Где ты ничего не можешь сделать - ты ничего не должен хотеть
https://forum.lissyara.su/
Код: Выделить всё
cat /boot/loader.conf
pf_load="YES"
ipfw_load="YES"
ipdivert_load="YES"
dummynet_load="YES"
if_lagg_load="YES"
autoboot_delay=3 # (default 10) secondsстатья 14 года, какая там может быть речь о новых версиях, и насколько я понял он включает фаер через /etc/sysctl.confsiad писал(а): ↑2020-05-14 12:41:17Кстати о "новых" версиях
https://alexnettm.com/freebsd/freebsd-n ... l-nat.html
Человек утверждает что этого достаточно, я не уверен,карантин кончится попробую на работе на vm
Нет - не верно.WideAreaNetwork писал(а): ↑2020-05-14 18:52:54насколько я понял он включает фаер через /etc/sysctl.conf
Код: Выделить всё
"Ядро не пересобирал, на стандартном GENERIC
В /etc/rc.conf добавляем строчки:"Код: Выделить всё
cat /etc/defaults/rc.conf | grep firewallКод: Выделить всё
ee /etc/rc.conf
firewall_enable="YES"
firewall_type="closed"
firewall_script="/etc/firewall.conf"Код: Выделить всё
#!/bin/sh
fw="/sbin/ipfw -q -N"
intif="em0"
intip="192.168.1.1"
intnet="192.168.1.0/24"
extif="em1"
extip="10.10.10.1"
# reset all rules
${fw} -f flush
${fw} -f pipe flush
${fw} -f queue flush
################################################################## ######
# CREATE RULES
################################################################## ######
${fw} add allow all from any to any via lo0
${fw} add divert natd all from ${intnet} to any out via ${extif}
${fw} add divert natd all from any to ${extip} in via ${extif}
#EOFКод: Выделить всё
#options IPFIREWALLКод: Выделить всё
ee /etc/rc.conf
firewall_enable="YES"
firewall_type="open"Код: Выделить всё
case ${firewall_type} in
[Oo][Pp][Ee][Nn])
${fwcmd} add 65000 pass all from any to any
;;Код: Выделить всё
# kldstat
Id Refs Address Size Name
1 12 0xffffffff80200000 2448f20 kernel
2 1 0xffffffff82822000 2668 intpm.ko
3 1 0xffffffff82825000 b50 smbus.ko
4 1 0xffffffff82826000 18a0 uhid.ko
5 1 0xffffffff82828000 1aa0 wmt.ko
# ipfw list
ipfw: retrieving config failed: Protocol not available
# kldload ipfw
# ipfw list
65535 deny ip from any to any
# sysctl net.inet.ip.fw.default_to_accept
net.inet.ip.fw.default_to_accept: 0
#
Код: Выделить всё
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, default to deny, logging disabled
Код: Выделить всё
net.inet.ip.fw.default_to_accept=1
WideAreaNetwork писал(а): ↑2020-05-14 11:48:44у нас так
КОД: ВЫДЕЛИТЬ ВСЁ
cat /boot/loader.conf
pf_load="YES"
ipfw_load="YES"
ipdivert_load="YES"
dummynet_load="YES"
if_lagg_load="YES"
autoboot_delay=3 # (default 10) seconds
получается ipfw_load="YES" можно исключить
Не только.
Код: Выделить всё
cat /etc/defaults/rc.conf | grep dummy
dummynet_enable="NO" # Load the dummynet(4) moduleКод: Выделить всё
cat /etc/defaults/rc.conf | grep pf_
pf_enable="NO" # Set to YES to enable packet filter (pf)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_program="/sbin/pfctl" # where the pfctl program lives
pf_flags="" # additional flags for pfctlИ
Это не значит, что не возможно.
Код: Выделить всё
man pf
DESCRIPTION
Packet filtering takes place in the kernel. A pseudo-device, /dev/pf,
allows userland processes to control the behavior of the packet filter
through an ioctl(2) interface. There are commands to enable and disable
the filter, load rulesets, add and remove individual rules or state table
entries, and retrieve statistics. The most commonly used functions are
covered by pfctl(8).Код: Выделить всё
man ipfw
DESCRIPTION
The ipfw utility is the user interface for controlling the ipfw(4)
firewall, the dummynet(4) traffic shaper/packet scheduler, and the in-
kernel NAT services.там практически все можно исключить, и вставить в /etc/rc.conf.получается ipfw_load="YES" можно исключить