forum.lissyara.su

Раз не осталось живых, значит мертвые — Встать!
https://forum.lissyara.su/

IPFW

https://forum.lissyara.su/viewtopic.php?f=8&t=277

Страница 2 из 10

Добавлено: 2006-06-20 14:32:40
Yurok104
lissyara писал(а):а если via ed0?
ed0 - это сетевуха на внутреннюю сеть. на внешнюю TTyd1 - это xDSL модем
Я просто счас подумал а как поднять модем (выполнив PPPD TTYD1) до того как начнет
работать rc.conf?

Добавлено: 2006-06-20 14:34:11
Alex Keda
lissyara писал(а):а если via ed0?
а всё таки? меня не интересует - заработает или нет, а то,ругань будет или нет

Добавлено: 2006-06-20 15:19:49
Yurok104
lissyara писал(а):
lissyara писал(а):а если via ed0?
а всё таки? меня не интересует - заработает или нет, а то,ругань будет или нет
Тот же самый инвалид :( . Сто %- сквид не дает!

а по поводу поднятия модема до rc.conf- возможно???

Добавлено: 2006-06-20 15:26:02
Alex Keda

Код: Выделить всё

options         IPFIREWALL_FORWARD
в ядре есть?

Добавлено: 2006-06-20 15:26:45
Alex Keda
http://www.lissyara.su/?id=1127

Код: Выделить всё

options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле 
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на 
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость 
                                         # инета пользователям (обычно - да :))
options         IPFIREWALL_DEFAULT_TO_ACCEPT  # дефолтовое правило (последнее)
                                           # будет разрешающим (во всех других)
                                           # случаях - запрещающее

Добавлено: 2006-06-20 15:38:13
Yurok104
lissyara писал(а):http://www.lissyara.su/?id=1127

Код: Выделить всё

options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле 
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на 
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость 
                                         # инета пользователям (обычно - да :))
options         IPFIREWALL_DEFAULT_TO_ACCEPT  # дефолтовое правило (последнее)
                                           # будет разрешающим (во всех других)
                                           # случаях - запрещающее
Точно помню пересобирал ядро с следующими опциями
#Включение файрвола
options IPFIREWALL
#Дополнительные возможности для отслеживания сетевого трафика.
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT="32"
#Поддержка перенаправления портов (для NAT)
options IPDIVERT
options IPSTEALTH
#Следующие опции затрудняют сканирование портов сервера
options TCP_DROP_SYNFIN
А тут форварда(options IPFIREWALL_FORWARD ) и нет :oops:.
Или подождите это только для прозрачного прокси?

Добавлено: 2006-06-20 16:34:31
Yurok104
lissyara писал(а):http://www.lissyara.su/?id=1127

Код: Выделить всё

options         IPFIREWALL               # собственно файрволл
options         IPFIREWALL_VERBOSE       # логгинг пакетов, если в правиле 
                                         # написано `log`
options         IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на 
                                           # случай атак типа флудинга
                                           # (я, правда, 100 ставлю)
options         IPFIREWALL_FORWARD       # перенаправление (форвардинг) пакетов
                                         # например, для прозрачного прокси
options         IPDIVERT                 # если нужен NAT (трансляция адресов)
options         DUMMYNET                 # если понадобится ограничивать скорость 
                                         # инета пользователям (обычно - да :))
options         IPFIREWALL_DEFAULT_TO_ACCEPT  # дефолтовое правило (последнее)
                                           # будет разрешающим (во всех других)
                                           # случаях - запрещающее
А если всетаки делать прокси не прозрачный без опции options IPFIREWALL_FORWARD обойтись можно???
Если можно то как ???

Добавлено: 2006-06-20 16:39:38
Alex Keda
ты что вводишь?
ipfw add fwd
ну так нужна опция в ядре:
IPFIREWALL_FORWARD
или нет?

Добавлено: 2006-06-20 16:54:19
Yurok104
lissyara писал(а):ты что вводишь?
ipfw add fwd
ну так нужна опция в ядре:
IPFIREWALL_FORWARD
или нет?
Да. У меня в правилах ipfw add fwd
Да. Я понял для этого нужна опция в ядре: IPFIREWALL_FORWARD
Но не понял : это только для прозрачного прокси (мне он не очень нужен и да и ядро цел день пересобирать не хочеться) и обычный прокатит (всеравно в инет через модем а не сетевуху).
Как сделать обычный прокси на SQUID - прочитал в http://www.lissyara.su/?id=1026 сейчас попробую

Добавлено: 2006-06-21 15:19:22
BAV_Lug
Настрил ipfw и возник вопрос.
Как проверить правильность его работы? Шела у меня нигде нет. А онлайнового сканера портов из инета не нашел.

Добавлено: 2006-06-21 15:37:09
Alex Keda
отсканить снаружи....

Добавлено: 2006-06-21 15:41:04
BAV_Lug
lissyara писал(а):отсканить снаружи....
Я же говорю, что нет шела :(

Добавлено: 2006-06-21 20:23:32
Alex Keda
ну так огласи IP - мы посканим :)))

Добавлено: 2006-06-22 9:01:50
BAV_Lug
lissyara писал(а):ну так огласи IP - мы посканим :)))
Да нашел я уже онлайн сканер :)
Еще появился один вопрос, а как прикрыть нат для всех внутри сети и оставить только для определенных машин?

Добавлено: 2006-06-22 10:20:45
Alex Keda
ну так не сетку укажи а эти IP

Добавлено: 2006-06-22 12:11:57
BAV_Lug
lissyara писал(а):ну так не сетку укажи а эти IP
Ты меня видимо не понял. Я хочу, чтобы натом погли пользоваться только определенные машины в сети. А остальным он был не досупен. Как это сделать?

Добавлено: 2006-06-22 12:39:52
Alex Keda
я тебе ответил

Re: IPFW

Добавлено: 2009-02-27 23:56:21
chip
такой вопрос, файл ipfw.conf, который указан в rc.conf (firewall_type="/etc/ipfw.conf")

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"
при выполнении netstart выдает ошибку Line 2: bad command `fwcmd="/sbin/ipfw"', и дальше правила не грузятся ...

Код: Выделить всё

netstart
devd already running? (pid=572).
...
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Line 2: bad command `fwcmd="/sbin/ipfw"'
права на выполнение есть ...

Код: Выделить всё

[root@bsd ~]# ls /etc| grep ipfw.conf
-rwxr-xr-x  1 root  wheel       897 Feb 27 19:37 ipfw.conf
когда коментирую эту строку, правила со статическими номерами подгужаются, и работают. прописаны вот в таком виде:

Код: Выделить всё

00401 add pass icmp from 1.1.1.0/24 to any via le1
00402 add pass icmp from any to 1.1.1.0/24 via le1
Спасибо за ответ.

а, еще

Код: Выделить всё

[root@bsd ~]# uname -a
FreeBSD bsd.localdomain 7.0-RELEASE FreeBSD 7.0-RELEASE #1: Fri Feb 27 15:11:02 EET 2009     root@bsd.localdomain:/usr/obj/usr/src/sys/MY_KER2  i386

Re: IPFW

Добавлено: 2009-02-28 0:09:51
paradox

Код: Выделить всё

firewall_type=
наскоко я помню никогда небыл путем к скрипту
может все таки

Код: Выделить всё

firewall_script="/etc/rc.firewall"
и мануальчик почитаем?

Re: IPFW

Добавлено: 2009-02-28 0:20:48
chip
хм, а в статье Лиса
http://www.lissyara.su/?id=1127 писал(а):firewall_type="/etc/rc.firewall" - файл с правилами файрволла
но вы правы, все решилось :) не мог предположить что в таком месте могут быть опечатки, тем более что статья не новая ...

Re: IPFW

Добавлено: 2009-02-28 0:28:22
f_andrey
chip писал(а):хм, а в статье Лиса
http://www.lissyara.su/?id=1127 писал(а):firewall_type="/etc/rc.firewall" - файл с правилами файрволла
но вы правы, все решилось :) не мог предположить что в таком месте могут быть опечатки, тем более что статья не новая ...
Опечатки могут быть везде и всегда, а уж тут статьи зачастую пишутся не гениями мысли :)
Так что лучше сверятся с документацией, прежде чем что то делать, могут элементарно меняться значения в зависимости от версий, ну или появятся новые более эффективные приемы.

Re: IPFW

Добавлено: 2009-02-28 0:29:06
paradox
статью поправим
может правда на 4 было и так, не помню
но на 7 уже подругому

Re: IPFW

Добавлено: 2009-02-28 0:36:25
Alex Keda
статья под 4.11 написано.
все моменты что изменились - уже есть в камментах....

Re: IPFW

Добавлено: 2009-02-28 0:45:41
chip
lissyara писал(а):статья под 4.11 написано.
все моменты что изменились - уже есть в камментах....
но я не дошел до чтения каментов
не хочу показаться невежливым, но может стоит внести прямо в статью поправку о том, что в 7 версии нужно писать firewall_script, думаю не я один с этим столкнулся.
В любом случае спасибо вам за статью :good:

Re: IPFW

Добавлено: 2009-02-28 2:19:27
Alex Keda
та незачто.
её в архив надо двинуть уже...
старая совсем. уже и нат ядрёный есть...
Часовой пояс: UTC+03:00
Страница 2 из 10
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/