BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 24 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 4:28 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
Почему в командной строке команда работает
Код:
ipfw add 00001 deny all from any to 192.42.116.41

а если её прописать в правила ipfw - не работает. Вооще там только allow работает
например такая строка работает
Код:
${fwcmd} add allow tcp from any to any 34567  in

Код:
ipfw -at list
00001        0          0                         deny ip from any to 192.42.116.41
00100        0          0                         allow ip from any to any via lo0
00200        0          0                         deny ip from any to 127.0.0.0/8
00300        0          0                         deny ip from 127.0.0.0/8 to any
00400  4074163 1315094252 Mon Dec 19 14:48:51 2016 nat 1 ip from table(0) to any out via igb0
00500  6372181 7922678165 Mon Dec 19 14:48:51 2016 nat 1 ip from any to any in via igb0
00600 10506921 9247026645 Mon Dec 19 14:48:51 2016 allow ip from any to any
00900        0          0                         allow tcp from any to any dst-port 34567 in


а такая не работает
Код:
${fwcmd} add deny all from any to 192.42.116.41


Последний раз редактировалось kerogaz Пн 19 дек, 2016 4:54 pm, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 4:51 pm 
Не в сети

Зарегистрирован: Ср 25 дек, 2013 11:52 pm
Сообщения: 27
Откуда: СПб
А что означает "не работает"? В список правил не заноситься?
А приведенные Вами команды не аутентичны.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 4:55 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
walik55 писал(а):
А что означает "не работает"? В список правил не заноситься?
А приведенные Вами команды не аутентичны.

Первая строка это сработала команда из командной строки Всё остальное из правил
Код:
ipfw -at list
00001        0          0                         deny ip from any to 192.42.116.41
00100        0          0                         allow ip from any to any via lo0
00200        0          0                         deny ip from any to 127.0.0.0/8
00300        0          0                         deny ip from 127.0.0.0/8 to any
00400  4074163 1315094252 Mon Dec 19 14:48:51 2016 nat 1 ip from table(0) to any out via igb0
00500  6372181 7922678165 Mon Dec 19 14:48:51 2016 nat 1 ip from any to any in via igb0
00600 10506921 9247026645 Mon Dec 19 14:48:51 2016 allow ip from any to any
00900        0          0                         allow tcp from any to any dst-port 34567 in


Так что приходится после перезагрузки фиревола скриптом пользоваться
(чтобы в CBL не светиться от виндовых конфикеров)
Код:
#!/bin/sh -
ipfw add 00001 deny all from any to 192.42.116.41
ipfw add 00002 deny all from any to 38.102.150.27
ipfw add 00003 deny all from any to 104.244.14.252


Последний раз редактировалось kerogaz Пн 19 дек, 2016 5:14 pm, всего редактировалось 2 раз(а).

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:10 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3239
Откуда: Харьков
ты про то что счётчики нулевые остаются? или про то что в списке ipfw list правила не попадают? ... непонятно


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:16 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
grayich писал(а):
ты про то что счётчики нулевые остаются? или про то что в списке ipfw list правила не попадают? ... непонятно

В списки ipfw list не попадают


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:32 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3239
Откуда: Харьков
откуда они попадают? из какого файла, как этот файл подгружается при старте?
так-же сам список покажи


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:35 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
Он называется rules, лежит в /etc
Код:
#!/bin/sh -

fwcmd="/sbin/ipfw"
${fwcmd} -f flush
${fwcmd} table all flush
${fwcmd} nat 1 delete

# NETWORK CONNECTIONS
if_inet="igb0"
if_lan="igb1"


# Local
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any



# NAT
${fwcmd} nat 1 config if ${if_inet} same_ports reset log
${fwcmd} add nat 1 ip from "table(0)" to any out via ${if_inet}
${fwcmd} add nat 1 ip from any to any in via ${if_inet}

# TABLE (0):
${fwcmd} add allow ip from any to any
${fwcmd} table 0 add 10.44.1.1
${fwcmd} table 0 add 10.44.1.3
${fwcmd} table 0 add 10.44.1.4
${fwcmd} table 0 add 10.44.1.6
${fwcmd} table 0 add 10.44.1.7
${fwcmd} table 0 add 10.44.1.8
.......
${fwcmd} add allow tcp from any to any 80
${fwcmd} add allow tcp from any to any 34567  in
${fwcmd} add allow tcp from any to any 34567  out


А подгружается он из rc.conf следующим образом
Код:
firewall_type="OPEN"
firewall_script="/etc/rules"


Последний раз редактировалось kerogaz Пн 19 дек, 2016 5:45 pm, всего редактировалось 2 раз(а).

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:47 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3239
Откуда: Харьков
ну и где в этом наборе правила типа "ipfw add 00001 deny all from any to 192.42.116.41" ?

firewall_type="OPEN" - здесь не нужен, т.к. правила подгружаются из пользовательского файла /etc/rules


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:52 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
grayich писал(а):
ну и где в этом наборе правила типа "ipfw add 00001 deny all from any to 192.42.116.41" ?

firewall_type="OPEN" - здесь не нужен, т.к. правила подгружаются из пользовательского файла /etc/rules

Я ставил ipfw add 00001 deny all from any to 192.42.116.41 - не видно в ipfw list Поэтому я его убрал и запускаю из командной строки. А если OPEN у брать то скрипт почему-то не работает Я не стал разбираться почему поэтому так и оставил


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:53 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
вы либо указываете OPEN - и тогда используете стандартный rc.firewall, либо свой скрипт.

Код:
# Define the firewall type in /etc/rc.conf.  Valid values are:
#   open        - will allow anyone in
...
#   filename    - will load the rules in the given filename (full path required)


а если вам не хочется разбирать, почему не работает ваш скрипт, тогда можете попробовать добавить в стандартный. но лучше все таки разобраться :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:55 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
arachnid писал(а):
вы либо указываете OPEN - и тогда используете стандартный rc.firewall, либо свой скрипт.

Код:
# Define the firewall type in /etc/rc.conf.  Valid values are:
#   open        - will allow anyone in
...
#   filename    - will load the rules in the given filename (full path required)


а если вам не хочется разбирать, почему не работает ваш скрипт, тогда можете попробовать добавить в стандартный. но лучше все таки разобраться :)

Скрипт rules работает если стоит OPEN Я в своё время долго с этим разбирался но это ни к чему не привело. Не работатю команды deny а allow стопудово работают. Так что пока я делаю deny из командной строки


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 5:58 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3239
Откуда: Харьков
kerogaz, разбирайся.. иначе это всё метод тыка.. а значит никому это ненужно в том числе и тебе.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 6:04 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
grayich писал(а):
kerogaz, разбирайся.. иначе это всё метод тыка.. а значит никому это ненужно в том числе и тебе.


Да мне советовали перекомпилировать ipfw чтобы строка 65535 была не deny а allow. Но муторошно это и если в этом случае можно будет только deny в скрипте писать а allow не будет работать то какая разница.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 6:26 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3239
Откуда: Харьков
kerogaz писал(а):
Да мне советовали перекомпилировать ipfw чтобы строка 65535 была не deny а allow. Но муторошно это и если в этом случае можно будет только deny в скрипте писать а allow не будет работать то какая разница.

если фря свежая то перекомпилировать не нужно, т.к. ipfw модулем грузится
достаточно в /boot/loader.conf вписать net.inet.ip.fw.default_to_accept=1

только это не то что тебе нужно, у тебя проблемы там явно другие, всё не так как надо, нет понимания вообще


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Пн 19 дек, 2016 6:37 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
grayich писал(а):
kerogaz писал(а):
Да мне советовали перекомпилировать ipfw чтобы строка 65535 была не deny а allow. Но муторошно это и если в этом случае можно будет только deny в скрипте писать а allow не будет работать то какая разница.

если фря свежая то перекомпилировать не нужно, т.к. ipfw модулем грузится
достаточно в /boot/loader.conf вписать net.inet.ip.fw.default_to_accept=1

только это не то что тебе нужно, у тебя проблемы там явно другие, всё не так как надо, нет понимания вообще


Это точно :D
https://www.youtube.com/watch?v=RGZwOoUy_HE


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Вт 20 дек, 2016 10:16 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
И что интересно. Для локальных ip deny срабатывает
Код:
/etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 1 -> 0
Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
ipfw nat 1 config if igb0 log same_ports reset


но 192.42.116.41 не видно при таких правилах: (уходит невесть куда и никаких ошибок при этом не выдаёт)

Код:
# Local
${fwcmd} add allow all from any to any via lo0
${fwcmd} add deny all from any to 127.0.0.0/8
${fwcmd} add deny all from 127.0.0.0/8 to any
${fwcmd} add deny all from any to  192.42.116.41


и строку с Firewall OPEN я убрал в rc.conf и всё работает так-же А в 10.0 не работал интернет трафик


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Вт 20 дек, 2016 11:07 am 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 568
Бида. Так Вы и за пару лет на работающий конфиг ipfw не напоёте.
kerogaz писал(а):
а 192.42.116.41 не видно при таких правилах (уходит невесть куда и никаких ошибок при этом не выдаёт)
...
Код:
${fwcmd} add deny all from any to  192.42.116.41

Стесняюсь спросить, как Вам это удалось?
Цитата:
а строку с Firewall OPEN я убрал в rc.conf и всё работает так-же А в 10.0 не работал интернет трафик

Знаете, что делает "${fwcmd} -f flush" из Ваших rules? Попробуйте найти намёк на какие-либо правила из firewall_type="OPEN" в `ipfw list` (хотя Вам про это уже писалось).
В 10.0 чем NAT'илось - natd или kernel NAT?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Вт 20 дек, 2016 11:15 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
xemul писал(а):
Стесняюсь спросить, как Вам это удалось?

Где взял где взял ..взял и удалил , теперь в rc,conf : И потом я не пою, я только танцую (с бубном) :D
Код:
#IPFW_NAT
gateway_enable="YES" # Enable as LAN gateway
firewall_enable="YES"
firewall_logging="YES"
firewall_nat_interface="igb0"
firewall_nat_enable="YES"
firewall_script="/etc/rules


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Вт 20 дек, 2016 11:37 am 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 568
Совсем бида.
"Стесняюсь спросить, как Вам это удалось?" относится к выше-отквоченному (про "уходит невесть куда и никаких ошибок при этом не выдаёт"), а не ниже-... Это движок конфы вставляет такие разрывы.
Как только узнаете, сколько пакетов будут залогировано по умолчанию при firewall_logging="YES", догадаетесь и про "никаких ошибок при этом не выдаёт".
Кста, почему Вы решили, что выполнение файрволом заданного правила является ошибкой?

И, полагаю, немногие не угадали небольшой парафраз на фразу из фильма, кадр из которого у Вас аватаркой.
Может бубен не той системы?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Правила Ipfw
СообщениеДобавлено: Вт 20 дек, 2016 12:38 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 окт, 2014 8:48 am
Сообщения: 203
xemul писал(а):
Совсем бида.
"Стесняюсь спросить, как Вам это удалось?" относится к выше-отквоченному (про "уходит невесть куда и никаких ошибок при этом не выдаёт"), а не ниже-... Это движок конфы вставляет такие разрывы.
Как только узнаете, сколько пакетов будут залогировано по умолчанию при firewall_logging="YES", догадаетесь и про "никаких ошибок при этом не выдаёт".
Кста, почему Вы решили, что выполнение файрволом заданного правила является ошибкой?

И, полагаю, немногие не угадали небольшой парафраз на фразу из фильма, кадр из которого у Вас аватаркой.
Может бубен не той системы?

Может на русском языке курителю мвнов будет понятнее :)
Код:
# Установите YES для логирования пакетов проходящим по правилам файрволла
firewall_logging="NO"

http://www.lissyara.su/articles/freebsd/tuning/rc.conf/


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 24 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика