Странное поведение portsentry и ipfw
Добавлено: 2012-07-26 9:37:20
Приветствую всех!
Столкнулся с непонятным для себя поведением ipfw и portsentry. Надеюсь на помощь знающих людей.
Имеется сервер на FreeBSD 7.4-RELEASE-p8. Настроен и работает portsentry, который работает, пишет в логи, добавляет правила в ipfw на запрет соединений при обнаружении пакетов на слушаемые порты. Но вот вчера обнаружил что сервер перестал отвечать на запросы извне, перестал пинговаться, по ssh не коннектился, веб сервер не отвечал. Когда добрался до консоли, то обнаружил следующее: все сетевые интерфесы работают, шлюз провайдера пингуется, пингуются сайты провайдера, некоторые сайты, например яндекс,пингуются, остальные(большинство) - не пингуются. Посмотрел конфигурацию ipfw. Обратил внимание на то что portsentry создал много ( после пересчета - 43 правила) запретов соединений в начале списка правил ipfw. После команды все правила, созданные portsentry были удалены и сервер сразу же стал виден снаружи и все стало нормально работать. Спохватился что не сохранил правила, добавленные portsentry в файл и сделал printscreen с экрана. Вот запрещающие правила, добавленные portsentry:
Замечу, что нули в количестве отфильтрованных пакетов у большинства правил из-за того, что обнулял счетчики за несколько дней до этого.
Из листинга видно что некоторые правила здесь повторяются по нескольку раз.
В файлах portsentry.blocked.tcp и portsentry.blocked.udp повторений ip адресов нет.
Отсюда хочу задать первый вопрос: почему некоторые правила повторяются? Ведь если правило добавлено один раз, то с этого ip пакеты больше не проходят через ipfw и соответственно portsentry не может среагировать повторно.
И вопрос второй: почему после удаления правил с номером 00001 сервер заработал нормально ?
Спасибо.
Столкнулся с непонятным для себя поведением ipfw и portsentry. Надеюсь на помощь знающих людей.
Имеется сервер на FreeBSD 7.4-RELEASE-p8. Настроен и работает portsentry, который работает, пишет в логи, добавляет правила в ipfw на запрет соединений при обнаружении пакетов на слушаемые порты. Но вот вчера обнаружил что сервер перестал отвечать на запросы извне, перестал пинговаться, по ssh не коннектился, веб сервер не отвечал. Когда добрался до консоли, то обнаружил следующее: все сетевые интерфесы работают, шлюз провайдера пингуется, пингуются сайты провайдера, некоторые сайты, например яндекс,пингуются, остальные(большинство) - не пингуются. Посмотрел конфигурацию ipfw. Обратил внимание на то что portsentry создал много ( после пересчета - 43 правила) запретов соединений в начале списка правил ipfw. После команды
Код: Выделить всё
ipfw delete 1Код: Выделить всё
xxxxx# ipfw show | less
00001 0 0 deny ip from 121.237.30.9 to any
00001 0 0 deny ip from 67.78.157.106 to any
00001 0 0 deny ip from 193.106.73.64 to any
00001 1 40 deny ip from 1.34.22.39 to any
00001 0 0 deny ip from 122.66.218.247 to any
00001 0 0 deny ip from 37.55.169.24 to any
00001 0 0 deny ip from 95.132.208.48 to any
00001 0 0 deny ip from 95.132.216.94 to any
00001 0 0 deny ip from 198.101.210.57 to any
00001 0 0 deny ip from 95.132.84.213 to any
00001 0 0 deny ip from 46.105.111.69 to any
00001 0 0 deny ip from 180.75.107.100 to any
00001 0 0 deny ip from 113.12.228.72 to any
00001 0 0 deny ip from 65.41.153.133 to any
00001 0 0 deny ip from 220.133.243.121 to any
00001 0 0 deny ip from 134.3.142.7 to any
00001 0 0 deny ip from 121.237.30.9 to any
00001 0 0 deny ip from 67.78.157.106 to any
00001 0 0 deny ip from 193.106.73.64 to any
00001 1 40 deny ip from 1.34.22.39 to any
00001 0 0 deny ip from 122.66.218.247 to any
00001 0 0 deny ip from 37.55.169.24 to any
00001 0 0 deny ip from 95.132.208.48 to any
00001 0 0 deny ip from 95.132.216.94 to any
00001 0 0 deny ip from 198.101.210.57 to any
00001 0 0 deny ip from 95.132.84.213 to any
00001 0 0 deny ip from 46.105.111.69 to any
00001 0 0 deny ip from 180.75.107.100 to any
00001 0 0 deny ip from 113.12.228.72 to any
00001 0 0 deny ip from 65.41.153.133 to any
00001 0 0 deny ip from 220.133.243.121 to any
00001 0 0 deny ip from 134.3.142.7 to any
00001 0 0 deny ip from 163.27.118.132 to any
00001 0 0 deny ip from 110.249.27.93 to any
00001 0 0 deny ip from 14.104.20.73 to any
00001 0 0 deny ip from 95.6.46.101 to any
00001 0 0 deny ip from 113.22 6.79.199 to any
00001 0 0 deny ip from 14.213.19.220 to any
00001 0 0 deny ip from 50.79.249.194 to any
00001 0 0 deny ip from 59.56.213.182 to any
00001 0 0 deny ip from 122.116.14.93 to any
00001 8 451 deny ip from 183.5.44.91 to any
00001 17 704 deny ip from 124.67.69.123 to any
00100 6922 4697672 allow ip from any to any via lo0Из листинга видно что некоторые правила здесь повторяются по нескольку раз.
В файлах portsentry.blocked.tcp и portsentry.blocked.udp повторений ip адресов нет.
Отсюда хочу задать первый вопрос: почему некоторые правила повторяются? Ведь если правило добавлено один раз, то с этого ip пакеты больше не проходят через ipfw и соответственно portsentry не может среагировать повторно.
И вопрос второй: почему после удаления правил с номером 00001 сервер заработал нормально ?
Спасибо.