BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: чудит IPFW ну или я.
СообщениеДобавлено: Пн 14 окт, 2013 11:12 am 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Всем привет. Работал мой сервачек домашний, работал и никого не трогал. Тут пришлось поменять роутер и начались пляски различные. Вчера проковырялся с одной проблемой пол дня, прежде чем понял в чем конкретно причина. Диагноз в общем такой, сайт доступен из интернета по домену, все ок, но после определенного времени и не ясно по каким причинам, перестает быть доступным до остановки и последующего старта IPFW. Я реально не понимаю в чем проблемы, может быть у меня криво правила прописаны? Подскажите пожалуйста где и чего копнуть чтобы избавиться от этого неприятного момента. Вот сами правила, может поправите ещё если что-то не так:


Код:
add allow ip from me to any keep-state
add allow tcp from 192.168.0.1/24 to me 22
add allow icmp from 192.168.0.1/24 to any


add allow tcp from me to "тут домен" keep-state
add allow tcp from "тут домен" to me keep-state
add allow tcp from me to 192.168.0.1 keep-state
add allow tcp from 192.168.0.1 to me keep-state
*192.168.0.1 адрес роутера в сети, т.е. шлюз.

#WWW#
add allow tcp from any to me 80
add allow tcp from any to me 443


Также в sysctl прописано ограничение на диапазон портов для чтобы ftp. Сделал это потому что в сети есть ещё один ftp сервер и на маршрутизаторе распределил порты. Может это как-то влиять?

Код:
net.inet.ip.portrange.hifirst=9000
net.inet.ip.portrange.hilast=60000


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Пн 14 окт, 2013 1:57 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5041
Откуда: Москва
Сайт не на динамическом ли IP который периодически меняется? ipfw не работает с доменами, "тут домен" резолвится в адрес при чтении конфига.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Пн 14 окт, 2013 3:35 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
AMDmi3 писал(а):
Сайт не на динамическом ли IP который периодически меняется? ipfw не работает с доменами, "тут домен" резолвится в адрес при чтении конфига.

Спасибо за ответ. Да нет, IP конечно статика.
Да, я заметил что при просмотре правил IPFW там IP вместо домена.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Пн 14 окт, 2013 5:53 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Дополню для больше ясности!
Такая тема думаю возникла после того, как на сервере пришлось прописать внешние провайдерские DNSы, вместо IP роутера 192.168.0.1. Это потребовалось потому, что некоторые скрипты на сайте отказываются отправлять например письма на электронные адреса, если в resolv.conf прописан IP маршрутизатора в качестве DNS.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 7:31 am 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
Подобрался максимально близко. На любых сервисах для тестирования доступности сайта, при включенном фаерволе ничего не видно. После его выключения сайт сразу доступен. Включаю IPFW и сайт остаётся быть доступен ещё долгое время, может часов 5, потом сразу пропадает из зоны видимости. В общем не хватает какого-то правила для свободной работы DNS, подскажите кто знает чего дописать...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 8:17 am 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 568
Обычные запросы-ответы DNS летают по UDP 53.
Код:
add allow udp from me to 192.168.0.1 53
add allow udp from 192.168.0.1 53 to me

(в предположении, что роутер будет форвардить DNS. иначе указывайте адреса DNS серверов провайдера или публичные)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 8:43 am 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
xemul писал(а):
Обычные запросы-ответы DNS летают по UDP 53.
Код:
add allow udp from me to 192.168.0.1 53
add allow udp from 192.168.0.1 53 to me

(в предположении, что роутер будет форвардить DNS. иначе указывайте адреса DNS серверов провайдера или публичные)


Не помогает. Пробовал и так и добавлял внешние адреса DNS которые прописаны в reselv.conf - бесполезно.
Пробовал даже add allow udp from any to any 0-65000


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 9:33 am 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 568
Для клиента DNS, чтобы не править каждый раз, сделайте "add allow udp from me to any 53 setup".
Не видно правил для localhost.
Добавьте для диагностики что-нить вроде "add 65534 deny log logamount 0 ip from any to any".
имхо, Вы злоупотребляете keep-state - в "allow ip from me to any keep-state" оно мне определённо не нравится. Помониторьте количество динамических правил.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 2:20 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
xemul писал(а):
Для клиента DNS, чтобы не править каждый раз, сделайте "add allow udp from me to any 53 setup".
Не видно правил для localhost.
Добавьте для диагностики что-нить вроде "add 65534 deny log logamount 0 ip from any to any".
имхо, Вы злоупотребляете keep-state - в "allow ip from me to any keep-state" оно мне определённо не нравится. Помониторьте количество динамических правил.


Ваша рекомендация по логированию того, что отсекается, мне помогла!
Вот это добавил в самый низ:
Код:
 add 65534 deny log logamount 0 ip from any to any


В общем ничего интересного там не было, кроме одного:

Код:
Oct 15 14:12:51 test kernel: ipfw: 65533 Deny ICMP:3.4 тут моя внешняя статика 9 192.168.0.196 in via em0


После чего создал правило разрешающее ICMP откуда угодно до меня и все заработало.
Это выход? Что там по ICMP пробивается?

Не совсем понял что вы советуете сделать с динамическими правилами keep-state.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 5:37 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 568
Laterport писал(а):
Не совсем понял что вы советуете сделать с динамическими правилами keep-state.

Что-то вроде `ipfw -de show | egrep 'Dynamic rules'`
А по ICMP роутер, вероятно, проверяет состояние сервисов, для которых заданы пробросы, и, опять же вероятно, отключает пробросы по таймауту. Полагаю, в настройках роутера должна быть возможность отключения подобной продвинутости.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: чудит IPFW ну или я.
СообщениеДобавлено: Вт 15 окт, 2013 8:30 pm 
Не в сети

Зарегистрирован: Сб 07 янв, 2012 9:26 am
Сообщения: 185
xemul
Большое Вам спасибо за помощь!


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика