13:14:16 hostname kernel: uhci3: [GIANT-LOCKED]
Oct 26 13:14:16 hostname kernel: usb3: <UHCI (generic) USB controller> on uhci3
Oct 26 13:14:16 hostname kernel: usb3: USB revision 1.0
Oct 26 13:14:16 hostname kernel: uhub3: Intel UHCI root hub, class 9/0, rev 1.00/1.00, addr 1
Oct 26 13:14:16 hostname kernel: uhub3: 2 ports with 2 removable, self powered
Oct 26 13:14:16 hostname kernel: ehci0: <Intel 82801GB/R (ICH7) USB 2.0 controller> mem 0xe20c4000-0xe20c43ff irq 23 at device 29.7 on pci0
Oct 26 13:14:16 hostname kernel: ehci0: [GIANT-LOCKED]
Oct 26 13:14:16 hostname kernel: usb4: EHCI version 1.0
Oct 26 13:14:16 hostname kernel: usb4: companion controllers, 2 ports each: usb0 usb1 usb2 usb3
Oct 26 13:14:16 hostname kernel: usb4: <Intel 82801GB/R (ICH7) USB 2.0 controller> on ehci0
Oct 26 13:14:16 hostname kernel: usb4: USB revision 2.0
Oct 26 13:14:16 hostname kernel: uhub4: Intel EHCI root hub, class 9/0, rev 2.00/1.00, addr 1
Oct 26 13:14:16 hostname kernel: uhub4: 8 ports with 8 removable, self powered
Oct 26 13:14:16 hostname kernel: pcib1: <ACPI PCI-PCI bridge> at device 30.0 on pci0
Oct 26 13:14:16 hostname kernel: pci1: <ACPI PCI bus> on pcib1
Oct 26 13:14:16 hostname kernel: vr0: <VIA VT6105 Rhine III 10/100BaseTX> port 0xa000-0xa0ff mem 0xe1002000-0xe10020ff irq 20 at device 0.0 on pci1
Oct 26 13:14:16 hostname kernel: miibus0: <MII bus> on vr0
Oct 26 13:14:16 hostname kernel: ukphy0: <Generic IEEE 802.3u media interface> on miibus0
Oct 26 13:14:16 hostname kernel: ukphy0:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
Oct 26 13:14:16 hostname kernel: vr0: Ethernet address: 00:11:95:cb:ed:a1
Oct 26 13:14:16 hostname kernel: rl0: <RealTek 8139 10/100BaseTX> port 0xa400-0xa4ff mem 0xe1000000-0xe10000ff irq 19 at device 1.0 on pci1
Oct 26 13:14:16 hostname kernel: miibus1: <MII bus> on rl0
Oct 26 13:14:16 hostname kernel: rlphy0: <RealTek internal media interface> on miibus1
Oct 26 13:14:16 hostname kernel: rlphy0:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
Oct 26 13:14:16 hostname kernel: rl0: Ethernet address: 00:14:d1:31:77:55
Oct 26 13:14:16 hostname kernel: re0: <RealTek 8169SC/8110SC Single-chip Gigabit Ethernet> port 0xa800-0xa8ff mem 0xe1001000-0xe10010ff irq 21 at device 5.0 on pci1
Oct 26 13:14:16 hostname kernel: miibus2: <MII bus> on re0
Oct 26 13:14:16 hostname kernel: rgephy0: <RTL8169S/8110S media interface> on miibus2
Oct 26 13:14:16 hostname kernel: rgephy0:  10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, 1000baseTX, 1000baseTX-FDX, auto
Oct 26 13:14:16 hostname kernel: re0: Ethernet address: 00:1a:4d:24:bf:e0
Oct 26 13:14:16 hostname kernel: re0: [FAST]
Oct 26 13:14:16 hostname kernel: isab0: <PCI-ISA bridge> at device 31.0 on pci0
Oct 26 13:14:16 hostname kernel: isa0: <ISA bus> on isab0
Oct 26 13:14:16 hostname kernel: atapci0: <Intel ICH7 UDMA100 controller> port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xf000-0xf00f at device 31.1 on pci0
Oct 26 13:14:16 hostname kernel: ata0: <ATA channel 0> on atapci0
Oct 26 13:14:16 hostname kernel: ata1: <ATA channel 1> on atapci0
Oct 26 13:14:16 hostname kernel: atapci1: <Intel ICH7 SATA300 controller> port 0xd400-0xd407,0xd800-0xd803,0xdc00-0xdc07,0xe000-0xe003,0xe400-0xe40f irq 19 at device 31.2 on pci0
Oct 26 13:14:16 hostname kernel: ata2: <ATA channel 0> on atapci1
Oct 26 13:14:16 hostname kernel: ata3: <ATA channel 1> on atapci1
Oct 26 13:14:16 hostname kernel: pci0: <serial bus, SMBus> at device 31.3 (no driver attached)
Oct 26 13:14:16 hostname kernel: fdc0: <floppy drive controller> port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0
Oct 26 13:14:16 hostname kernel: fdc0: [FAST]
Oct 26 13:14:16 hostname kernel: sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
Oct 26 13:14:16 hostname kernel: sio0: type 16550A
Oct 26 13:14:16 hostname kernel: sio1: <16550A-compatible COM port> port 0x2f8-0x2ff irq 3 on acpi0
Oct 26 13:14:16 hostname kernel: sio1: type 16550A
Oct 26 13:14:16 hostname kernel: ppc0: <Standard parallel printer port> port 0x378-0x37f irq 7 on acpi0
Oct 26 13:14:16 hostname kernel: ppc0: Generic chipset (NIBBLE-only) in COMPATIBLE mode
Oct 26 13:14:16 hostname kernel: ppbus0: <Parallel port bus> on ppc0
Oct 26 13:14:16 hostname kernel: plip0: <PLIP network interface> on ppbus0
Oct 26 13:14:16 hostname kernel: lpt0: <Printer> on ppbus0
Oct 26 13:14:16 hostname kernel: lpt0: Interrupt-driven port
Oct 26 13:14:16 hostname kernel: ppi0: <Parallel I/O> on ppbus0
Oct 26 13:14:16 hostname kernel: atkbdc0: <Keyboard controller (i8042)> port 0x60,0x64 irq 1 on acpi0
Oct 26 13:14:16 hostname kernel: atkbd0: <AT Keyboard> irq 1 on atkbdc0
Oct 26 13:14:16 hostname kernel: kbd0 at atkbd0
Oct 26 13:14:16 hostname kernel: atkbd0: [GIANT-LOCKED]
Oct 26 13:14:16 hostname kernel: pmtimer0 on isa0
Oct 26 13:14:16 hostname kernel: orm0: <ISA Option ROM> at iomem 0xc0000-0xca7ff on isa0
Oct 26 13:14:16 hostname kernel: sc0: <System console> at flags 0x100 on isa0
Oct 26 13:14:16 hostname kernel: sc0: VGA <16 virtual consoles, flags=0x300>
Oct 26 13:14:16 hostname kernel: vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
Oct 26 13:14:16 hostname kernel: Timecounter "TSC" frequency 3014502810 Hz quality 800
Oct 26 13:14:16 hostname kernel: Timecounters tick every 1.000 msec
Oct 26 13:14:16 hostname kernel: ipfw2 (+ipv6) initialized, divert loadable, rule-based forwarding enabled, default to deny, logging unlimited
Oct 26 13:14:16 hostname kernel: acd0: DVDR <HL-DT-STDVD-RAM GSA-H55N/1.03> at ata0-master UDMA66
Oct 26 13:14:16 hostname kernel: ad4: 152626MB <Seagate ST3160815AS 3.AAC> at ata2-master SATA150
Oct 26 13:14:16 hostname kernel: ad7: 476940MB <SAMSUNG HD501LJ CR100-12> at ata3-slave SATA150
Oct 26 13:14:16 hostname kernel: ar0: WARNING - mirror protection lost. RAID1 array in DEGRADED mode
Oct 26 13:14:16 hostname kernel: ar0: 305108MB <LSILogic v3 MegaRAID RAID1> status: DEGRADED
Oct 26 13:14:16 hostname kernel: ar0: disk0 DOWN no device found for this subdisk
Oct 26 13:14:16 hostname kernel: ar0: disk1 READY (mirror) using ad7 at ata3-slave
Oct 26 13:14:16 hostname kernel: Trying to mount root from ufs:/dev/ad4s1a
Oct 26 13:14:16 hostname named[874]: starting BIND 9.3.4-P1 -t /var/named -u bind
Oct 26 13:14:16 hostname kernel: re0: link state changed to UP
Oct 26 13:14:16 hostname named[874]: command channel listening on 127.0.0.1#953
Oct 26 13:14:16 hostname named[874]: command channel listening on ::1#953
Oct 26 13:14:16 hostname named[874]: /etc/namedb/master/bp_back.conf:18: file does not end with newline
Oct 26 13:14:16 hostname named[874]: master/for.conf:18: file does not end with newline
Oct 26 13:14:16 hostname named[874]: running
Oct 26 13:14:17 hostname kernel: rl0: link state changed to UP
Oct 26 13:14:17 hostname kernel: arp: 192.168.5.88 is on re0 but got reply from 00:1e:68:97:08:fe on rl0
Oct 26 13:14:17 hostname kernel: arp: 192.168.5.88 is on re0 but got reply from 00:1e:68:97:08:fe on rl0
Oct 26 13:14:18 hostname kernel: arp: 192.168.5.1 is on lo0 but got reply from 00:1a:4d:24:bf:e0 on rl0
Oct 26 13:14:22 hostname last message repeated 7 times
Oct 26 13:14:22 hostname kernel: arp: 192.168.5.88 is on re0 but got reply from 00:1e:68:97:08:fe on rl0
Oct 26 13:14:22 hostname last message repeated 2 times
Oct 26 13:14:27 hostname kernel: arp: 192.168.5.10 is on re0 but got reply from 00:15:17:23:82:0c on rl0
Oct 26 13:14:28 hostname kernel: arp: 192.168.5.88 is on re0 but got reply from 00:1e:68:97:08:fe on rl0
Oct 26 13:14:49 hostname last message repeated 14 times
Oct 26 13:14:50 hostname proftpd[1009]: hostname.domain.ru - ProFTPD 1.3.0 (stable) (built Sun Feb 3 11:52:03 UTC 2008) standalone mode STARTUP 
Oct 26 13:14:51 hostname nmbd[1032]: [2009/10/26 13:14:51, 0] param/loadparm.c:map_parameter(2769)
Oct 26 13:14:51 hostname nmbd[1032]:   Unknown parameter encountered: "referred master"
Oct 26 13:14:51 hostname nmbd[1032]: [2009/10/26 13:14:51, 0] param/loadparm.c:lp_do_parameter(3503)
Oct 26 13:14:51 hostname nmbd[1032]:   Ignoring unknown parameter "referred master"
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/asyncdns.c:start_async_dns(151)
Oct 26 13:14:51 hostname nmbd[1033]:   started asyncdns process 1035
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(335)
Oct 26 13:14:51 hostname nmbd[1033]:   become_domain_master_browser_wins:
Oct 26 13:14:51 hostname nmbd[1033]:   Attempting to become domain master browser on workgroup MYDOMAIN, subnet UNICAST_SUBNET.
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_wins(349)
Oct 26 13:14:51 hostname nmbd[1033]:   become_domain_master_browser_wins: querying WINS server from IP 192.168.5.1 for domain master browser name MYDOMAIN<1b> on workgroup MYDOMAIN
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(113)
Oct 26 13:14:51 hostname nmbd[1033]:   *****
Oct 26 13:14:51 hostname nmbd[1033]:   
Oct 26 13:14:51 hostname nmbd[1033]:   Samba server SRV is now a domain master browser for workgroup MYDOMAIN on subnet UNICAST_SUBNET
Oct 26 13:14:51 hostname nmbd[1033]:   
Oct 26 13:14:51 hostname nmbd[1033]:   *****
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(290)
Oct 26 13:14:51 hostname nmbd[1033]:   become_domain_master_browser_bcast:
Oct 26 13:14:51 hostname nmbd[1033]:   Attempting to become domain master browser on workgroup MYDOMAIN on subnet 192.168.5.1
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(303)
Oct 26 13:14:51 hostname nmbd[1033]:   become_domain_master_browser_bcast: querying subnet 192.168.5.1 for domain master browser on workgroup MYDOMAIN
Oct 26 13:14:51 hostname nmbd[1033]: [2009/10/26 13:14:51, 0] nmbd/nmbd_become_dmb.c:become_domain_master_query_success(233)
Oct 26 13:14:51 hostname nmbd[1033]:   become_domain_master_query_success:
Oct 26 13:14:51 hostname nmbd[1033]:   There is already a domain master browser at IP 192.168.5.10 for workgroup MYDOMAIN registered on subnet 192.168.5.1.
Oct 26 13:14:51 hostname smbd[1037]: [2009/10/26 13:14:51, 0] param/loadparm.c:map_parameter(2769)
Oct 26 13:14:51 hostname smbd[1037]:   Unknown parameter encountered: "referred master"
Oct 26 13:14:51 hostname smbd[1037]: [2009/10/26 13:14:51, 0] param/loadparm.c:lp_do_parameter(3503)
Oct 26 13:14:51 hostname smbd[1037]:   Ignoring unknown parameter "referred master"
Oct 26 13:14:51 hostname smbd[1037]: [2009/10/26 13:14:51, 0] param/loadparm.c:map_parameter(2769)
Oct 26 13:14:51 hostname smbd[1037]:   Unknown parameter encountered: "readable"
Oct 26 13:14:51 hostname smbd[1037]: [2009/10/26 13:14:51, 0] param/loadparm.c:lp_do_parameter(3503)
Oct 26 13:14:51 hostname smbd[1037]:   Ignoring unknown parameter "readable"
Oct 26 13:14:51 hostname smbd[1037]: [2009/10/26 13:14:51, 0] param/loadparm.c:map_parameter(2769)
Oct 26 13:14:51 hostname smbd[1037]:   Unknown parameter encountered: "readable"
Oct 26 13:14:51 hostname smbd[1037]: [2009/10/26 13:14:51, 0] param/loadparm.c:lp_do_parameter(3503)
Oct 26 13:14:51 hostname smbd[1037]:   Ignoring unknown parameter "readable"
Oct 26 13:14:53 hostname squid[1061]: Squid Parent: child process 1066 started
Oct 26 13:14:54 hostname kernel: arp: 192.168.5.88 is on re0 but got reply from 00:1e:68:97:08:fe on rl0
Oct 26 13:14:54 hostname last message repeated 2 times
Oct 26 13:14:56 hostname freshclam[1083]: Your ClamAV installation is OUTDATED!
Oct 26 13:14:56 hostname freshclam[1083]: Local version: 0.93 Recommended version: 0.95.2
Oct 26 13:14:59 hostname kernel: arp: 192.168.5.88 is on re0 but got reply from 00:1e:68:97:08:fe on rl0
Oct 26 13:14:59 hostname last message repeated 2 times
Oct 26 13:15:03 hostname portsentry[1286]: adminalert: PortSentry 1.2 is starting.
Oct 26 13:15:03 hostname portsentry[1287]: adminalert: Going into listen mode on TCP port: 1
Oct 26 13:15:03 hostname portsentry[1287]: adminalert: Going into listen mode on TCP port: 11
Oct 26 13:15:03 hostname portsentry[1287]: adminalert: Going into listen mode on TCP port: 15
Oct 26 13:15:03 hostname portsentry[1287]: adminalert: Going into listen mode on TCP port: 79
Oct 26 13:15:03 hostname portsentry[1287]: adminalert: Going into listen mode on TCP port: 111

[beegimot]

Ех еще бы ARP логи эти отключить, чтоб не засоряли логирование...

[uran-238]

Ех еще бы ARP логи эти отключить, чтоб не засоряли логирование...

Код: Выделить всё

net.link.ether.inet.log_arp_wrong_iface=0
net.link.ether.inet.log_arp_movements=0

[beegimot]

Ех еще бы ARP логи эти отключить, чтоб не засоряли логирование...

Код: Выделить всё

net.link.ether.inet.log_arp_wrong_iface=0
net.link.ether.inet.log_arp_movements=0

В /etc/sysctrl.conf ?
Это не изменит и не изменило ( логи arp также идут но в сокращенном виде, и всё равно в большом количестве и ежесекундно) ситуацию, нужно найти причину вывода этих arp логов. как я и говорил на многих форумах дают советы, которые не решают суть этой проблемы с логами ARP, а лишь советы для блокировки отключения или скрытия этих логов, что не есть правильно, ведь раньше не было этих логов в таком количестве, значит в чем то есть зогвоздка... очнь бы хотелось знать и решать проблему заведомо уверенными шагами.

[Demis]

Вылетел на недельку из темы, но смотрю тебе уже удалось многое разгрести.
по поводу арпов смотри:

1. ты писал

Код: Выделить всё

inn='re0'       #192.168.5.1
ipin='192.168.5.1'   
innet='192.168.5.0/24'
###
out='rl0'
ipout='10.100.10.34'
####################
${ipfw} -f flush
${ipfw} add 100 deny ip from not 192.168.5.220 to me dst-port 3128 in via ${inn} ###это мой комп админский
${ipfw} add 200 deny ip from 192.168.0.0/16 to any in via ${out}
${ipfw} add 400 deny icmp from any to any frag
${ipfw} add 500 deny ip from any to not me via ${out} in [???]
${ipfw} add 510 deny ip from any to 192.168.0.0/16,10.0.0.0/16,172.16.0.0/12 out via ${out}
${ipfw} add 520 deny ip from 0.0.0.0/8,224.0.0.0/4,10.0.0.0/8,172.16.0.0/12 to any out via ${out}
${ipfw} add 530 deny ip from not ${innet} to any in via ${inn}
#################DIVERT###########################

(я сократил)
советовали:

Код: Выделить всё

${ipfw} add 150 deny all  from  $(innet) to any via ${out}

теперь посмотри на такой пример:

Код: Выделить всё

# FIRST - set loopback if
${ipfw} add allow all from any to any via lo0
# NEXT set antispoofing
${ipfw} add deny all from any to 127.0.0.0/8
${ipfw} add deny ip from 127.0.0.0/8 to any

# NEXT deny any to internal posible net
${ipfw} add deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add deny log ip from any to 0.0.0.0/8 in via ${out}

в твоем примере все выглядит как "запретить из серых сетей наружу", т.е. через внешний интерфейс
в примере который ты уже опробовал все выглядит как "запретить из твоей внутренней сети наружу"
предлагаю обратить внимание на направление, т.е. запрет входящих пакетов 192.168.x.x сетей на вход:

Код: Выделить всё

${ipfw} add deny log ip from any to 192.168.0.0/16 in via ${out} 

скорее всего прилетают пакеты из других сетей в твоем поддиапазоне выделенном провайдером
т.е. если в сети 10.100.10.х с маской 255.255.255.252 (не считая твоего) есть хосты с недоконфигурированными файерфолами и натами
то они будут вещать в разные стороны куда это будет доступно.
Проверь mac-адреса (те что в логах 192.168.5.10 is on re0 but got reply from 00:15:17:23:82:0c on rl0)
посмотри на вин2к3 в dhcp сервере (если он действительно используется), там видны все mac твоей внутренней сети.
если там этих маков нет, то скорее всего они "левые" и залетают снаружи, т.к. не перекрыто ipfw

все ниже параноя, можно и не делать
или если делать, то сначала разобраться, что, зачем, почему и нужно-ли это для твоей сети.

Код: Выделить всё

# NEXT deny multicast input
${ipfw} add deny log ip from any to 240.0.0.0/4 in via ${out}

# NEXT deny icmp fragments
${ipfw} add deny log icmp from any to any frag
# main add
${ipfw} add deny log icmp from any to any in icmptype 5,9,13,14,15,16,17

# NEXT deny multicast icmp input
${ipfw} add deny log icmp from any to 255.255.255.255 in via ${out}
${ipfw} add deny log icmp from any to 255.255.255.255 out via ${out}

${ipfw} add deny log tcp from any to any not established tcpflags fin
${ipfw} add deny log tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
${ipfw} add deny log tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
${ipfw} add deny log udp from any to any 137-139 via ${out}
${ipfw} add deny log udp from any to any 135 via ${out}
${ipfw} add deny log udp from any to any 445 via ${out}
${ipfw} add deny log tcp from any to any 445 via ${out}
${ipfw} add deny log tcp from any to any 1344 via ${out}
${ipfw} add deny log tcp from any to any 3128 via ${out}
${ipfw} add deny log all from any to any in frag

2. Обрати внимание, что havp это проверялка на лету хттп трафика на вирусы из инета.
Нужно убедиться, что вирусы блокируются при походах в инете через squid прокси.
Иначе пользователи наловят добра и долго потом разгребать будешь.

самый простой способ - зайти с пользовательской машины на сайт
http://www.eicar.org/anti_virus_test_file.htm
Примеров как настроить havp полно (например http://www.linux16.net/node/304, это правда для линукса, но многое похоже и для фряхи).

3. Вполне возможно, что прошлый админ либо не успел его доделать, либо что-то там разъехалось, либо это пережиток прошлого...

D.

[Demis]

Что-то не выделилась бяка, еще раз у тебя есть такая строка:

Код: Выделить всё

${ipfw} add 500 deny ip from any to not me via ${out} in

я добавил [???]
Собственно сам не совсем до конца понимаю можно-ли оставлять открытый оператор IN ?
В твоем конфиге он не имеет привязанного интерфейса. Либо IN не должно быть, либо конкретный(е) if.

[Гость]

Наткнулся еще на одну статью по поводу автозапусков, там программы конечно другие (но тоже с проблемой остановки при запуске).
Общий ход поиска проблемы запуска скрипта примерно виден.
http://www.forum.mista.ru/topic.php?id=379731

[beegimot]

Вылетел на недельку из темы, но смотрю тебе уже удалось многое разгрести.
по поводу арпов смотри:

1. ты писал

Код: Выделить всё

inn='re0'       #192.168.5.1
ipin='192.168.5.1'   
innet='192.168.5.0/24'
###
out='rl0'
ipout='10.100.10.34'
####################
${ipfw} -f flush
${ipfw} add 100 deny ip from not 192.168.5.220 to me dst-port 3128 in via ${inn} ###это мой комп админский
${ipfw} add 200 deny ip from 192.168.0.0/16 to any in via ${out}
${ipfw} add 400 deny icmp from any to any frag
${ipfw} add 500 deny ip from any to not me via ${out} in [???]
${ipfw} add 510 deny ip from any to 192.168.0.0/16,10.0.0.0/16,172.16.0.0/12 out via ${out}
${ipfw} add 520 deny ip from 0.0.0.0/8,224.0.0.0/4,10.0.0.0/8,172.16.0.0/12 to any out via ${out}
${ipfw} add 530 deny ip from not ${innet} to any in via ${inn}
#################DIVERT###########################

(я сократил)
советовали:

Код: Выделить всё

${ipfw} add 150 deny all  from  $(innet) to any via ${out}

теперь посмотри на такой пример:

Код: Выделить всё

# FIRST - set loopback if
${ipfw} add allow all from any to any via lo0
# NEXT set antispoofing
${ipfw} add deny all from any to 127.0.0.0/8
${ipfw} add deny ip from 127.0.0.0/8 to any

# NEXT deny any to internal posible net
${ipfw} add deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add deny log ip from any to 0.0.0.0/8 in via ${out}

в твоем примере все выглядит как "запретить из серых сетей наружу", т.е. через внешний интерфейс
в примере который ты уже опробовал все выглядит как "запретить из твоей внутренней сети наружу"
предлагаю обратить внимание на направление, т.е. запрет входящих пакетов 192.168.x.x сетей на вход:

Код: Выделить всё

${ipfw} add deny log ip from any to 192.168.0.0/16 in via ${out} 

скорее всего прилетают пакеты из других сетей в твоем поддиапазоне выделенном провайдером
т.е. если в сети 10.100.10.х с маской 255.255.255.252 (не считая твоего) есть хосты с недоконфигурированными файерфолами и натами
то они будут вещать в разные стороны куда это будет доступно.
Проверь mac-адреса (те что в логах 192.168.5.10 is on re0 but got reply from 00:15:17:23:82:0c on rl0)
посмотри на вин2к3 в dhcp сервере (если он действительно используется), там видны все mac твоей внутренней сети.
если там этих маков нет, то скорее всего они "левые" и залетают снаружи, т.к. не перекрыто ipfw

все ниже параноя, можно и не делать
или если делать, то сначала разобраться, что, зачем, почему и нужно-ли это для твоей сети.

Код: Выделить всё

# NEXT deny multicast input
${ipfw} add deny log ip from any to 240.0.0.0/4 in via ${out}

# NEXT deny icmp fragments
${ipfw} add deny log icmp from any to any frag
# main add
${ipfw} add deny log icmp from any to any in icmptype 5,9,13,14,15,16,17

# NEXT deny multicast icmp input
${ipfw} add deny log icmp from any to 255.255.255.255 in via ${out}
${ipfw} add deny log icmp from any to 255.255.255.255 out via ${out}

${ipfw} add deny log tcp from any to any not established tcpflags fin
${ipfw} add deny log tcp from any to any tcpflags fin,syn,rst,psh,ack,urg
${ipfw} add deny log tcp from any to any tcpflags !fin,!syn,!rst,!psh,!ack,!urg
${ipfw} add deny log udp from any to any 137-139 via ${out}
${ipfw} add deny log udp from any to any 135 via ${out}
${ipfw} add deny log udp from any to any 445 via ${out}
${ipfw} add deny log tcp from any to any 445 via ${out}
${ipfw} add deny log tcp from any to any 1344 via ${out}
${ipfw} add deny log tcp from any to any 3128 via ${out}
${ipfw} add deny log all from any to any in frag

2. Обрати внимание, что havp это проверялка на лету хттп трафика на вирусы из инета.
Нужно убедиться, что вирусы блокируются при походах в инете через squid прокси.
Иначе пользователи наловят добра и долго потом разгребать будешь.

самый простой способ - зайти с пользовательской машины на сайт
http://www.eicar.org/anti_virus_test_file.htm
Примеров как настроить havp полно (например http://www.linux16.net/node/304, это правда для линукса, но многое похоже и для фряхи).

3. Вполне возможно, что прошлый админ либо не успел его доделать, либо что-то там разъехалось, либо это пережиток прошлого...

D.

1) На доменном сервере "вин 2003" dhcp сервер - не настроен и нет не одного мак адреса зарегистрированного, я даже не заморачиваюсь по его поводу.
1.1) Про другие подсети: есть в сети еще модем который и используется для интернета с IP адресом "192.168.1.1", может это он как то влияет на всю эту картину, модем кстати смотрит на фрю через свитч (что не есть хорошо - как пишут на некоторых форумах, мол из за этого идут эти arp логи левые).
1.2) Про ipfw: честно говоря с фаерволом я знаком на половину - исправлюсь , ех надо курить ман по ipfw, что бы понять некоторые правила во втором примере, который вы назвали параноей, да и в примере который вы посоветовали добавить в мой фаер, я попробую, но некоторые правила схожи с моими, их можно использовать совместно ?

Код: Выделить всё

### из моего фаера
${ipfw} add 720 allow ip from any to any via lo0 
${ipfw} add 740 deny all from any to 127.0.0.0/8 
${ipfw} add 750 deny ip from 127.0.0.0/8 to any
${ipfw} add 1000 deny log ip from any to me #via #${inn} #### эти два последних правила не выполняют функции трёх нижних ваших правил?
${ipfw} add 65534 deny log ip from any to any
 #### ваш пример
${ipfw} add allow all from any to any via lo0 ####- эта строчка только отличается, но не думаю что на много
${ipfw} add deny all from any to 127.0.0.0/8
${ipfw} add deny ip from 127.0.0.0/8 to any
${ipfw} add deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add deny log ip from any to 0.0.0.0/8 in via ${out}

Хотя всё это конечно хорошо рассуждать, но хотелось бы повториться, что на этом же фаерволе, всё было в порядке, не каких лишних логов не было, что то изменилось в системе или в сети, и понеслась...
Есть еще версия: на фре был организованн автоматический VPN двух сетей с фри1 на фрю2 -это некоторое объединение офисов в автоматическом режиме без авторизации, то есть объеденялись две подсети 192.168.1.х с 192.168.5.х, посредством mpd4, каждая посеть имела свои шлюзы на FreeBSD с статическими внешними IP адресами, т.к. второго офиса не существует уже, были закомментированны все правила связанные с этим объединением в фаерволе и в других конфигах, отсюда предположение - может не всё убрал, и фря пытается усердно обработать запросы клиентских тачек и отослать на будто бы существующий второй офис ? Хотя как то бредово всё это, ведь arp идут каждую секунду. Есть предположения по этому поводу ?
2) На сервере FreeBSD был организован unix антивирь от каспера, видимо после его установки админ отрубил havp, сейчас же каспер не работает(его нет в процессах по крайней мере, может и не работал админ мне говорил что ставил...); та ссылка с тестом на вирусы показала что вирус проходит через фрю, но на всех машинах есть антивирь с актуальными антивирусными базами и он поймал эту заразу (всё равно потом придется на фряхе антивирь разворачивать, с этим я разбурусь)

Что-то не выделилась бяка, еще раз у тебя есть такая строка:

Код: Выделить всё

${ipfw} add 500 deny ip from any to not me via ${out} in

я добавил [???]
Собственно сам не совсем до конца понимаю можно-ли оставлять открытый оператор IN ?
В твоем конфиге он не имеет привязанного интерфейса. Либо IN не должно быть, либо конкретный(е) if.

Тут мне тоже очень интересно, может не дописан просто, либо оконцовка случайно удалена, хотя исключено, скорей всего просто ошибка, попробую убрать этот открытый оператор и поставить его перед via (...deny ip from any to not me in via ${out}), посмотрим...всё без изменений осталось, но думаю так правило будет правильнее выглядеить.

Наткнулся еще на одну статью по поводу автозапусков, там программы конечно другие (но тоже с проблемой остановки при запуске).
Общий ход поиска проблемы запуска скрипта примерно виден.
http://www.forum.mista.ru/topic.php?id=379731

Спасибо за совет, проблема с остановкой загрузки была уже решена. Действительно вся проблема со скриптами, которые стартуют при загрузке системы, если один скрипт не корректно написан, то это может сделать не возможным старт последующих скриптов, что в последствии и останавливает загрузку Unix системы.

[MASiK]

Может имеет смысл обновиться до 7.2 или хотя бы до 6.4
И самое главное потом тщательно пройтись mergemaster'ом ?

[beegimot]

Может имеет смысл обновиться до 7.2 или хотя бы до 6.4
И самое главное потом тщательно пройтись mergemaster'ом ?

хм.. даже и не знаю, это такой гемор, все конфиги слетят, заново придется воротить некоторое или восстанавливать, есть смысл вообще обновления ?

[Demis]

Здесь ситуация такая:
цифирьки после слова add означают "номер" правила,
номера последовательны от 1 до 65535,
выполнение правил будет в порядке следования номеров по возрастанию для ТВОЕГО примера,
вне зависимости от местонахождения (строки) в конфиге.

В моем примере номера отсутствуют,
это значит правила добавляются при загрузке конфига последовательно
(по умолчанию шаг = 100, можно изменять).
выполнение правил будет в порядке следования в конфиге для моего примера,
зависит от строки местонахождения в конфиге.

Cовмещать нужно аккуратно.

например (буковки т-твое, м-мое):

Код: Выделить всё

т${ipfw} add 720 allow ip from any to any via lo0 
т${ipfw} add 740 deny all from any to 127.0.0.0/8 
м${ipfw} add deny all from any to 127.0.0.0/8
т${ipfw} add 750 deny ip from 127.0.0.0/8 to any
т${ipfw} add 1000 deny log ip from any to me #via #${inn}

м${ipfw} add allow all from any to any via lo0
м${ipfw} add deny ip from 127.0.0.0/8 to any
м${ipfw} add deny log ip from any to 169.254.0.0/16 in via ${out}
м${ipfw} add deny log ip from any to 127.0.0.0/8 in via ${out}

приведет к такому результату фактического выполнения правил
(при условии что шаг стандартен, если нестандартен,
то просто другие цифирьки будут, но принцип сохранится):

Код: Выделить всё

т${ipfw} add 720 allow ip from any to any via lo0 
т${ipfw} add 740 deny all from any to 127.0.0.0/8 
т${ipfw} add 750 deny ip from 127.0.0.0/8 to any
м${ipfw} add 800 all from any to 127.0.0.0/8 ### именно 800, а не 850
и видишь оно "переехало" на одну позицию ниже!!!
т${ipfw} add 1000 deny log ip from any to me #via #${inn}

м${ipfw} add 1100 allow all from any to any via lo0
м${ipfw} add 1200 deny ip from 127.0.0.0/8 to any
м${ipfw} add 1300 deny log ip from any to 169.254.0.0/16 in via ${out}
м${ipfw} add 1400 deny log ip from any to 127.0.0.0/8 in via ${out}

и т.д.

посмотреть текущий "действующий" расклад можно по ipfw -d show
(ключик -d показывает динамические правила, т.е. добавляемые на лету).

Есть шикарная статья Вадима Гончарова http://nuclight.livejournal.com/124348.html
Почитай на досуге и в тишине, ведро вместо пепельницы, после четвертого прочтения можно безопасно смотреть телепузиков .

Теперь, разбор полетов по твоим примерам:
1. ipfw -d show покажет тебе правило 65535 со своим значением
(либо deny ip from any to any, либо allow ip from any to any) это может оказаться важным.

2.

Код: Выделить всё

### из моего фаера
${ipfw} add 720 allow ip from any to any via lo0 
${ipfw} add 740 deny all from any to 127.0.0.0/8 
${ipfw} add 750 deny ip from 127.0.0.0/8 to any
${ipfw} add 1000 deny log ip from any to me #via #${inn} #### эти два последних правила не выполняют функции трёх нижних ваших правил?

НЕТ, твое правило гласит: запретить от любого хоста по любому ip твоего сервера,
т.е. и по внутреннему, и по внешнему, и по 127.0.0.1 через интерфейс внутренней сети.

мой пример (точнее три строки прозвучавших в вопросе) гласит:
запретить и записать в лог соединение от "любого" к "любому хосту (по апипе)" входящему через внешний интерфейс
(второе и третье - запреты на широковещательные пакеты из вне, точнее антиспуфинг).

апипа - Automatic Private IP Addressing (APIPA), позволяет необученным пользователям соединять компьютеры,
сетевые принтеры и другие устройства вместе и получать работающую сеть.

(Обращал наверное внимание, если винду загрузить в простенькой сети без dhcp сервера,
но в свойствах ip установлено ip назначается автоматически,
то ipconfig /all показывает как раз ip из такой сети 169.254.х.х)

Код: Выделить всё

${ipfw} add 65534 deny log ip from any to any
#### ваш пример
${ipfw} add allow all from any to any via lo0 ####- эта строчка только отличается, но не думаю что на много

all - включает в себя все протоколы
эта строчка позволяет локальной машине обращаться к самой себе через локальный интерфейс.

Код: Выделить всё

${ipfw} add deny all from any to 127.0.0.0/8
${ipfw} add deny ip from 127.0.0.0/8 to any
${ipfw} add deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add deny log ip from any to 0.0.0.0/8 in via ${out}

Теперь, как бы я совместил для твоего примера:

Код: Выделить всё

${ipfw} add 720 allow all from any to any via lo0 
${ipfw} add 740 deny all from any to 127.0.0.0/8 
${ipfw} add 750 deny ip from 127.0.0.0/8 to any
${ipfw} add 751 deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add 752 deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add 753 deny log ip from any to 0.0.0.0/8 in via ${out}
${ipfw} add 754 deny log ip from any to me in via ${out} #### но это если не нужно подключаться извне к 
${ipfw} add 755 deny log ip from any to 192.168.0.0/16 in via ${out}

Вообще нужно смотреть внимательно.
Я такой схемы как у тебя не использую, но разобраться можно во всем.
Мне не понятна схема твоего соединения.

провайдер->модем->свич1->внешний if фри->внутренний if фри->свич2->пользователи.
или если
провайдер->модем->свич1->внешний if фри->внутренний if фри->свич1->пользователи.

тогда по уму нужно разделить порты на виланы, если свич это умеет делать.
Если нет, то и фиг с ним, с виланом, но я не даром задавал вопросы про арпы.
арпы на самой фре можно посмотреть через arp -a
Покажет ip mac if
(есть кстати конфиги в которых маки жестко привязываются к ип).
Но, не суть.

как написано в твоих постах твой внутренний ip сервера:

Код: Выделить всё

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.5.1 netmask 0xffffff00 broadcast 192.168.5.255
ether 00:1a:4d:24:bf:e0

дальше тебе нужно посмотреть:
если мак из твоей сети (раз мы его постоянно видим в логе значит скорее всего комп живой и где-то работает)
(т.е. ты нашел комп в своей сети с проблемным ip 192.168.5.10 и убедился что у него именно проблемный мак),
то посмотреть внимательно на настройки сетевого адаптера на этой машине,
нет-ли там впн-соединения, что у него с Default Gateway, нет-ли троянов и пр. ерунды.
В общем внимательно рассмотреть его под микроскопом.

если такого компа (с таким арпом) нет, точно нет, ну точно нет (ну в конце концов выдернуть после работы всех пользователей из свичей,
кроме серверов и твоей машины),
то значит прилетает снаружи.

При этом мне не понятно ты пишешь про модем 192.168.1.1 (но ip из другой "старой" сети, а не 192.168.5.х),
очень похоже на adsl.
Интернет все-таки через него приходит или это дополнительный инет ресурс?

И еще если применить мои правила из примера - это может перекрыть тебе доступ к модему по хттп. Осторожно.
Особо продвинутые персоны могу какой-нибудь ваймакс включать это тоже "шуметь" может,
но по логам можно посмотреть идет-ли проблема круглые сутки или только в рабочие часы.

Что-то длинно получилось.
Пауза.
Проанализируй...

D.

[MASiK]

Может имеет смысл обновиться до 7.2 или хотя бы до 6.4
И самое главное потом тщательно пройтись mergemaster'ом ?

хм.. даже и не знаю, это такой гемор, все конфиги слетят, заново придется воротить некоторое или восстанавливать, есть смысл вообще обновления ?

Так в том то и дело что мергмастер позволяет выборочно заменять конфиги, я думаю смысл имеет хотя бы потому что у тебя будет шанс просмотреть все конфиги, и посмотреть как должно быть и как у тебя, всё заменять не обязательно, Ты пользовался когда нибудь МергМастером?

[beegimot]

Мне не понятна схема твоего соединения.

провайдер->модем->свич1->внешний if фри->внутренний if фри->свич2->пользователи.
или если
провайдер->модем->свич1->внешний if фри->внутренний if фри->свич1->пользователи.

тогда по уму нужно разделить порты на виланы, если свич это умеет делать.
Если нет, то и фиг с ним, с виланом, но я не даром задавал вопросы про арпы.

Схема следущая: (пусть и коряво нарисованная )
провайдер->модем->свич1->свич2->внешний if фри->внутренний if фри->свич2->свич1+свич3->пользователи

По поводу модема как я и говорил ip его - 192.168.1.1- именно он и является источником интернета, на фре статика которая обращается через этот модем к провайдеру, других модемов и источников интернета нету; а по поводу что модем не находится в сегменте 192.168.5.0-это чтобы пользователи не могли обращаться к нему, да и лишний ip чтоб не занимал, так было с самого начала когда не было этих arp

дальше тебе нужно посмотреть:
если мак из твоей сети (раз мы его постоянно видим в логе значит скорее всего комп живой и где-то работает)
(т.е. ты нашел комп в своей сети с проблемным ip 192.168.5.10 и убедился что у него именно проблемный мак),
то посмотреть внимательно на настройки сетевого адаптера на этой машине,
нет-ли там впн-соединения, что у него с Default Gateway, нет-ли троянов и пр. ерунды.
В общем внимательно рассмотреть его под микроскопом.

если такого компа (с таким арпом) нет, точно нет, ну точно нет (ну в конце концов выдернуть после работы всех пользователей из свичей,
кроме серверов и твоей машины),
то значит прилетает снаружи.

ну тут всё без проблем железно, все маки существующие, более того логи идут от компов которые включены, ip 192.168.5.10 - winserv2003 - он постоянно включен вот и логов много от него, если все компы выключенны соответственно arp логов нет. на всех компах один шлюз 192.168.5.1(фря) и dns 192.168.5.10(winserv2003"AD")
Сктати вот прикол сегодня проскочил такой arp log

Код: Выделить всё

Oct 30 10:52:52 hostname kernel: arp: 10.100.10.34 is on lo0 but got reply from 00:14:d1:31:77:55 on re0

Теперь, как бы я совместил для твоего примера:

Код: Выделить всё

${ipfw} add 720 allow all from any to any via lo0 
${ipfw} add 740 deny all from any to 127.0.0.0/8 
${ipfw} add 750 deny ip from 127.0.0.0/8 to any
${ipfw} add 751 deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add 752 deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add 753 deny log ip from any to 0.0.0.0/8 in via ${out}
${ipfw} add 754 deny log ip from any to me in via ${out} #### но это если не нужно подключаться извне к 
${ipfw} add 755 deny log ip from any to 192.168.0.0/16 in via ${out}

какое то правило блокирует доступ к фре вообще, ни по ssh(внутри локально сети) ни авторизатор на stargazer(внутри локально сети) не проходят фаер, пробовал закомментировать некоторые строки, делал nohup на файл фаервола, не помог пришлось вернуть все правила, и ребут.

тогда по уму нужно разделить порты на виланы, если свич это умеет делать.
Если нет, то и фиг с ним, с виланом, но я не даром задавал вопросы про арпы.
арпы на самой фре можно посмотреть через arp -a
Покажет ip mac if

Вот это интересно, если можно(уже и не удобно просить и так кучу всего разжували) по вкратце про виланы, как можно осуществить на фре.
PS: Спасибо огромное за такую поддержку, это намного ускорит решение моей трабле.

[beegimot]

Может имеет смысл обновиться до 7.2 или хотя бы до 6.4
И самое главное потом тщательно пройтись mergemaster'ом ?

хм.. даже и не знаю, это такой гемор, все конфиги слетят, заново придется воротить некоторое или восстанавливать, есть смысл вообще обновления ?

Так в том то и дело что мергмастер позволяет выборочно заменять конфиги, я думаю смысл имеет хотя бы потому что у тебя будет шанс просмотреть все конфиги, и посмотреть как должно быть и как у тебя, всё заменять не обязательно, Ты пользовался когда нибудь МергМастером?

Нет не пользовался, как то не было обходимости, да и малый опыт с freebsd не позволяет эксперементировать на рабочем сервере. Я обновлять не горю желанием, у меня другой способ в голове вертится: "Набрать опыт, поставить свою фрю последнего релиза, и конфигурировать с нуля, ну может и не совсем с нуля, некоторые конфиги позаимствую со старой , тем более что нужен еще один серв на фре в другой офис, вот будет не плохой опыт в освоении фри, которая так меня манит своей простотой и в то же время загадочностью "

[MASiK]

Опыта без ошибок не наберешься

Не бойся делать того чего не умеешь, Помни, Титаник построили Профессионалы, Ковчег же построили Любители...

Так что если делать всё аккуратно, не спеша, всё получиться

[olmolos]

Небольшое отступление:

Код: Выделить всё

Sep 14 09:03:36 hostname nmbd[1028]:   Unknown parameter encountered: "referred master"
Sep 14 09:03:36 hostname nmbd[1028]: [2009/09/14 09:03:36, 0] param/loadparm.c:lp_do_parameter(3503)
Sep 14 09:03:36 hostname nmbd[1028]:   Ignoring unknown parameter "referred master"

Исправь в smb.conf:

Код: Выделить всё

preferred master = yes

[beegimot]

Опыта без ошибок не наберешься

Не бойся делать того чего не умеешь, Помни, Титаник построили Профессионалы, Ковчег же построили Любители...

Так что если делать всё аккуратно, не спеша, всё получиться

На мне материальная ответственность, не хотелось бы чтоб мой "Ковчег" потанул в самый не подходящий момент , так что лучше построю еще один и буду его усовершенствовать

Небольшое отступление:

Код: Выделить всё

Sep 14 09:03:36 hostname nmbd[1028]:   Unknown parameter encountered: "referred master"
Sep 14 09:03:36 hostname nmbd[1028]: [2009/09/14 09:03:36, 0] param/loadparm.c:lp_do_parameter(3503)
Sep 14 09:03:36 hostname nmbd[1028]:   Ignoring unknown parameter "referred master"

Исправь в smb.conf:

Код: Выделить всё

preferred master = yes

Спасибо, исправил, посмотрим что получится ... всё осталось по прежнему - эта ошибка выходит так же

Код: Выделить всё

Nov  2 09:01:26 hostname smbd[1038]: [2009/11/02 09:01:26, 0] param/loadparm.c:map_parameter(2769)
Nov  2 09:01:26 hostname smbd[1038]:   Unknown parameter encountered: "referred master"
Nov  2 09:01:26 hostname smbd[1038]: [2009/11/02 09:01:26, 0] param/loadparm.c:lp_do_parameter(3503)
Nov  2 09:01:26 hostname smbd[1038]:   Ignoring unknown parameter "referred master"
Nov  2 09:01:26 hostname smbd[1038]: [2009/11/02 09:01:26, 0] param/loadparm.c:map_parameter(2769)
Nov  2 09:01:26 hostname smbd[1038]:   Unknown parameter encountered: "readable"
Nov  2 09:01:26 hostname smbd[1038]: [2009/11/02 09:01:26, 0] param/loadparm.c:lp_do_parameter(3503)
Nov  2 09:01:26 hostname smbd[1038]:   Ignoring unknown parameter "readable"
Nov  2 09:01:26 hostname smbd[1038]: [2009/11/02 09:01:26, 0] param/loadparm.c:map_parameter(2769)
Nov  2 09:01:26 hostname smbd[1038]:   Unknown parameter encountered: "readable"
Nov  2 09:01:26 hostname smbd[1038]: [2009/11/02 09:01:26, 0] param/loadparm.c:lp_do_parameter(3503)
Nov  2 09:01:26 hostname smbd[1038]:   Ignoring unknown parameter "readable"

И в правду от темы отошли как то, всётаки про arp хотелось бы продолжить или как виланы могут помоч с этой кашей arp логов

[Demis]

Схема следущая: (пусть и коряво нарисованная )
провайдер->модем->свич1->свич2->внешний if фри->внутренний if фри->свич2->свич1+свич3->пользователи

shema1.jpg

По поводу модема как я и говорил ip его - 192.168.1.1- именно он и является источником интернета, на фре статика которая обращается через этот модем к провайдеру, других модемов и источников интернета нету; а по поводу что модем не находится в сегменте 192.168.5.0-это чтобы пользователи не могли обращаться к нему, да и лишний ip чтоб не занимал, так было с самого начала когда не было этих arp

ну тут всё без проблем железно, все маки существующие, более того логи идут от компов которые включены, ip 192.168.5.10 - winserv2003 - он постоянно включен вот и логов много от него, если все компы выключенны соответственно arp логов нет. на всех компах один шлюз 192.168.5.1(фря) и dns 192.168.5.10(winserv2003"AD")
Сктати вот прикол сегодня проскочил такой arp log

Код: Выделить всё

Oct 30 10:52:52 hostname kernel: arp: 10.100.10.34 is on lo0 but got reply from 00:14:d1:31:77:55 on re0

Теперь, как бы я совместил для твоего примера:

Код: Выделить всё

${ipfw} add 720 allow all from any to any via lo0 
${ipfw} add 740 deny all from any to 127.0.0.0/8 
${ipfw} add 750 deny ip from 127.0.0.0/8 to any
${ipfw} add 751 deny log ip from any to 169.254.0.0/16 in via ${out}
${ipfw} add 752 deny log ip from any to 127.0.0.0/8 in via ${out}
${ipfw} add 753 deny log ip from any to 0.0.0.0/8 in via ${out}
${ipfw} add 754 deny log ip from any to me in via ${out} #### но это если не нужно подключаться извне к 
${ipfw} add 755 deny log ip from any to 192.168.0.0/16 in via ${out}

Перво-наперво обрати внимание, что 75х правила я брал из одного твоего последнего поста.
В первоначальной конфигурации на 70х у тебя шел диверт, блокировки были в 5хх.
В любом случае правила из примера должны стоять до диверта (или просто номера указать меньшие диверта).
Второе - в твоем первоначальном посте с правилами ipfw совсем не увидел правила для ssh, для телнета есть, ssh нет.
т.е. просто из

Код: Выделить всё

########################################
#vse na
${ipfw} add 780 allow tcp from any to me 23,25
#FTP

делаем для начала

Код: Выделить всё

########################################
#vse na
${ipfw} add 780 allow tcp from any to me 22,23,25
#FTP

Поскольку ipfw есть настоящий файервол, то правило

Код: Выделить всё

${ipfw} add 755 deny log ip from any to 192.168.0.0/16 in via ${out}

не позволит НИКОМУ из сетей 192.168.х.х "ЗА ВНЕШНИМ" интерфейсом подключаться к серверу.
в самом примитивном случае (для ssh) мы можем добавить правило

Код: Выделить всё

${ipfw} add allow from 192.168.5.0/24 to 192.168.5.1 via ${out}

НО!
Третье - рассматривая твой рисунок, можно предположить, что на текущий момент сети разделены только логически на уровне ip.
(правда мне не совсем ясен момент с компьютерами подключенными к свичу 1 и свичу 3, т.е. должны-ли они иметь доступ к компьютерам свича 2?
Вполне можно предположить, что свич 2 соединен "по дружески" (типа в свободную дырку на свиче у кого-то с имеющимся инетом в соседнем кабинете) к свичу 1 - просто для того чтобы был интернет и все с ним связанное).
Четвертое - учитывая, что физически концы от разных подсетей 10.100.10.x и 192.168.5.х воткнуты в один свич, то арпы возникают в силу физической особенности конфигурации твоей сетки. Не вдаваясь глубоко в протоколы сетевого вещания возникает примерно такая картина:
а. сетевое оборудование как таковое НЕ ЗНАЕТ что такое ip адрес.
б. сетевое оборудование имеет как правило свой контроллер с неким набором функций.
в. для сетевого оборудования важен как раз мак адрес.
г. мак адреса "зашиваются" производителем уникально в каждый сетевой чип (хотя я сталкивался с ситуацией, когда из 10 компов производства компании "депо" на 2-ух оказался одинаковый арп, что вызывало коллизии в сети, это лечится, но я не об этом).
д. каждый сетевой чип включая свичи принимает пакет именно на основе арпа, заносит его в свою память и "кидает" его дальше по некоторому алгоритму (собственно именно алгоритм в итоге и определяет потом стоимость устройства, или это хаб, или это свич, или это маршритизатор и т.д.. просто разное количество чипов внутри и разный "софт" управляющий этими чипами).
как пример (в упрощенном варианте):
сет.карта1арп1: 00:00:00:00:00:01 -> свич1арп1: 00:00:00:00:00:02 -> сет.карта2арп1: 00:00:00:00:00:02
т.о.
свич1арп1 получив пакет от сет.карта1арп1: 00:00:00:00:00:01
"запоминает" в своих мозгах из какого № порта на свиче пришел "сигнал"
и передает его на порт № порта свича к которому подключен сет.карта2арп1: 00:00:00:00:00:02
Откуда он знает на какой именно № порта?
Да все очень просто, ведь когда включили сет.карта2арп1: 00:00:00:00:00:02 В СВИЧ то,
первое, что сделала сетевая карта - начала "разговаривать" с подключенным устройством.
(Обращал наверное, только воткнешь провод и лампочки загорелись, а ведь ip еще нету.)
И естественно свич тоже ее запомнил.
Собственно это практически (с оговорками) и есть ключевое различие между хабами и свичами.
(Просто хаб получив такой пакет автоматом его перекидывал на ВСЕ свои порты, что и приводило к ситуации что комп1 вроде как передает пакеты компу 2, а на самом деле "фонит" на всех кто подключен, со всеми вытекающими последствиями).

Хаб это примерно как к автомобильному насосу подключить сразу четыре колеса через некий тройник.
Свич это по-человечески, каждое колесо качаем по очереди, причем знаем в каком давление низкое.
конец примера.

В итоге что получается?
Наверное ты уже сам догадался!
Поскольку к свичу 2 подключены ВСЕ интерфейсы (и не только фря), свич 2 запоминает арпы и именно их ты и видишь.

Что с этим делать?
Вариантов как всегда несколько:
1. провод от свича 1 идущий к свичу 2 воткнуть напрямую во "внешний" интерфейс фряхи, а старый провод от "внешнего" интерфейса фряхи исключить
(но тут нужно понимать как быть с пользователями свичей 1 и 3, по сути это не проблема,
просто для них придется добавлять правила в ipfw, для разрешения тех или иных функций).
2. поставить свич 4, подключить его ко "внутреннему" интерфейсу фряхи и переключить всех пользователей
свича 2 на свич 4.
3. жестко привязать запреты на получение арпов по списку через "внешний" интерфейс (но это как-то не по-человечески, некрасиво, хотя и выполнибельно).
4. виланы, но это упирается тоже в определенные моменты:
встроенные карточки (например на сервере), а точнее их драйвера обычно не всегда это поддерживают.
Где-то в инете читал про интеловские карты PRO, и если ее поставить с родными драйверами (причем еще нужна расширенная версия драйверов, плюс интеловская прога) то вилан будет, но тоже с оговоркой, если мне не изменяет память win2k3 не умеет работать больше чем с одним виланом, хотя могу ошибаться.
5. виланы "PortBased VLAN" на свиче GigaX-1124I plus (но денег реальных стоит ~650 позеленевших два года назад) это когда можно физические порты между собой разделить так, что оные будут видеть между собой только те порты которые ты разрешил. Думаю что есть и другие свичи. Как вариант есть такая коробочка от Asusa WL500G, если в нее залить прошивку от Олега (http://www.wl500g.info/), поковыряться в конфигах (там облегченный линукс, но ничего сложного), и тоже можно разрулить по портам, но их там всего 4(5)+wifi.

какое то правило блокирует доступ к фре вообще, ни по ssh(внутри локально сети) ни авторизатор на stargazer(внутри локально сети) не проходят фаер, пробовал закомментировать некоторые строки, делал nohup на файл фаервола, не помог пришлось вернуть все правила, и ребут.

Примерно как я выше написал но, из твоей схемы не ясно какие ip у других участников сети (в первую очередь подключенных ко всем кроме свич 2)...
т.к. велика вероятность что надо еще кучку правил добавлять.
И, кстати, не забывай о таком моменте, часто про это на форумах забывают писать,
на фре есть еще такой файлик как /etc/hosts.allow где могут быть прописаны конкретные ip для подключения к ssh.
И такой файлик /usr/local/etc/portsentry.conf
Обычно включают для повышения безопасности сервера, но не факт что у тебя используется.
Просто проверить и посмотреть.

тогда по уму нужно разделить порты на виланы, если свич это умеет делать.
Если нет, то и фиг с ним, с виланом, но я не даром задавал вопросы про арпы.
арпы на самой фре можно посмотреть через arp -a
Покажет ip mac if

Вот это интересно, если можно(уже и не удобно просить и так кучу всего разжували) по вкратце про виланы, как можно осуществить на фре.
PS: Спасибо огромное за такую поддержку, это намного ускорит решение моей трабле.

Про виланы автоматически получилось выше.
Собственно почему ты увидел арп гейтвея (.34) уже тоже думаю стало понятно.
D.

[beegimot]

Перво-наперво обрати внимание, что 75х правила я брал из одного твоего последнего поста.
В первоначальной конфигурации на 70х у тебя шел диверт, блокировки были в 5хх.
В любом случае правила из примера должны стоять до диверта (или просто номера указать меньшие диверта).
Второе - в твоем первоначальном посте с правилами ipfw совсем не увидел правила для ssh, для телнета есть, ssh нет.
т.е. просто из

С ssh так было задумманно, прошлым админом, в реальности же 23 порт и есть для ssh, видимо для безопасности сделано по другому не могу объяснить...
"В любом случае правила из примера должны стоять до диверта" -это получается что мои правила стояли не правильно...?

Третье - рассматривая твой рисунок, можно предположить, что на текущий момент сети разделены только логически на уровне ip.
(правда мне не совсем ясен момент с компьютерами подключенными к свичу 1 и свичу 3, т.е. должны-ли они иметь доступ к компьютерам свича 2?

Все без исключения машины имеют доступ друг к другу, т.к. находятся в одном домене, и обмениваются файлами не только с сервером freebsd(есть доступ к нему из сети к папкам контента помимо ftp) и WinServ2k3, но и между собой.

В итоге что получается?
Наверное ты уже сам догадался!
Поскольку к свичу 2 подключены ВСЕ интерфейсы (и не только фря), свич 2 запоминает арпы и именно их ты и видишь.
Что с этим делать?
Вариантов как всегда несколько:
1. провод от свича 1 идущий к свичу 2 воткнуть напрямую во "внешний" интерфейс фряхи, а старый провод от "внешнего" интерфейса фряхи исключить
(но тут нужно понимать как быть с пользователями свичей 1 и 3, по сути это не проблема,
просто для них придется добавлять правила в ipfw, для разрешения тех или иных функций).

Почему отметил первый вариант - остальные, либо дорогие, либо не реальные, юзеры находятся на разных этажах, и не так уж и близко.
"Наверное ты уже сам догадался!" Честно говоря догадался да не совсем понятен ход мыслей, все разговоры ведут к тому что нужно исключить внешний интерфейс фри из общей сети? немного про первый вариант скажу:
Если исполнить этот первый вариант расстановки сети, то как юзеры будут общаться с доменом и общение с фрёй какое то кривое получится(даже при добавлении правил), да и вообще какой логический смысл, от свитча 1 кидать на прямую к внешнему фришному? эсли это как то касается модема то проще телефонный провод докинуть до серверной и поставить там модем и воткнуть его на внешний фришный сетевой интерфейс (как на многих форумах пишут, что мол при arp логах так надо делать), но тут мне сказали -вот цитата с первых ответов моей темы про arp:

точную формулировку решения этой проблемы(про arp идет разговор), но как правило говорят модем должен быть подключен напрямую к серверу помимо свитчей

корявые форумы. делайте вланы или разносите по разным устройствам и вообще эт она мой взгляд мало к проблеме относиться.

Так про виланы понятно что мне это не осилить, если всё это упирается в координальную замену сетевого оборудования (как я понял), тогда остается модем воткнуть напрямую в сервер freeBSD, что считается по словам zingel, "коряво", это получается замкнутый круг, и тогда реально получается что этот корявый метод единственное разумное, и не требующее не каких затрат, решение ?
Хотелось бы отметить, раньше всё было ОК, возможно это произошло в силу изменений структуры сети(об этом я писал - про объединение офисов)
Кстати объединение стояло от провайдера еще - объединяли два наших внешних ip адреса двух офисов посредством оборудования провайдера,с авторизацией по PPPOE(по логину и паролю в режиме роутора на модеме), тогда была создана подсеть 192.168.17.0/24 и висела она на двух концах на доманах WinServ2k3, таким образом юзеры из разных офисов могли обращаться с офиса 1 к офису 2, находящиеся на разных внешних ip адресах, как буд то бы внутри локальной сети 192.168.17.0/24, все правила на эту подсеть я закомментировал в фаерволе, может еще где-то осталось ?

Примерно как я выше написал но, из твоей схемы не ясно какие ip у других участников сети (в первую очередь подключенных ко всем кроме свич 2)...
т.к. велика вероятность что надо еще кучку правил добавлять.
И, кстати, не забывай о таком моменте, часто про это на форумах забывают писать,
на фре есть еще такой файлик как /etc/hosts.allow где могут быть прописаны конкретные ip для подключения к ssh.
И такой файлик /usr/local/etc/portsentry.conf
Обычно включают для повышения безопасности сервера, но не факт что у тебя используется.
Просто проверить и посмотреть.

По поводу "надо еще кучку правил добавлять" - повторюсь, с существующими правилами работал сервер около пол года и в такой же схеме сети с тремя свитчами, и не было arp, вот в чем прикол.
К ssh я постоянно цепляюсь с разных внешних ip и ограничение по разрешенным ip адресам не мой вариант, в /etc/hosts.allow всё стандартно конкретных предпочтений нет
По поводу ip адресов "у других участников сети" - как я и говорил не однократно все без исключения клиенты имеют адреса типа 192.168.5.ххх; 192.168.5.хх; 192.168.5.x
По поводу /usr/local/etc/portsentry.conf - стартует по /usr/local/etc/rc.d/portsentry.sh

Код: Выделить всё

# Use these if you just want to be aware:
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320"
UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321"
ADVANCED_PORTS_TCP="1024"
ADVANCED_PORTS_UDP="1024"
# Default TCP ident and NetBIOS service
ADVANCED_EXCLUDE_TCP="113,139"
# Default UDP route (RIP), NetBIOS, bootp broadcasts.
ADVANCED_EXCLUDE_UDP="520,138,137,67"
######################
# Configuration Files#
######################
# Hosts to ignore
IGNORE_FILE="/usr/local/etc/portsentry.ignore" ### тут 192.168.0.0/16
# Hosts that have been denied (running history)
HISTORY_FILE="/usr/local/etc/portsentry.history" - # такого файла нема
# Hosts that have been denied this session only (temporary until next restart)
BLOCKED_FILE="/usr/local/etc/portsentry.blocked" -## оба файла на tcp и udp пустые
RESOLVE_HOST = "1"
#
# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)
BLOCK_UDP="1"
BLOCK_TCP="1"
#
KILL_ROUTE="/sbin/ipfw add 1 deny all from $TARGET$:255.255.255.255 to any"
#
KILL_HOSTS_DENY="/usr/local/bin/sarg -l /usr/local/squid/logs/access.log"
#
SCAN_TRIGGER="1"
#
PORT_BANNER="GO AWAY!"

[beegimot]

Не стал заморачиваться и решил тупо проверить, поможет ли обычный совет "воткнуть модем напрямую". Я в общем как сказал так и сделал, воткнул модем на прямую, и О ЧУДО не единого arp лога! Причем отмечу - не добавлял ни каких правил в фаервол.
Хотя и прешлось тянуть дополнительный телефонный провод на 20 метров, поглощая потолочную пыль, и рескуя упасть со стула для меня это оказался самый простой способ решения этой задачи, возможно для кого то этот вариант не подойдет, из за не возможности, переноса модема или провода от модема напрямую к серверу.
ИМХО проще так сделать как я.
Так что для всех кого мучают эти arp логи, возможно вам поможет именно такой вариант, по крайней мере если симптомы схожи с моими.

P.S.
Всем кто помогал огромное спасибо, есть всё таки люди, которым не безразлична проблема отдельно взятого человека.
Demis отдельное спасибо
lissyara спасибо за проект, и собственно за твой пинок на man rcorder помог разрешить стопорение загрузки фри