Страница 2 из 10
Добавлено: 2006-06-20 14:32:40
Yurok104
lissyara писал(а):а если via ed0?
ed0 - это сетевуха на внутреннюю сеть. на внешнюю TTyd1 - это xDSL модем
Я просто счас подумал а как поднять модем (выполнив PPPD TTYD1) до того как начнет
работать rc.conf?
Добавлено: 2006-06-20 14:34:11
Alex Keda
lissyara писал(а):а если via ed0?
а всё таки? меня не интересует - заработает или нет, а то,ругань будет или нет
Добавлено: 2006-06-20 15:19:49
Yurok104
lissyara писал(а):lissyara писал(а):а если via ed0?
а всё таки? меня не интересует - заработает или нет, а то,ругань будет или нет
Тот же самый инвалид
. Сто %- сквид не дает!
а по поводу поднятия модема до rc.conf- возможно???
Добавлено: 2006-06-20 15:26:02
Alex Keda
Добавлено: 2006-06-20 15:26:45
Alex Keda
http://www.lissyara.su/?id=1127
Код: Выделить всё
options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да :))
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
Добавлено: 2006-06-20 15:38:13
Yurok104
lissyara писал(а):http://www.lissyara.su/?id=1127
Код: Выделить всё
options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да :))
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
Точно помню пересобирал ядро с следующими опциями
#Включение файрвола
options IPFIREWALL
#Дополнительные возможности для отслеживания сетевого трафика.
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT="32"
#Поддержка перенаправления портов (для NAT)
options IPDIVERT
options IPSTEALTH
#Следующие опции затрудняют сканирование портов сервера
options TCP_DROP_SYNFIN
А тут форварда(options IPFIREWALL_FORWARD ) и нет
.
Или подождите это только для прозрачного прокси?
Добавлено: 2006-06-20 16:34:31
Yurok104
lissyara писал(а):http://www.lissyara.su/?id=1127
Код: Выделить всё
options IPFIREWALL # собственно файрволл
options IPFIREWALL_VERBOSE # логгинг пакетов, если в правиле
# написано `log`
options IPFIREWALL_VERBOSE_LIMIT=5 # ограничение логов (повторяющихся) - на
# случай атак типа флудинга
# (я, правда, 100 ставлю)
options IPFIREWALL_FORWARD # перенаправление (форвардинг) пакетов
# например, для прозрачного прокси
options IPDIVERT # если нужен NAT (трансляция адресов)
options DUMMYNET # если понадобится ограничивать скорость
# инета пользователям (обычно - да :))
options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее
А если всетаки делать прокси не прозрачный без опции options IPFIREWALL_FORWARD обойтись можно???
Если можно то как ???
Добавлено: 2006-06-20 16:39:38
Alex Keda
ты что вводишь?
ipfw add fwd
ну так нужна опция в ядре:
IPFIREWALL_FORWARD
или нет?
Добавлено: 2006-06-20 16:54:19
Yurok104
lissyara писал(а):ты что вводишь?
ipfw add fwd
ну так нужна опция в ядре:
IPFIREWALL_FORWARD
или нет?
Да. У меня в правилах ipfw add fwd
Да. Я понял для этого нужна опция в ядре: IPFIREWALL_FORWARD
Но не понял : это только для прозрачного прокси (мне он не очень нужен и да и ядро цел день пересобирать не хочеться) и обычный прокатит (всеравно в инет через модем а не сетевуху).
Как сделать обычный прокси на SQUID - прочитал в
http://www.lissyara.su/?id=1026 сейчас попробую
Добавлено: 2006-06-21 15:19:22
BAV_Lug
Настрил ipfw и возник вопрос.
Как проверить правильность его работы? Шела у меня нигде нет. А онлайнового сканера портов из инета не нашел.
Добавлено: 2006-06-21 15:37:09
Alex Keda
отсканить снаружи....
Добавлено: 2006-06-21 15:41:04
BAV_Lug
lissyara писал(а):отсканить снаружи....
Я же говорю, что нет шела
Добавлено: 2006-06-21 20:23:32
Alex Keda
ну так огласи IP - мы посканим
))
Добавлено: 2006-06-22 9:01:50
BAV_Lug
lissyara писал(а):ну так огласи IP - мы посканим
))
Да нашел я уже онлайн сканер
Еще появился один вопрос, а как прикрыть нат для всех внутри сети и оставить только для определенных машин?
Добавлено: 2006-06-22 10:20:45
Alex Keda
ну так не сетку укажи а эти IP
Добавлено: 2006-06-22 12:11:57
BAV_Lug
lissyara писал(а):ну так не сетку укажи а эти IP
Ты меня видимо не понял. Я хочу, чтобы натом погли пользоваться только определенные машины в сети. А остальным он был не досупен. Как это сделать?
Добавлено: 2006-06-22 12:39:52
Alex Keda
я тебе ответил
Re: IPFW
Добавлено: 2009-02-27 23:56:21
chip
такой вопрос, файл ipfw.conf, который указан в rc.conf (firewall_type="/etc/ipfw.conf")
при выполнении netstart выдает ошибку
Line 2: bad command `fwcmd="/sbin/ipfw"', и дальше правила не грузятся ...
Код: Выделить всё
netstart
devd already running? (pid=572).
...
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
Line 2: bad command `fwcmd="/sbin/ipfw"'
права на выполнение есть ...
Код: Выделить всё
[root@bsd ~]# ls /etc| grep ipfw.conf
-rwxr-xr-x 1 root wheel 897 Feb 27 19:37 ipfw.conf
когда коментирую эту строку, правила со статическими номерами подгужаются, и работают. прописаны вот в таком виде:
Код: Выделить всё
00401 add pass icmp from 1.1.1.0/24 to any via le1
00402 add pass icmp from any to 1.1.1.0/24 via le1
Спасибо за ответ.
а, еще
Код: Выделить всё
[root@bsd ~]# uname -a
FreeBSD bsd.localdomain 7.0-RELEASE FreeBSD 7.0-RELEASE #1: Fri Feb 27 15:11:02 EET 2009 root@bsd.localdomain:/usr/obj/usr/src/sys/MY_KER2 i386
Re: IPFW
Добавлено: 2009-02-28 0:09:51
paradox
наскоко я помню никогда небыл путем к скрипту
может все таки
и мануальчик почитаем?
Re: IPFW
Добавлено: 2009-02-28 0:20:48
chip
хм, а в статье Лиса
но вы правы, все решилось
не мог предположить что в таком месте могут быть опечатки, тем более что статья не новая ...
Re: IPFW
Добавлено: 2009-02-28 0:28:22
f_andrey
chip писал(а):хм, а в статье Лиса
но вы правы, все решилось
не мог предположить что в таком месте могут быть опечатки, тем более что статья не новая ...
Опечатки могут быть везде и всегда, а уж тут статьи зачастую пишутся не гениями мысли
Так что лучше сверятся с документацией, прежде чем что то делать, могут элементарно меняться значения в зависимости от версий, ну или появятся новые более эффективные приемы.
Re: IPFW
Добавлено: 2009-02-28 0:29:06
paradox
статью поправим
может правда на 4 было и так, не помню
но на 7 уже подругому
Re: IPFW
Добавлено: 2009-02-28 0:36:25
Alex Keda
статья под 4.11 написано.
все моменты что изменились - уже есть в камментах....
Re: IPFW
Добавлено: 2009-02-28 0:45:41
chip
lissyara писал(а):статья под 4.11 написано.
все моменты что изменились - уже есть в камментах....
но я не дошел до чтения каментов
не хочу показаться невежливым, но может стоит внести прямо в статью поправку о том, что в 7 версии нужно писать
firewall_script, думаю не я один с этим столкнулся.
В любом случае спасибо вам за статью
Re: IPFW
Добавлено: 2009-02-28 2:19:27
Alex Keda
та незачто.
её в архив надо двинуть уже...
старая совсем. уже и нат ядрёный есть...