forum.lissyara.su

Добавлено: **2006-01-25 16:34:00**

Вот такой трабля. Ставлю машину с нульки. Лезу в настройки сетевух, пишу ип, прошу сохранить, в конфиге пусто не сохранилось (написал в конфиг, ладно

) едим дальше начал настройку с ведра и фаера, пока в ведре не пропишеш, фаер не за пускается не подкаким соусом,(ни через rc.conf) собрал ведро с фаером, перезапуск и ни кто никуда неходит. IPFW SHOW пишит только одно правило 65``` ye и т.д. Конфиг брал сдесь же, и ведра (не полностью) и фаера (первую версию). Что может бы???

Добавлено: **2006-01-25 16:48:52**

Я тебе ответил уже в комментах...
Вообще неплохо б говорить версию FreeBSD хотя б....
в /etc/rc.conf должно быть
firewall_type="/etc/rc.firewall"

Добавлено: **2006-01-31 8:20:18**

Удалите эту тему это позор моей седой головы (плохому тонцору яшки мешают)

Добавлено: **2006-01-31 9:05:43**

На самом деле - это не твоя ошибка, а моя, поэтому тему-то надо оставить....

Просто где-то между версиями 4.11 и 6.0 поменялся синтаксис rc.conf в этом пункте, и это не твоя вина.

Добавлено: **2006-02-05 14:40:36**

ещё там есть пару не дочетов если взять весь конф то в некоторые сайты типа http://www.ru вообще не залезиш

и как не пенгуй всеравно получиш тишину ну и соответсвенно не попадеш на некоторые сайтики которые со 192.168.*.*

Добавлено: **2006-02-05 15:10:51**

Хм.. Насчё http://www.ru - всё нормально, а вот частные сетки снаружи зарублены сознательно - это не недочёт.

Почитай man ipfw - это оттуда

Добавлено: **2006-02-06 10:57:06**

Цитата из статьи IPFW "
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
если писать это правило, то зарубает ВСЕ (рубит весь Интернет). Вопрос : зачем вставлять это правило, если впереди как бы все разрешено ... а в конце все рубим ??? Может я чего-то не понимаю ??? Где логика ???

Добавлено: **2006-02-06 11:07:25**

Roman писал(а):Цитата из статьи IPFW "
# запрещаем всё и всем. Если тип файрволла не open то это правило добавится
# автоматически, но всё-же ну его. Лучше сам. Надёжней.
${FwCMD} add deny ip from any to any
если писать это правило, то зарубает ВСЕ (рубит весь Интернет). Вопрос : зачем вставлять это правило, если впереди как бы все разрешено ... а в конце все рубим ??? Может я чего-то не понимаю ??? Где логика ???

IPFW проверяет до первого совпадающего правила ,в котором есть allow или deny - после этого пакет из него уходит.

Предположим ,тебе засылают пакет ,который тебе не нужен, но он не подошёл ни к одному правилу?
Тогда всё зависит от того, какое правило последнее....

Добавлено: **2006-02-06 11:17:45**

и вообще - почитай ссылки в статье на хандбук...
там всё разжёвано....

Добавлено: **2006-02-06 13:13:03**

Большое спасибо за разьяснение !!!

Добавлено: **2006-06-14 18:30:25**

MONSTR-SHEFF писал(а):Вот такой трабля. Ставлю машину с нульки. Лезу в настройки сетевух, пишу ип, прошу сохранить, в конфиге пусто не сохранилось (написал в конфиг, ладно ) едим дальше начал настройку с ведра и фаера, пока в ведре не пропишеш, фаер не за пускается не подкаким соусом,(ни через rc.conf) собрал ведро с фаером, перезапуск и ни кто никуда неходит. IPFW SHOW пишит только одно правило 65``` ye и т.д. Конфиг брал сдесь же, и ведра (не полностью) и фаера (первую версию). Что может бы???

Таже самая проблемка Фри 6,0

в /etc/rc.conf
firewall_type="/etc/rc.firewall" и туда вписывать свои правила
не помогает
не видно файервола при загрузке
вот в манях нашел firewall_flags может сдесь чтото?

Добавлено: **2006-06-14 18:37:49**

more /etc/defaults/rc.conf писал(а):firewall_enable="NO" # Set to YES to enable firewall functionality
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="UNKNOWN" # Firewall type (see /etc/rc.firewall)
firewall_quiet="NO" # Set to YES to suppress rule display
firewall_logging="NO" # Set to YES to enable events logging
firewall_flags="" # Flags passed to ipfw when type is a file

Код: Выделить всё

uname -v
FreeBSD 6.1-RC #0: Sun Apr 30 10:04:53 MSD 2006     lissyara@lissyara.int.otradno.ru:/usr/obj/usr/src/sys/max-optimized.conf

Добавлено: **2006-06-19 15:29:44**

firewall_type и firewall_script не победил. (гдето читал что на 6,0 - release0 это баг).
Запускаю из консоли настройки файервола.
Работало.
Установил SQUID
После этого при запуске с консоли файла с правилами
стало на строки
${FwCMD} add fwd ${IpIn},2121 tcp from ${NetIn}/${NetMask} to any 21 via ${LanOut}
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
ругаться так
ipfw: getsockopt(IP_FW_ADD): Invalid argument;
Что это может быть?? (SQuid не разрешает менять после себя правила)

Добавлено: **2006-06-19 15:45:13**

про фаер

http://www.lissyara.su/?id=1183 писал(а):# Поставьте YES для включения файрволла.
firewall_enable="NO"
# Скрипт файрволла (с правилами - а фактически обычный shell-скрипт)
firewall_script="/etc/rc.firewall"
# Тип файрволла (за подробностями - в дефолтовый /etc/rc.firewall)
firewall_type="UNKNOWN"
# Поставьте YES для подавления вывода правил файрволла на экран
firewall_quiet="NO"
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"
# Флаги ipfw, для случая, когда тип файрволла - файл (file).
firewall_flags=""

про fwd

Код: Выделить всё

cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

Добавлено: **2006-06-19 18:40:48**

lissyara писал(а):про фаер
http://www.lissyara.su/?id=1183 писал(а):# Поставьте YES для включения файрволла.
firewall_enable="NO"
# Скрипт файрволла (с правилами - а фактически обычный shell-скрипт)
firewall_script="/etc/rc.firewall"
# Тип файрволла (за подробностями - в дефолтовый /etc/rc.firewall)
firewall_type="UNKNOWN"
# Поставьте YES для подавления вывода правил файрволла на экран
firewall_quiet="NO"
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"
# Флаги ipfw, для случая, когда тип файрволла - файл (file).
firewall_flags=""
про fwd
Код: Выделить всё
cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}

я так понял чтоб из /etc/rc.firewall прочитать чтото с grep fwd надо сначала туда вписать эту строку${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}? и куда вписывать потому что там в разделе "UNKNOWN" только условия в дефолте (просто у меня правила в другом файле )

ipfw: getsockopt(IP_FW_ADD): Invalid argument; так и остался

Добавлено: **2006-06-20 7:42:16**

lissyara писал(а):про фаер
http://www.lissyara.su/?id=1183 писал(а):# Поставьте YES для включения файрволла.
firewall_enable="NO" Зыдесь "YES"
Даже если в ведре его нет он заработает
# Скрипт файрволла (с правилами - а фактически обычный shell-скрипт)
firewall_tape="/etc/rc.firewall"
# Тип файрволла (за подробностями - в дефолтовый /etc/rc.firewall)
firewall_type="open" Хоть маленькими хоть большими
# Поставьте YES для подавления вывода правил файрволла на экран
firewall_quiet="NO" тоже "YES"
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"
# Флаги ipfw, для случая, когда тип файрволла - файл (file).
firewall_flags=""
про fwd
Код: Выделить всё
cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} 
 

Про fwd А это можеш запихать перед правилом 50 ты его найдеш если откроеш дефолтовый и чючю прокрутиш там диверт стоит

А если хочеш подцепить свои правила тогда
firewall_tape="/etc/rc.firewall" - Это коментиш и пишиш
firewall_script="/etc/rc.твой фаил"
firewall_type="open" - Это тоже коментиш
и наконец /etc/netstart (чтоб не перезагружаться) и ipfw show и смотриш подключились твои правила или нет

Либо меняеш какоето правило или дополняеш свой firewall_script="/etc/rc.твой фаил" и пишиш sh /etc/rc.твой фаил и опять смотриш.

Добавлено: **2006-06-20 9:39:25**

monstr-sheff писал(а):
lissyara писал(а):про фаер
про fwd
Код: Выделить всё
cat /etc/rc.firewall|grep fwd
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut} 
 
Про fwd А это можеш запихать перед правилом 50 ты его найдеш если откроеш дефолтовый и чючю прокрутиш там диверт стоит
Либо меняеш какоето правило или дополняеш свой firewall_script="/etc/rc.твой фаил" и пишиш sh /etc/rc.твой фаил и опять смотриш
.................
................

указываю только
firewall_script="/etc/мой фаил" все остальное в коментах

Я очем и говорю: что из rc.conf не запускаеться ни при каких обстоятельствах, запускал вручную с консоли sh /etc/мойфайл, но теперь
так теперь (после установки SQUID ) не дает делать fwd для правила
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
выдает ошибку ipfw: getsockopt(IP_FW_ADD): Invalid argument;

Добавлено: **2006-06-20 10:01:13**

Yurok104 писал(а):${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
выдает ошибку ipfw: getsockopt(IP_FW_ADD): Invalid argument;

дай в нормальном виде правило, не с переменными, а с реальными значениями

Добавлено: **2006-06-20 10:55:39**

lissyara писал(а):
Yurok104 писал(а):${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
выдает ошибку ipfw: getsockopt(IP_FW_ADD): Invalid argument;
дай в нормальном виде правило, не с переменными, а с реальными значениями

В файле настроек

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="ttyd1" # внешний интерфейс
LanIn="ed0" # внутренний интерфейс
IpOut="Мой Айпи внешний"
IpIn="192.168.0.47" # внутренний IP машины
NetMask="24" # маска сети (если она разная для внешней
# и внутренней сети - придётся вводить ещё
# одну переменную, но самое забавное, что
# можно и забить - оставить 24 - всё будет
# работать, по крайней мере я пробовал -
# работаало на 4-х машинах, в разных сетях,
# с разными масками - настоящими разными! но -
# это неправильно.)
NetIn="192.168.0.0" # Внутренняя сеть
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
- по легенде он у нас
# смотрит в интернет, а значит пакетам этим браться неоткуда на нём.
# отправляем всех на squid (в данном случае - прокси прозрачный)
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add allow tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно?

)
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${FwCMD} add allow udp from any 53 to any via ${LanOut}
# разрешаем DNS входящий снаружи - если на этой машине работает named
# и держит какую-то зону. В остальных случаях - не нужно
#${FwCMD} add allow udp from any to any 53 via ${LanOut}
# разрешаем ftp снаружи (оба правила - для пасивного режима)
# разрешаем некоторые типы ICMP траффика - эхо-запрос,
# эхо-ответ и время жизни пакета истекло
# открываем снаружи 25 порт (SMTP) если на машине крутится почта
#${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut}
# открываем снаружи 22 порт - если надо будет ходить на машину по ssh
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
# открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP)
${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut}
# открываем снаружи 110 порт(если надо смотреть почту снаружи по POP)
${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}
${FwCMD} add deny ip from any to any

если ввожу строкой
ipfw -f flush
ipfw add fwd 127.0.0.1,3128 tcp from 192.168.0.47/24 to any 80 via ttyd1
тоже самое

Добавлено: **2006-06-20 11:03:08**

дай ifconfig

Добавлено: **2006-06-20 12:07:56**

lissyara писал(а):дай ifconfig

ifconfig
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet6 fe80::280:adff:fe40:c58%ed0 prefixlen 64 scopeid 0x1
inet 192.168.0.47 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:80:ad:40:0c:58
media: Ethernet autoselect (10baseT/UTP)
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet 127.0.0.1 netmask 0xff000000
ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet Мой внешний фиксиров.айпи --> Айпи на провайдере(но не DNS) netmask 0xffffff00

ipfw show
00100 0 0 check-state
00200 55 4176 allow tcp from any to any established
00300 0 0 allow udp from any 53 to any via ttyd1
00400 0 0 allow udp from any to any dst-port 123 via ttyd1
00500 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 21 via ttyd1
00600 0 0 allow icmp from any to any icmptypes 0,8,11
00700 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 22 via ttyd1
00800 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 143 via ttyd1
00900 0 0 allow tcp from any to Мой внешний фиксиров.айпи dst-port 110 via ttyd1
01000 1 56 deny ip from any to any
65535 14 1205 deny ip from any to any

Добавлено: **2006-06-20 12:40:27**

ну и где ты нашёл интерфейс с именем "ttyd1"?

Добавлено: **2006-06-20 12:55:56**

lissyara писал(а):ну и где ты нашёл интерфейс с именем "ttyd1"?

В том смысле чтоб везде вместо Ttyd1 (в RC.conf, в правилах файервола, сквида и т.д )использовать PPP0 ? ( TTyd1 - это xDSL модем )
Но... что само интересно

с фрюхи при подключенном интернете (PPPD Ttyd1) и DNS пингуеться и сайты

Добавлено: **2006-06-20 14:23:09**

Yurok104 писал(а):
lissyara писал(а):ну и где ты нашёл интерфейс с именем "ttyd1"?
В том смысле чтоб везде вместо Ttyd1 (в RC.conf, в правилах файервола, сквида и т.д )использовать PPP0 ? ( TTyd1 - это xDSL модем )
Но... что само интересно с фрюхи при подключенном интернете (PPPD Ttyd1) и DNS пингуеться и сайты

Без разницы Фрюхе так понял хоть ppp0 хоть Ttyd1.
Всеравно ошибка на строку
${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
ipfw: getsockopt(IP_FW_ADD): Invalid argument;

Добавлено: **2006-06-20 14:27:11**

а если via ed0?

forum.lissyara.su

IPFW

IPFW

IPFW

Re: IPFW