Как включить rule-based forwarding в IPFW ?

Olpag · Непрочитанное сообщение **Olpag** » 2016-03-01 0:08:59

Здравствуйте.
Есть FreeBSD 9.3 и загружаемый модулем IPFW. Ядро GENERIC.
В /usr/src/UPDATING написано, что rule-based forwarding включен по умолчанию :

20121102:
The IPFIREWALL_FORWARD kernel option has been removed. Its functionality now turned on by default.

Проверяю:
# grep ipfw /var/log/dmesg.today
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, rule-based forwarding disabled, default to deny, logging disabled

Как включить rule-based forwarding в IPFW ?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

В sysctl нету про него ничё?

guest · Непрочитанное сообщение **guest** » 2016-03-01 9:31:58

Olpag писал(а):Здравствуйте.
Есть FreeBSD 9.3 и загружаемый модулем IPFW. Ядро GENERIC.
В /usr/src/UPDATING написано, что rule-based forwarding включен по умолчанию :
20121102:
The IPFIREWALL_FORWARD kernel option has been removed. Its functionality now turned on by default.
Проверяю:
# grep ipfw /var/log/dmesg.today
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, rule-based forwarding disabled, default to deny, logging disabled

Как включить rule-based forwarding в IPFW ?

вроде с 10.0.0 IPFIREWALL_FORWARD removed, если пишет rule-based forwarding disabled, значит
нужно вставить в ядро, либо у Вас что-то не так с 9.3R.

Olpag · Непрочитанное сообщение **Olpag** » 2016-03-02 1:15:38

Alex Keda писал(а): В sysctl нету про него ничё?

нашел упоминание про net.pfil.forward в http://lists.freebsd.org/pipermail/svn- ... 03351.html

sysctl ничего про него не знает:
sysctl: unknown oid 'net.pfil.forward'

undefined писал(а): вроде с 10.0.0 IPFIREWALL_FORWARD removed

вроде, начиная с 9-ки IPFIREWALL_FORWARD removed (ссылка выше)
свое ядро было в 9.1 (с IPFIREWALL_FORWARD), обновился до 9.3, хочется оставить GENERIC с возможнотью обновлений без игрищ с ядрами

guest · Непрочитанное сообщение **guest** » 2016-03-02 1:47:36

Olpag писал(а):
Alex Keda писал(а): В sysctl нету про него ничё?
нашел упоминание про net.pfil.forward в http://lists.freebsd.org/pipermail/svn- ... 03351.html

sysctl ничего про него не знает:
sysctl: unknown oid 'net.pfil.forward'

undefined писал(а): вроде с 10.0.0 IPFIREWALL_FORWARD removed
вроде, начиная с 9-ки IPFIREWALL_FORWARD removed (ссылка выше)
свое ядро было в 9.1 (с IPFIREWALL_FORWARD), обновился до 9.3, хочется оставить GENERIC с возможнотью обновлений без игрищ с ядрами

у меня остался один сервер с 9.3R, но ядро сборное, без IPFIREWALL_FORWARD - комментарий deprecated
и "rule-based forwarding disabled" отсутствует, значит все ok с forward.
В GENERIC вроде отсутствует IPFIREWALL, значит Вам все нужно грузить модулями.
Возможно у Вас ядро осталось старое и модули?

Установите под виртуалкой 9.3 и посмотрите, делов то куча...

ps. net.pfil.forward - переменная из какого-то патча, в FreeBSD вроде не вошел, а в FreeNAS приняли,
не знаю как сейчас.

Olpag · Непрочитанное сообщение **Olpag** » 2016-03-02 13:16:24

undefined писал(а): Возможно у Вас ядро осталось старое и модули?

# grep -A 2 'TYPE="' /usr/src/sys/conf/newvers.sh
TYPE="FreeBSD"
REVISION="9.3"
BRANCH="RELEASE-p36"

Пересобрал ядро, ничего не изменилось

# uname -a
FreeBSD swro 9.3-RELEASE-p36 FreeBSD 9.3-RELEASE-p36 #0: Wed Mar 2 11:30:43 EET 2016 root@swro:/usr/obj/usr/src/sys/GENERIC amd64

# grep ipfw /var/log/dmesg.today
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, rule-based forwarding disabled, default to deny, logging disabled

guest · Непрочитанное сообщение **guest** » 2016-03-02 15:45:15

Olpag писал(а):
undefined писал(а): Возможно у Вас ядро осталось старое и модули?
# grep -A 2 'TYPE="' /usr/src/sys/conf/newvers.sh
TYPE="FreeBSD"
REVISION="9.3"
BRANCH="RELEASE-p36"

Пересобрал ядро, ничего не изменилось

# uname -a
FreeBSD swro 9.3-RELEASE-p36 FreeBSD 9.3-RELEASE-p36 #0: Wed Mar 2 11:30:43 EET 2016 root@swro:/usr/obj/usr/src/sys/GENERIC amd64

# grep ipfw /var/log/dmesg.today
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, rule-based forwarding disabled, default to deny, logging disabled

Эксперимент:
1. Чистый 9.3-RELEASE с GENERIC - проблем нет
2. Upgrade 9.3 + GENERIC - проблем нет

Fresh install:
- kernel GENERIC
- ipfw not loaded

root@bsd93:~ # uname -a
FreeBSD bsd93.lan.home.ru 9.3-RELEASE FreeBSD 9.3-RELEASE #0 r268512: Thu Jul 1
0 23:44:39 UTC 2014 root@snap.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
root@bsd93:~ # kldstat
Id Refs Address Size Name
1 1 0xffffffff80200000 1611638 kernel
root@bsd93:~ # ipfw list
ipfw: getsockopt(IP_FW_GET): Protocol not available
root@bsd93:~ # grep -i firewall /etc/rc.conf
firewall_enable="NO"
firewall_script="/etc/rc.firewall"
firewall_type="UNKNOWN"
firewall_quiet="NO"
firewall_logging="YES"
root@bsd93:~ # grep ipfw /var/run/dmesg.boot
root@bsd93:~ #
- changing /etc/rc.conf
firewall_enable="YES"

- loading kernel module ipfw

root@bsd93:~ # service ipfw start
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, default to deny, logging disabled
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
Firewall rules loaded.
Firewall logging enabled.
root@bsd93:~ # grep ipfw /var/log/messages
Mar 2 15:00:01 bsd93 kernel: ipfw2 (+ipv6) initialized, divert loadable, nat lo
adable, default to deny, logging disabled
root@bsd93:~ #

- disable load firewall /etc/rc.conf
firewall_enable="NO"

- upgrade freebsd 9.3-RELENG

# freebsd-update fetch
# freebsd-update install
# reboot

root@bsd93:~ # uname -a
FreeBSD bsd93.lan.home.ru 9.3-RELEASE-p33 FreeBSD 9.3-RELEASE-p33 #0: Wed Jan 1
3 17:55:39 UTC 2016 root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC amd64
root@bsd93:~ # kldstat
Id Refs Address Size Name
1 1 0xffffffff80200000 16116a0 kernel
root@bsd93:~ # ipfw list
ipfw: getsockopt(IP_FW_GET): Protocol not available
root@bsd93:~ #

- enable load firewall /etc/rc.conf
firewall_enable="YES"

- load firewall

root@bsd93:~ # service ipfw start
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, default to deny, logging disabled
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
Firewall rules loaded.
Firewall logging enabled.
root@bsd93:~ #

Olpag · Непрочитанное сообщение **Olpag** » 2016-03-02 16:30:59

Отбой..
# grep ipfw /var/run/dmesg.boot
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, default to deny, logging disabled

/var/log/dmesg.today - старый, выненесен из syslog, туда уже давно ничего не писалось.. затупил...

forum.lissyara.su