ISPmangaer lite и загрузка правил IPFW

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Sun
прапорщик
Сообщения: 496
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

ISPmangaer lite и загрузка правил IPFW

Непрочитанное сообщение Sun » 2011-09-14 5:55:20

Добрый день комрады, возникла проблема после установки ISPLite, после ребута постоянно загружаются не те правила что заданы в rc.conf. loader.conf уже почистил, в rc.conf тоже указано:

Код: Выделить всё

firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES"
natd_interface="re0"
natd_flags="-f /etc/natd.conf"
После ребута машины почему то вылезают правила:

Код: Выделить всё

# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 allow ip from any to any
Вся проблема в том что не хватает правила:

Код: Выделить всё

00050 divert 8668 ip4 from any to any via re0
Даже если указать путь на скрипт с правилами ipfw, то загружаются правила приведенные выше.

Ядро собрано свое.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gx_ua
сержант
Сообщения: 164
Зарегистрирован: 2009-03-01 0:50:11
Откуда: Киев
Контактная информация:

Re: ISPmangaer lite и загрузка правил IPFW

Непрочитанное сообщение gx_ua » 2011-09-14 11:30:46

так приведи полный конфиг ipfw и как его загружаеш через rc.conf

ISPManager читаем правила из скрипта /etc/firewall.conf


ЗЫ. а зачем тебе nat на веб-сервере?

Аватара пользователя
Sun
прапорщик
Сообщения: 496
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: ISPmangaer lite и загрузка правил IPFW

Непрочитанное сообщение Sun » 2011-09-15 5:46:08

gx_ua писал(а):так приведи полный конфиг ipfw и как его загружаеш через rc.conf

ISPManager читаем правила из скрипта /etc/firewall.conf


ЗЫ. а зачем тебе nat на веб-сервере?
Пока что через rc.conf мне достаточно пред настроенного по умолчанию типа open.

/etc/firewall.conf у меня пустой и в панели он не включается

Ну тут организация не большая, поэтому приходится размещать несколько сервисов на 1 машине, а машина пограничная, так как isp требует белый ip на интерфейсе и не приемлет наты.

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: ISPmangaer lite и загрузка правил IPFW

Непрочитанное сообщение bagas » 2011-09-15 9:24:11

Код: Выделить всё

65000 allow ip from any to any
Не нужно, у вас и так ядро собрано с политикой по умолчанию пропускать.
Чтобы после рубута все работало нормально нужно сделать так.
в /etc/rc.conf добавить строку firewall_type="/etc/firewall.conf"
и уже добавить нужные привила сюда.
Ну так добавьте к конфигу ipfw это правило
/usr/local/etc/rc.fire

Код: Выделить всё

00050 divert 8668 ip4 from any to any via re0
конфиг типа такого, поправьте если ошибся.
/etc/firewall.conf

Код: Выделить всё

add 100 allow ip from me to me via lo0
add 105 deny ip from any to any via lo0
add 110 divert 8668 ip4 from any to any via re0
add 420 allow ip from any to 192.168.1.0/24
add 460 allow ip from 192.168.1.0/24 to any
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.