Страница 1 из 1
Рулим IPFW
Добавлено: 2006-09-06 6:45:18
maniac
Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???
Добавлено: 2006-09-06 7:47:44
Alex Keda
man ipfw и там поиск по ключевым словам enable/disable
Re: Рулим IPFW
Добавлено: 2006-09-06 17:19:58
dikens3
maniac писал(а):Народ есть такая проблема. Есть FreeBSD 5.4, IPFW вкомпилированный в ядро. Рулю фаерволлом через putty. Как сделать так чтобы когда добавил какое нить правило в фаерволл и перезапустил его, что из putty не выкивало и еще как сделат так чтобы фаерволл ввел лог, т.е. правильная конфигурация или нет, есть ли какие нить ошибки и т.д.???
Как ты перезапускаешь FireWall? У меня обычный выполняемый файл на bash правила вносит, никогда не выкидывает. Да и через netstart тоже всё нормально.
ipfw -q deny 10900 log logamount 100 ip from any to any
Будет прибивать всё и первые 100 пакетов будут записаны в /var/log/security в виде:
Sep 6 00:02:04 ns kernel: ipfw: 10900 Deny TCP 216.152.173.38:48537 82.208.*.*:10000 in via rl0
По поводу определения правильной конфигурации ты что имел ввиду? Если правило неправильное то ipfw выдаёт ошибку и обработку прекращает.
Добавлено: 2006-09-06 18:20:11
Alex Keda
он имеет ввиду, что у него без ключика -q - вылетает на первом же правиле
)
Добавлено: 2006-09-06 19:54:50
maniac
значит как у меня сделано, в rc.conf есть запись firewall_script="/etc/rc.firewall". Там с ключиком "-q". Что делаю, сижу через питту, вношу какое нить правило в фаер, затем перегружаю его коммандой sh /etc/rc/firewall & отрубается питту. Потом приходится снова подрубаться. Логи тоже вот не наю как сделать, т.е. если правило неправильное то оно покажется в логах, и оно типа будет игнорироваться чтобы на консоль не пришлось бегать
Добавлено: 2006-09-06 22:15:57
Alex Keda
lissyara писал(а):man ipfw и там поиск по ключевым словам enable/disable
Добавлено: 2006-09-08 15:37:35
Baneff
Во первых, для удаленной правки правил ipfw существует специально заточенный под это дело штатный скрипт:
/usr/share/examples/ipfw/change_rules.sh
По крайней мере есть гарантия, что не потеряешь доступ к удаленному компу в результате банальной ошибки.
Во вторых, если хочешь, чтобы сессия не прерывалась при включении новых правил, то придется ставить в ядро:
options IPFIREWALL_DEFAULT_TO_ACCEPT
Хотя некоторые и считают, что это несекурно.
Добавлено: 2006-09-13 19:27:05
Notaky
А зачем перезапускать фаервол при вносе правила?
ipfw number add allow|deny|reject|divert|fwd proto from ip|any [port] to ip|any [port] [in|out] [via|recv|xmit] [interface|ip]
и правило само станет, а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall
Добавлено: 2006-09-13 20:29:56
Alex Keda
обычная проблема - правило внёс, живьём, а в конфиг фаера забыл...
у меня сервак после 210 дней аптайма ребутнуть пришлось. так после перезагрузки половина сервисов не стартовала - это руками, то руками, тут альяс на интерфейсе, тут nat`ом портик пррокинем, а тут IP-шник... и всё руками...
поди ка через полгода вспомни...
Добавлено: 2006-09-13 20:43:16
Notaky
а если хочеш чтобы после ребута тоже работало, добавь его в конфиг фаера, у тебя это /etc/rc.firewall
Я же написал...
+ есть разные методы решения этой проблемы,
например сделать скриптик или сразу в кроне
<shedule> ipfw list>>~/somefile