forum.lissyara.su

Добавлено: **2007-12-25 8:42:20**

Собственно говоря сижу....пишу правила файрвола...
Всё это делаю через ssh.
Но как только даю команду

sh /etc/rc.firewall

то в системной консоли вижу

Код: Выделить всё

manefesto sshd[162]: fatal : Write failed: Permision denied

и рвется соединение по ssh

Собственного говоря

Код: Выделить всё

|manefesto@manefesto| ~/>uname -a
FreeBSD manefesto.icb.local 4.11-RELEASE FreeBSD 4.11-RELEASE #1: Thu Dec 20 10:48:23 GMT 2007     root@manefesto.icb.local:/usr/src/sys/compile/SERV  i386
|manefesto@manefesto| ~/>cat /etc/rc.firewall
#!/bin/sh
fw="/sbin/ipfw"
lan_eth="lnc0"
lan_ip="192.168.33.150"
good_ip="192.168.33.10"

${fw} -f flush
${fw} add check-state
${fw} add allow ip from any to any via lo0
${fw} add fwd ${lan_ip},22 tcp from any to any 23 via ${lan_eth}
${fw} add allow icmp from ${good_ip} to any icmptypes 0,8,11
${fw} add allow icmp from any to ${good_ip} icmptypes 0,8,11
#ssh
${fw} add allow tcp from any to me  23 in via ${lan_eth}
${fw} add allow tcp from me 23 to any via ${lan_eth}
#ftp
${fw} add pass tcp from any to me 20,21 in via ${lan_eth}
${fw} add pass tcp from me 20,21 to any via ${lan_eth}
#ntp
${fw} add allow udp from 172.17.4.10 to me 123 in via ${lan_eth}
${fw} add allow udp from me 123 to 172.17.4.10 via ${lan_eth}
#web
${fw} add allow tcp from any to me 80 in via ${lan_eth}
${fw} add allow tcp from me 80 to any via ${lan_eth}

Добавлено: **2007-12-25 9:33:50**

в ядре

Код: Выделить всё

IPFIREWALL_DEFAULT_TO_ACCEPT

?

Добавлено: **2007-12-25 9:37:00**

неа....по дефолту deny, это типа моя паранойя

Добавлено: **2007-12-25 9:48:45**

ну тогда типа по у тебя в начале сброс всех правил и по умолчанию денай тебя и выкидывает

Добавлено: **2007-12-25 9:51:18**

я перед таким запуском по крону ставлю предыдущий вариант правил файервола

Добавлено: **2007-12-25 9:57:16**

Код: Выделить всё

Добавлено: **2007-12-25 11:09:07**

lissyara писал(а):
Код: Выделить всё
&

putty всё равно отваливается

Добавлено: **2007-12-25 11:11:10**

На всякий случай:

Код: Выделить всё

|manefesto@root| manefestp/>ipfw show
00100   0     0 check-state
00200  48  3072 allow ip from any to any via lo0
00300 157 13395 fwd 192.168.33.150,22 tcp from any to any 23 via lnc0
00400   0     0 allow icmp from 192.168.33.10 to any icmptype 0,8,11
00500   0     0 allow icmp from any to 192.168.33.10 icmptype 0,8,11
00600   0     0 allow tcp from any to me 23 in recv lnc0
00700 128 12944 allow tcp from me 23 to any via lnc0
00800   0     0 allow tcp from any to me 20,21 in recv lnc0
00900   0     0 allow tcp from me 20,21 to any via lnc0
01000   0     0 allow udp from 172.17.4.10 to me 123 in recv lnc0
01100   0     0 allow udp from me 123 to 172.17.4.10 via lnc0
01200   0     0 allow tcp from any to me 80 in recv lnc0
01300   0     0 allow tcp from me 80 to any via lnc0
65535  44  4211 deny ip from any to any

Самое главное меня интересует вот эта месага

Код: Выделить всё

manefesto sshd[162]: fatal : Write failed: Permision denied

Добавлено: **2007-12-25 11:43:15**

manefesto писал(а):
lissyara писал(а):
Код: Выделить всё
&
putty всё равно отваливается

и будет отваливаться. Но - гарантировано отработает файрволл - ты видимо ешё не сталкивался с ситуацией, когда он не все правила успевает загнать

))

manefesto писал(а): Самое главное меня интересует вот эта месага
Код: Выделить всё
manefesto sshd[162]: fatal : Write failed: Permision denied

ну, правило deny же по дефолту. А в сокеты пакеты TCP тоже пишутся... ВОт отсюда и мессага.
=========
а чтоб не отваливалось - ман кличики ipfw

Добавлено: **2007-12-25 13:02:38**

Во-во....он отрабатывает тока несколько правил

В итоге видим тока

Код: Выделить всё

ipfw -d show
00100      0         0 check-state
00200      0         0 allow ip from any to any via lo0
65535 2498 239436 deny ip from any to any

Вот что в инете нарыл по этому поводу

I get this error when updating my firewall rules via ssh. Any current ssh

connections are dropped, but I'm able to reinitiate a new connection
without
trouble.

-Chris

The only difference is that i could not su to root so i could not update any
rules remotely.
I could login to a normal user account properly though

Добавлено: **2007-12-25 13:19:28**

кстати зачем check-state в начале?
вы где то в правилах keep-state пользуете?

Добавлено: **2007-12-25 13:36:57**

check-state ???
а не помню....в примере конфига по статье лиса видел.
По поводу keep-state можешь посмотреть файрвол в теме

Добавлено: **2007-12-25 13:58:51**

ну чо блин.....подскажите... мне урок будет.... :-)

Добавлено: **2007-12-25 14:08:26**

manefesto писал(а):ну чо блин.....подскажите... мне урок будет.... :-)

ключики кури.
и вообще - помоему всё уже рассказали - ты гри чё непонятно.
будем доходчивей рассказывать...

Добавлено: **2007-12-25 14:13:06**

у меня в правилах вроде написано...по каким портам можно по каким низя.
Я сижу через ssh....правлю значит конфиг..... а перезапустить я его не могу.
Как сделать так чтобы я мог перезапускать /etc/rc.firewall при том что файрвол у меня закрытый

Добавлено: **2007-12-25 14:32:35**

в фаере keep-state не вижу
это значит, что такое check-state вы не знаете
вывод: типа пороная , дествительно типа

по последниму вопросу если вы хотите DEFAULT_TO_ACCEPT в ядре оставлять , то нинада сбрасывать правила([flush) пользуйте удаление (delete)

Добавлено: **2007-12-25 16:51:00**

делаешь

Код: Выделить всё

ipfw disable firewall
sh /etc/rc.firewall

смотришь, что б все правила загрузились нормально, затем включаешь фаер

Код: Выделить всё

ipfw enable firewall

все

Добавлено: **2007-12-25 17:43:14**

и так появился ещё один не прочёвший ман по файрволлу...
в след. раз будешь сам ему подсказывать

Добавлено: **2007-12-25 17:49:38**

Ок...молчу-молчу

Добавлено: **2007-12-26 15:28:19**

можно добавить опцию к "ipfw -q "

Добавлено: **2008-01-11 10:57:21**

а вот я например делаю такой вариант (чтоб putty не отваливался)
Создал файл fw_restart.sh в котором написал
/sbin/ipfw -f flush
/etc/rc.d/ipfw restart

после чего в кроне когда мне надо презапустить файр ставлю время на следующую минуту с запусков fw_restart.sh и не закрываю putty, в итоге все проходит на ура.

Добавлено: **2008-01-11 13:34:20**

с вариантом как я написал выше тоже путти не отваливается

Добавлено: **2013-03-16 16:38:34**

nohup sh /etc/rc.firewall
Тогда терминал оторвется, но скрипт доработает до конца.

Добавлено: **2013-03-17 19:21:26**

есть такой веселый скрипт

Код: Выделить всё

/usr/share/examples/ipfw/change_rules.sh

меня устраивает
и в мане его советуют)

Добавлено: **2013-03-18 21:07:26**

А я в конфиге фаервола прописал fw="/sbin/ipfw -q"
Так же flush таблиц и т.д.
И перезапускаю /etc/rc.d/ipfw restart
Ну и в конфиге на правило по порту ssh established
И ни чего не отваливается ...

forum.lissyara.su

удаленный перезапуск ipfw

удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw

Re: удаленный перезапуск ipfw