После настройки ipfw не дает обновлятся freebsd и joomla

Ppaa · Непрочитанное сообщение **Ppaa** » 2015-04-26 2:52:46

Имеется домашний сервер с FreeBSD 10.1 на нем настроен вебсервер nginx, php, mysql, потом буду ставить почтовый сервер. Настраиваю ipfw После нижеследующих правил не обновляется freebsd - таймаут связи с зеркалами, не идет внешний пинг, не проходит проверка обновлений у установленной joomla. При этом веб-сервер доступен. Отключаю ipfw - все ок. Подскажите, что я делаю не так?

Код: Выделить всё

# ipfw list
00015 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018 deny log logamount 10000 IP from any to any not verrevpath in via ae0
00050 allow IP from any to any via lo0
00055 allow IP from me to any
00075 allow tcp from any to any established
00100 allow icmp from any to any
00114 allow udp from any to any dst-port 53 out via ae0
00150 allow IP from 192.168.1.1 to me via ae0
00150 allow IP from 192.168.1.5 to me via ae0
00155 allow tcp from me to any keep-state
00170 allow tcp from any to me dst-port 22,10000,80,443,25,465,21 via ae0
00200 allow tcp from any to any dst-port 80 out via ae0.
00225 allow tcp from any to any dst-port 25 out via ae0
00227 allow tcp from any to any dst-port 110 out via ae0
00250 allow icmp from any to any out via ae0 keep-state
00255 allow udp from me to any keep-state
00255 allow IP from any to any dst-port 123 out via ae0
00300 allow tcp from any to any dst-port 22 out via ae0 setup keep-state
00355 allow icmp from me to any keep-state
10000 deny IP from any to any
65535 deny IP from any to any

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

f_andrey · Непрочитанное сообщение **f_andrey** » 2015-04-26 3:21:25

Вам же уже ответили http://www.bsdportal.ru/viewtopic.php?f=23&t=27315

Ppaa · Непрочитанное сообщение **Ppaa** » 2015-04-26 9:30:02

Совет изучать сетевые протоколы конечно хорош, но к ответу приведет очень длинным путем.

Neus · Непрочитанное сообщение **Neus** » 2015-04-26 15:33:28

Спешка - дочь шайтана.

Ppaa · Непрочитанное сообщение **Ppaa** » 2015-04-26 18:26:36

Ну что ж, спасибо за "помощь".

snorlov · Непрочитанное сообщение **snorlov** » 2015-04-26 19:23:28

Я не даю советы по настройке файера, поскольку это вопрос довольно тонкий, но по

Код: Выделить всё

ipfw -a list

вы можете проконтролировать на каком правиле блокирется нужный вам трафик, после чего шевелим извилинами...

Ppaa · Непрочитанное сообщение **Ppaa** » 2015-04-27 0:05:35

ipfw show я пробовал получается большая часть трафика блокируется на последнем правиле. Как малоинформативно.

Код: Выделить всё

00015    0      0 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016    0      0 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017    0      0 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018    0      0 deny log logamount 10000 ip from any to any not verrevpath in via ae0
00050  102  11200 allow ip from any to any via lo0
00055  137  20196 allow ip from me to any
00075  101   6056 allow tcp from any to any established
00100    4    112 allow icmp from any to any
00150    0      0 allow ip from 192.168.1.1 to me via ae0
00151    0      0 allow ip from 192.168.1.5 to me via ae0
00155    0      0 allow tcp from me to any keep-state
00170    0      0 allow tcp from any to me dst-port 20,21,22,25,53,80,110,143,443,587,993,995,3306,8080,10000,2812 via ae0
00171    0      0 allow udp from any to me dst-port 53,3306 via ae0
00250    0      0 allow icmp from any to any out via ae0 keep-state
00255    0      0 allow udp from me to any keep-state
00255    0      0 allow ip from any to any dst-port 123 out via ae0
00300    0      0 allow tcp from any to any dst-port 22 out via ae0 setup keep-state
00355    0      0 allow icmp from me to any keep-state
65535 4665 432562 deny ip from any to any

Neus · Непрочитанное сообщение **Neus** » 2015-04-27 8:02:27

отключи фаер

snorlov · Непрочитанное сообщение **snorlov** » 2015-04-27 9:37:01

Ppaa писал(а):ipfw show я пробовал получается большая часть трафика блокируется на последнем правиле. Как малоинформативно.
65535 4665 432562 deny ip from any to any

Значит нет разрешающего правила, у вас в инет какой интерфейс смотрит?

harmless

Код: Выделить всё

ipfw add 76 check-state

Ppaa · Непрочитанное сообщение **Ppaa** » 2015-04-27 13:52:42

snorlov, ae0 - он один, подключен к роутеру.

snorlov · Непрочитанное сообщение **snorlov** » 2015-04-27 13:55:48

Ppaa писал(а):snorlov, ae0 - он один, подключен к роутеру.

Зачем тогда файер нужен, если комп находится во внутренней сетке...

Neus · Непрочитанное сообщение **Neus** » 2015-04-27 14:02:36

snorlov писал(а): Зачем тогда файер нужен, если комп находится во внутренней сетке...

товарищ знакомый всегда надевал 2 презика, когда б...й вызывал

forum.lissyara.su