При загрузке системы PF стартует без настроек

[Kano]

Народ, помогите! не пойму в чем может быть дело... PF настроен уже почти 2 года(настраивал не я) и работает, но бывает в офисе отрубают свет и тогда начинаются пляски... PF стартует, но без настроек, т.е. все начинает работать только после того как применяю настройки (pfctl - f /etc/pf.conf). и это после каждой перезагрузки сервера! Ось- FreeBSD 8.0

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mak_v_]

могу помочь, глянув конфиги pf.conf и rc.conf, подобная проблема была с ВПН и ДХЦП соединениями

[Kano]

пока конфиги не могу предоставить... впн есть, но он настроен через IPsec, а что может быть за проблема, расскажи поподробнее)

[mak_v_]

Ну, теоретически, если у вас болит голова - это "болит голова", но очень часто виновата в этом погода.
А точно, сейчас у нас потеплело, и к сожалению пациента с головой сейчас нет, расскажите мне поподробнее про погоду......

[Kano]

))) в ближайшее время(скорее всего на след. неделе) скину конфиги

[tom.cat]

У меня подобная проблема имелась на шлюзе. Соединение с интернетом(pppoe) устанавливалось с помощью ppp. При перезагрузке PF стартовал ранее ppp, естессно правила не загружались.

Код: Выделить всё

Enabling pf
no IP address found for tun0
/etc/pf.conf:18:
could not parse host specification

no IP address found for tun0
/etc/pf.conf:19:
could not parse host specification

no IP address found for tun0
/etc/pf.conf:20:
could not parse host specification

no IP address found for tun0
/etc/pf.conf:21:
could not parse host specification

По идее надо добавить в файл /etc/rc.d/pppoed

Код: Выделить всё

# BEFORE: pf

Но это пробему не решает До сих пор не знаю, как исправить это.

[hedgehog]

В mpd, например, можно указывать скрипт, исполняемый при поднятии туннеля. На форуме уже обсуждалось

[icb]

Есть подобная проблема. Но проявляется она только после кривой перезагрузки (сбой питания и т.п.). Лечится обычным reload.
Проблема в конфигах маловероятна - т.к. после обычной загрузки/перезагрузки pf поднимается корректно.
Больше похоже на баг в pf

[hedgehog]

Есть подобная проблема. Но проявляется она только после кривой перезагрузки (сбой питания и т.п.). Лечится обычным reload.
Проблема в конфигах маловероятна - т.к. после обычной загрузки/перезагрузки pf поднимается корректно.
Больше похоже на баг в pf

а вы посмотрите после "необычной" загрузки, какие правила подгружены в pf и сравните с правилами при корректной работе

[skeletor]

У меня подобная проблема имелась на шлюзе. Соединение с интернетом(pppoe) устанавливалось с помощью ppp. При перезагрузке PF стартовал ранее ppp, естессно правила не загружались.

Код: Выделить всё

Enabling pf
no IP address found for tun0
/etc/pf.conf:18:
could not parse host specification

no IP address found for tun0
/etc/pf.conf:19:
could not parse host specification

no IP address found for tun0
/etc/pf.conf:20:
could not parse host specification
no IP address found for tun0
/etc/pf.conf:21:
could not parse host specification

По идее надо добавить в файл /etc/rc.d/pppoed

Код: Выделить всё

# BEFORE: pf

Но это пробему не решает До сих пор не знаю, как исправить это.

Приведите содержимое строк 18-21, попробую вам помочь.

[snorlov]

А чего тут помогать, если при старте pf интерфейс tun0 еще не поднялся... вот и не грузятся связанные с этим интерфейсом правила в pf...

[skeletor]

И что вы предлагаете? Каждый раз вручную это делать? Вы слышали про якоря? Видимо нет.

[snorlov]

Посмотрите, что имеется в каталоге /usr/share/examples/pppd, если он у вас поставлен, заодно пробегитесь по man pppd. Без разницы, чем вы поднимаете VPN к провайдеру, mpd/pppd, вируальные интерфейсы создаются в момент коннекта, а pf/ipfw стартуют еще раньше, но mpd/pppd имеют возможность запускать скрипты(программы) после коннекта, другими словами после коннекта их ipfw/pf надо перестартовать..

[tom.cat]

Самое интересное, что такая проблема появилось с 7 версии фряхи. В 6-й все грузилось нормально, сначала устанавливалось соединение, а уже потом подгружался pf. Буду вкуривать ман по pppd, спасибо за помощь.

[skeletor]

Посмотрите, что имеется в каталоге /usr/share/examples/pppd, если он у вас поставлен, заодно пробегитесь по man pppd. Без разницы, чем вы поднимаете VPN к провайдеру, mpd/pppd, вируальные интерфейсы создаются в момент коннекта, а pf/ipfw стартуют еще раньше, но mpd/pppd имеют возможность запускать скрипты(программы) после коннекта, другими словами после коннекта их ipfw/pf надо перестартовать..

+1. Использование якорей вместе с файлами link.up/link.down (названия условные) как раз и решает вашу проблему.

[mak_v_]

Любое из этого вам поможет
1) якоря
2) Up\down скрипты для впн
3) Порядок в рц-скриптах - опции "require" "before"

Я бы пилил up/down скрипты

[tom.cat]

Любое из этого вам поможет
1) якоря
2) Up\down скрипты для впн
3) Порядок в рц-скриптах - опции "require" "before"

Я бы пилил up/down скрипты

Код: Выделить всё

3) Порядок в рц-скриптах  - опции "require" "before"

Этот вариант не работает. Буду пробовать оставшиеся 2 варианта.

[skeletor]

mak_v_ Вот расскажите мне, как можно отдельно использовать п.1 и п.2? Как можно без якорей добавить новые правила в pf? Я понимаю, что можно привести пример, где sed'ом вставляется пару строк в pf.conf, потом он перечитывается, но это такой костыль. А при опускании интерфейса их опять нужно удалять. А если случился хардрезет, то правила-то остались и при следующей загрузке уже будет по 2 одинаковых правила и они позже таким образом могут плодится. Конечно можно добавить проверку на существование правил и т.д, но это выльется в ещё больший костыль.
По сему вопрос: зачем изобретать велосипед, если уже это есть и его можно использовать? Может я не всё знаю.

[mak_v_]

например: при загрузке использовать файл настроек pf.conf, а up-скриптом pf.conf.up

[skeletor]

Ну-ну, и держать 3 копии одного файла с отличием в пару строк и вносить изменения (в случае добавления, удаления правил) так же в 3 файла вместо 1-го - действительно очень удобно (к примеру, файл с пару сотнями правил ). Думаю дальше спорить на эту тему бесполезно.

[mak_v_]

не три, а две
Думаю что "ну-нукать" - это самое правильное.
Не нравятся скрипты - юзайте якоря...а то нукальщиков много, а как надо головой поработать, так сразу в форум.
Интерфейса нет, а правила уже нужны....это как посрать не снимая штаны - штаны не снял, а посрать уже надо!!

[hedgehog]

mak_v_ Вот расскажите мне, как можно отдельно использовать п.1 и п.2?

если привязка к интерфейсу не критична, то п.2 легко реализуется посредством таблиц

[tom.cat]

Итак, долгожданный перезагруз шлюза и проблема решена Решена с помощью правил PF безо всяких скриптов up/down для vpn.
В правилах добавил скобочки:

Код: Выделить всё

nat on $ext_if from $trusted_lan to any -> ($ext_if)
rdr on $ext_if proto tcp from any to ($ext_if)....
pass in on $ext_if inet proto tcp from any to ($ext_if)....

И так далее по аналогии.