Страница 1 из 1
не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 10:51:17
dM4x
проблемс вот в чем.
написал все правила в один файлик - rc.firewall
в /etc/rc.conf добавил строчку
firewall_type="/etc/rc.firewall"
ядро собрано с фаером внутри.
При загрузке ОС список правил которые должны бы браться из файла не показывается, хотя опция которая отвечает за факт показывания этих самых правил точно установлена так, чтобы эти правила показывать.
после загрузки фаер работает, но у него одно единственное правило, которое запрещает все. Почему не подцепляются правила из файла понять не могу.
Синтаксис уже три раза проверил.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 11:00:26
alex3
firewall_type - тип фаера, который выбирается в умолчательном rc.firewall
надо поставить
Код: Выделить всё
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 11:12:51
dM4x
я что то недопонимаю зачем в конфе прописывать
ведь при пересборке ядра с фаером он уже запускается при старте системы, я же его не модулем подключаю
у меня эта строчка была и при загрузке выдавалось следующее:
т.е. если я правильно понимаю, эта строчка включает включенную опцию
P.S. правила сгенерились, заработало, но если можно поясните по поводу моих вопросах уже в этом посте
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 11:17:05
manefesto
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 11:22:24
dM4x
только что проверил: если в конфе rc.conf оставить только
и
убрать
то правила снова не загружаются как и было в начале
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 11:43:07
alex3
ты не понял...
вставь эти две строчки, что я написал выше
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 13:04:18
Morty
вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 14:21:13
dM4x
alex3 писал(а):ты не понял...
вставь эти две строчки, что я написал выше
я вставил и все заработало. я же написал выше. мне непонятно зачем нужна первая из них, потому что получается что она включает и так включенных фаерволл
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 14:22:18
dM4x
Morty писал(а):вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
я старый файлик сохранил с пометкой old:)
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 14:30:15
alex3
по умолчанию в системе куча всячины, DNS например... эта строчка нужна чтобы фаер включался при запуске... а не висел мертвым кодом в ядре.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 14:31:55
Overseer
у меня на одном серваке:
Код: Выделить всё
firewall_enable="YES"
firewall_script="/etc/firewall.rc"
на другом:
Код: Выделить всё
firewall_enable="YES"
firewall_type="/etc/firewall.rc"
только на первом серваке в файле /etc/firewall.rc везде "ipfw" в правилах, а на втором - нет.
фаеры работают на обоих.
З.Ы.
на первом серваке в
начале правил:
Код: Выделить всё
ipfw -f flush
ipfw -f pipe flush
# black list
ipfw table 1 flush
# white list
ipfw table 2 flush
на втором:
для очистки при перезагрузке правил.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 14:33:16
Morty
dM4x писал(а):Morty писал(а):вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
я старый файлик сохранил с пометкой old:)
Молоток ! -)
возьми на полке пряник
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 15:00:46
dM4x
Morty писал(а):dM4x писал(а):Morty писал(а):вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
я старый файлик сохранил с пометкой old:)
Молоток ! -)
возьми на полке пряник
Уже взял, уже сгрыз, очччч вкусно
Вобщем все заработало, всем спасибо.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 15:07:04
dM4x
Morty писал(а):вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 15:33:54
Morty
dM4x писал(а):Morty писал(а):вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.
ну в приницпе може так тоже правильно , я правда всегда писал firewall_enable=YES и не задумывался
но так как ipfw при загрузке пишет
то выходит что можно одним скриптом в такой ситуации оперировать
а это
говорил просто с консоли дать ....что б сам скрипт проверить
ЗЫ: аккуратно токо если ядро собрано без IPFIREWALL_DEAULT_TO_ACCEPT (или както там ...) может когданить серезно наказать
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 16:21:09
dM4x
Morty писал(а):dM4x писал(а):Morty писал(а):вручную грузятся ?
ЗЫ: вообще если ты составил
свой файл/скрипт с правилами лучше не дублировать названия файлов
а назвать как-то по др.
Кстати!!!!!!!!!! убрал строчку которая включает фаерволл, оставил только ту, которая на конф файл ссылается. Фаер после перезагрузки прекрасно заработал и правила вручную как ты указал тоже добавил.
ну в приницпе може так тоже правильно , я правда всегда писал firewall_enable=YES и не задумывался
но так как ipfw при загрузке пишет
то выходит что можно одним скриптом в такой ситуации оперировать
так вот и я так решил. НО когда оперируешь одним скриптом, то данные из него почему то не подгружаются при загрузке системы.
загружается сам фаер только и дефолтное правило "запретить все". скрипт вручную запускается, значит дело не в нем.
Вот и хочу знать в чем. Почему отсутствие firewall_enable=YES не дает подгрузить скрипт при загрузке системы. Я уже этот скрипт и переименовывал и переносил в др. место(естественно правя при этом rc.conf)
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 16:33:49
alex3
все очень просто... посмотри скрипт запуска фаера в /etc/rc.d
в ядре он скомпилирован с одним правилом 65500 (или как-то так). остальное делает этот скрипт... и он не отрабатывает, если нет енабла.
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 16:41:14
Overseer
dM4x писал(а):
Почему отсутствие firewall_enable=YES не дает подгрузить скрипт при загрузке системы.
потому что етсь файл /etc/defaults/rc.conf в котором прописано дефолтное значение
почитай мой пост. в каком виде у тебя правила?
покажи хоть
# cat /etc/rc.firewall
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2008-07-11 16:56:29
dM4x
Все, теперь окончательно все понял. Всем спасибо за советы!
Re: не подцепляются правила ipfw во Фре 6.0
Добавлено: 2011-03-07 14:38:35
Bayerische
Давненько соседи не слышали столько мата, что вылилось за последние 2 часа. Как и многие, я понял, что
нужно только с загружаемым модулем фаерволом. Перерыл весь рунет, везде эта загвоздка. Мой ангельский хромает, долго медитировал на
IPFW is included in the basic FreeBSD install as a separate run time loadable module. The system will dynamically load the kernel module when the rc.conf statement firewall_enable="YES" is used. There is no need to compile IPFW into the FreeBSD kernel unless NAT functionality is desired.