Ошибка ipfilter

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
orz
рядовой
Сообщения: 11
Зарегистрирован: 2011-11-18 7:56:21

Ошибка ipfilter

Непрочитанное сообщение orz » 2013-06-27 11:08:58

При загрузке или перезапуске ipfilter появляется такое:
ioctl (SIOCIPFL6): Invalid argument
Синтаксис проверял несколько раз, вроде все в норме.
Подскажите, что это значит?
Последний раз редактировалось f_andrey 2013-06-27 11:59:35, всего редактировалось 1 раз.
Причина: Автору. пожалуйста, выбирайте соответствующий раздел форума, если приведёте больше логов, это повысит вероятность ответов, а не флуда

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2101
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: Ошибка ipfilter

Непрочитанное сообщение vadim64 » 2013-06-27 11:42:45

давайте Вы таки выложите свои конфиги
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

orz
рядовой
Сообщения: 11
Зарегистрирован: 2011-11-18 7:56:21

Re: Ошибка ipfilter

Непрочитанное сообщение orz » 2013-06-27 12:05:47

ipf.rules

Код: Выделить всё

# --  No restrictions on Loopback Interface [1]
pass in quick on lo0 all
pass out quick on lo0 all

# --  No restrictions on Local Interface [2]

pass in quick from 10.0.2.0/24 to 10.0.2.0/24
pass out quick from 10.0.2.0/24 to 10.0.2.0/24
block in quick from 10.0.2.0/24 to 10.0.0.0/16
block out quick from 10.0.0.0/16 to 10.0.2.0/24
pass in quick on vlan3
pass out quick on vlan3

pass in quick from 10.0.6.0/24 to 10.0.6.0/24
pass out quick from 10.0.6.0/24 to 10.0.6.0/24
block in quick from 10.0.6.0/24 to 10.0.0.0/16
block out quick from 10.0.0.0/16 to 10.0.6.0/24
pass in quick on vlan6
pass out quick on vlan6

pass in quick from 10.0.7.0/24 to 10.0.7.0/24
pass out quick from 10.0.7.0/24 to 10.0.7.0/24
block in quick from 10.0.7.0/24 to 10.0.0.0/16
block out quick from 10.0.0.0/16 to 10.0.7.0/24
pass in quick on vlan7
pass out quick on vlan7

pass in quick from 10.0.3.0/30 to 10.0.3.0/30
pass out quick from 10.0.3.0/30 to 10.0.3.0/30
block in quick from 10.0.3.0/30 to 10.0.0.0/16
block out quick from 10.0.0.0/16 to 10.0.3.0/30
pass in quick on vlan12
pass out quick on vlan12

pass in quick from 10.0.11.0/24 to 10.0.11.0/24
pass out quick from 10.0.11.0/24 to 10.0.11.0/24
block in quick from 10.0.11.0/24 to 10.0.0.0/16
block out quick from 10.0.0.0/16 to 10.0.11.0/24
pass in quick on vlan20
pass out quick on vlan20

pass in quick on vlan21 from xxx.xxx.xxx.xxx/29
pass out quick on vlan21 all

pass in quick on vlan1 all
pass out quick on vlan1 all

pass in quick from 10.0.5.0/24 to 10.0.1.16
pass out quick from 10.0.1.16 to 10.0.5.0/24
pass out quick from any to 10.0.5.252 port = 23
pass out quick from 10.0.5.1 to 10.0.5.9
pass in quick on vlan5 all
block out quick on vlan5 all


pass in quick on rl0 all
pass out quick on rl0 all

pass in quick on rl1 all
pass out quick on rl1 all

#pass in proto tcp from any to any port = 23
pass in proto tcp from any to any port = 25
#pass in proto tcp from any to any port = 110
#pass in proto tcp/udp from any to any port = 2222
# -- Let clients behind the firewall send out to the internet,
# -- and replies to come back in by keeping state [3]
#pass out quick on fxp0 proto tcp all keep state
#pass out quick on fxp0 proto udp all keep state
pass out quick on rl1 proto icmp all keep state

# -- Let's people access the services running on 
# -- this system [4]
#PASV FTP
#pass in quick on fxp0 proto tcp from any to any port 30000 >< 50000 flags S keep state 
# FTP
#pass in quick on fxp0 proto tcp from any to any port = 21
# SSH 
#pass in quick on fxp0 proto tcp from any to any port = 22
#ping
pass in log quick on rl1 proto icmp from any to any icmp-type 8 keep state
# DNS
pass in quick on rl1 proto tcp/udp from any to any port = 53
# WWW
pass in quick on rl1 proto tcp from any to any port = 80 keep state
#pass in quick on fxp0 proto tcp from any to any port = 23 keep state
#pass in quick on fxp0 proto tcp from any to any port = 25 keep state
#pass in quick on fxp0 proto tcp from any to any port = 110 keep state

mikie
мл. сержант
Сообщения: 84
Зарегистрирован: 2012-11-21 18:33:03

Re: Ошибка ipfilter

Непрочитанное сообщение mikie » 2013-06-27 13:39:47

чтото связано с IPv6

mikie
мл. сержант
Сообщения: 84
Зарегистрирован: 2012-11-21 18:33:03

Re: Ошибка ipfilter

Непрочитанное сообщение mikie » 2013-06-27 13:42:51


Гость
проходил мимо

Re: Ошибка ipfilter

Непрочитанное сообщение Гость » 2013-06-27 14:57:05

mikie писал(а):Думаю это поможет http://mail-index.netbsd.org/netbsd-bug ... /0012.html
Спасибо. Только не совсем понял)
Мне нужно создать 2 файла: /etc/ipf.conf и /etc/ipf6.conf
с таким содержимым:

Код: Выделить всё

diff -u ipfilter.orig ipfilter
--- ipfilter.orig       2004-12-22 15:28:37.000000000 -0600
+++ ipfilter    2004-12-22 15:55:23.000000000 -0600
@@ -44,8 +44,12 @@
 {
        echo "Enabling ipfilter."
        /sbin/ipf -E
-       /sbin/ipf -Fa
-       /sbin/ipf -6 -Fa
+       if [ -f /etc/ipf.conf ]; then
+               /sbin/ipf -Fa
+       fi
+       if [ -f /etc/ipf6.conf ]; then
+               /sbin/ipf -6 -Fa
+       fi
        if [ -f /etc/ipf.conf ]; then
                /sbin/ipf -f /etc/ipf.conf
        fi
@@ -64,8 +68,12 @@
 {
        echo "Reloading ipfilter rules."
 
-       /sbin/ipf -I -Fa
-       /sbin/ipf -6 -I -Fa
+       if [ -f /etc/ipf.conf ]; then
+               /sbin/ipf -I -Fa
+       fi
+       if [ -f /etc/ipf6.conf ]; then
+               /sbin/ipf -6 -I -Fa
+       fi
        if [ -f /etc/ipf.conf ] && ! /sbin/ipf -I -f /etc/ipf.conf; then
                err 1 "reload of ipf.conf failed; not swapping to new ruleset."
        fi
И вместо слова ipfilter.orig поставить ipf.rules?

mikie
мл. сержант
Сообщения: 84
Зарегистрирован: 2012-11-21 18:33:03

Re: Ошибка ipfilter

Непрочитанное сообщение mikie » 2013-06-27 15:30:21

нет, /etc/ipf.conf и /etc/ipf6.conf это то же что у вас ipf.rules только их должно быть два отдельный для IPv4 и отдельный для IPv6, что такое ipfilter.orig и ipfilter я не знаю т.к. не пользуюсь ipf, а то что вы процитировали в посте это скрипт

насколько я теперь понял, чтоб избавится от этой ошибки нужно либо сделать поддержку IPv6 в ядре, либо запускать ipfilter с опциями отключающими работу с IPv6, для чего и сделан скрипт

orz
рядовой
Сообщения: 11
Зарегистрирован: 2011-11-18 7:56:21

Re: Ошибка ipfilter

Непрочитанное сообщение orz » 2013-06-27 15:36:52

mikie писал(а):нет, /etc/ipf.conf и /etc/ipf6.conf это то же что у вас ipf.rules только их должно быть два отдельный для IPv4 и отдельный для IPv6, что такое ipfilter.orig и ipfilter я не знаю т.к. не пользуюсь ipf, а то что вы процитировали в посте это скрипт

насколько я теперь понял, чтоб избавится от этой ошибки нужно либо сделать поддержку IPv6 в ядре, либо запускать ipfilter с опциями отключающими работу с IPv6, для чего и сделан скрипт
у меня есть только файл /etc/ipf.conf но он пустой.
Подскажите, пожалуйста, как запустить этот скрипт.

orz
рядовой
Сообщения: 11
Зарегистрирован: 2011-11-18 7:56:21

Re: Ошибка ipfilter

Непрочитанное сообщение orz » 2013-06-28 8:54:11

А возможно ли прописать в /etc/rc.conf строку:

Код: Выделить всё

ipv6_enable="YES"
?

orz
рядовой
Сообщения: 11
Зарегистрирован: 2011-11-18 7:56:21

Re: Ошибка ipfilter

Непрочитанное сообщение orz » 2013-07-08 8:24:56

Добавил в ядро опцию

Код: Выделить всё

options        INET6                   #IPv6 communications protocols
после этого ошибка исчезла