BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 16 ] 
Автор Сообщение
СообщениеДобавлено: Вт 07 апр, 2015 10:59 am 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Настраивал файрволл ipfw в FreeBSD, в результате Joomla 3 перестала проверять обновления. Подскажите, какие порты нужно открыть?
Вот текущий список правил.
ipfw list
00015 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018 deny log logamount 10000 IP from any to any not verrevpath in via ae0
00050 allow IP from any to any via lo0
00055 allow IP from me to any
00075 allow tcp from any to any established
00100 allow icmp from any to any
00114 allow udp from any to any dst-port 53 out via ae0
00150 allow IP from 192.168.1.1 to me via ae0
00150 allow IP from 192.168.1.5 to me via ae0
00155 allow tcp from me to any keep-state
00170 allow tcp from any to me dst-port 22,10000,80,443,25,465,21 via ae0
00200 allow tcp from any to any dst-port 80 out via ae0.
00225 allow tcp from any to any dst-port 25 out via ae0
00227 allow tcp from any to any dst-port 110 out via ae0
00250 allow icmp from any to any out via ae0 keep-state
00255 allow udp from me to any keep-state
00255 allow IP from any to any dst-port 123 out via ae0
00300 allow tcp from any to any dst-port 22 out via ae0 setup keep-state
00355 allow icmp from me to any keep-state
10000 deny IP from any to any
65535 deny IP from any to any


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 10 апр, 2015 2:03 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 884
https://books.google.com.ua/books?id=dm ... 8F&f=false
Возможно поможет, но стоит поискать в документации на джумлу


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 14 апр, 2015 12:01 am 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Вообще при такой настройке и сама freebsd обновления не проверяет. Зеркала портов найти не может.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вт 14 апр, 2015 1:34 am 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5085
Откуда: Москва
У вас в распоряжении есть ipfw show со счётчиками сработавших deny правил - смотрите туда и разбирайтесь.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Ср 15 апр, 2015 1:55 am 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Как-то малоинформативно
# ipfw show
00050 494 733904 allow ip from any to any via lo0
00055 122 99535 allow ip from me to any
00075 86 9347 allow tcp from any to any established
00100 0 0 allow icmp from any to any
00114 0 0 allow udp from any to any dst-port 53 out via ae0
00150 3 234 allow ip from 192.168.1.1 to me via ae0
00151 0 0 allow ip from 192.168.1.5 to me via ae0
00170 5 260 allow tcp from any to me dst-port 22,10000,80,443,25,465,21 via ae0
00200 0 0 allow tcp from any to any dst-port 80 out via ae0.
00225 0 0 allow tcp from any to any dst-port 25 out via ae0
00227 0 0 allow tcp from any to any dst-port 110 out via ae0
00250 0 0 allow icmp from any to any out via ae0 keep-state
00255 0 0 allow ip from any to any dst-port 123 out via ae0
00300 0 0 allow tcp from any to any dst-port 22 out via ae0 setup keep-state
65535 347 25759 deny ip from any to any

в /etc/rc.conf
firewall_logging="YES"
но
/var/log/security пустой


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Ср 15 апр, 2015 4:21 pm 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 884
Magi писал(а):
Вообще при такой настройке и сама freebsd обновления не проверяет. Зеркала портов найти не может.

чтобы проверяла фря свои обновления нужно разрешить svn порт.
ну и c ftp решить вопрос ибо есть порты, которые только по ftp можно получить.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 17 апр, 2015 1:11 am 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Открыл 3690
00170 allow tcp from any to me dst-port 22,3690,10000,80,443,25,465,21 via ae0
не помогает

Looking up update.FreeBSD.org mirrors... none found.
Fetching metadata signature for 10.1-RELEASE from update.FreeBSD.org... failed.
No mirrors remaining, giving up.
No updates are available to install.
Run '/usr/sbin/freebsd-update fetch' first.
Looking up portsnap.FreeBSD.org mirrors... none found.
Fetching snapshot tag from portsnap.FreeBSD.org... failed.
No mirrors remaining, giving up.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 17 апр, 2015 2:21 am 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июн, 2010 1:01 pm
Сообщения: 495
Может update через FTP?

_________________
Самурай без меча подобен самураю с мечом, но только без меча, однако как-будто с мечом, которого у него нет, но и без него он как с ним...


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 17 апр, 2015 4:20 am 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5085
Откуда: Москва
А "может" лучше не пытаться настраивать ipfw если не знаешь как работают сетевые протоколы? Подумайте, например, как работает DNS и под какие правила подпадают его запрос и ответ. То же про svn, хотя он вам и не нужен совершенно.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 17 апр, 2015 8:04 pm 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Все тоже самое...
# ipfw show
00001 0 0 unreach port ip from table(1) to me
00015 0 0 reject log logamount 10000 tcp from any to any tcpflags syn,fin,ack,psh,rst,urg via ae0
00016 0 0 reject log logamount 10000 tcp from any to any tcpflags !syn,!fin,!ack,!psh,!rst,!urg via ae0
00017 0 0 reject log logamount 10000 tcp from any to any not established tcpflags fin via ae0
00018 0 0 deny log logamount 10000 ip from any to any not verrevpath in via ae0
00050 498 38994 allow ip from any to any via lo0
00055 2427 141899 allow ip from me to any
00075 3884 5511606 allow tcp from any to any established
00100 131 3700 allow icmp from any to any
00114 0 0 allow udp from any to any dst-port 53 out via ae0
00115 0 0 allow tcp from any to any dst-port 53 out via ae0
00150 9 702 allow ip from 192.168.1.1 to me via ae0
00150 1 52 allow ip from 192.168.1.5 to me via ae0
00155 0 0 allow tcp from me to any keep-state
00170 2 96 allow tcp from any to me dst-port 22,3690,10000,80,443,25,465,21 via ae0
00200 0 0 allow tcp from any to any dst-port 80 out via ae0.
00225 0 0 allow tcp from any to any dst-port 25 out via ae0
00227 0 0 allow tcp from any to any dst-port 110 out via ae0
00250 0 0 allow icmp from any to any out via ae0 keep-state
00255 0 0 allow udp from me to any keep-state
00255 0 0 allow ip from any to any dst-port 123 out via ae0
00300 0 0 allow tcp from any to any dst-port 22 out via ae0 setup keep-state
00355 0 0 allow icmp from me to any keep-state
65535 452 60873 deny ip from any to any


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 17 апр, 2015 11:16 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5085
Откуда: Москва
Да, всё то же самое. Методом тыка firewall настроить невозможно.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 18 апр, 2015 11:18 am 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Поэтому я сюда и пишу. Совет нужен.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 18 апр, 2015 12:02 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июн, 2010 1:01 pm
Сообщения: 495
Совет Вам уже дали:
AMDmi3 писал(а):
не пытаться настраивать ipfw если не знаешь как работают сетевые протоколы

_________________
Самурай без меча подобен самураю с мечом, но только без меча, однако как-будто с мечом, которого у него нет, но и без него он как с ним...


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 18 апр, 2015 12:28 pm 
Не в сети

Зарегистрирован: Пн 16 фев, 2009 11:45 pm
Сообщения: 19
Понятно. Не пытайтесь ездить не зная состава топлива и техпроцесса изготовления автомобиля. Спасибо за помощь.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 18 апр, 2015 1:04 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июн, 2010 1:01 pm
Сообщения: 495
Оффтоп: А Вы разве пытались написать протоколы заново и написать код ipfw? Вам как минимум предложили прочесть ПДД и инструкцию к управлению автомобилем. Кстати в инструкции к автомобилю также указана марка топлива!

_________________
Самурай без меча подобен самураю с мечом, но только без меча, однако как-будто с мечом, которого у него нет, но и без него он как с ним...


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Сб 18 апр, 2015 3:14 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5085
Откуда: Москва
Magi писал(а):
Понятно. Не пытайтесь ездить не зная состава топлива и техпроцесса изготовления автомобиля. Спасибо за помощь.

Нет, вы пытаетесь ездить не зная ПДД. Толку тут давать какие-то конкретные советы когда неправильно всё?


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 16 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика