The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Firewall не понимает 443 порт"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 07-Апр-09, 18:09 
Всем доброго времени суток! Помогите пож разобраться со следующей проблемой: Стоит фаервол со следующим конфигом

add fwd х.х.х.х,8484 tcp from any to х.х.х.х/у 8484 in via em0
add fwd х.х.х.х,8080 tcp from any to х.х.х.х/у 8080 in via em0
add allow tcp from any to х.х.х.х/у ssh in via em0 setup keep-state
add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0
setup keep-state
add allow tcp from х.х.х.х/у to any 49152-65535 keep-state
add deny all from any to any via em0
add deny log all from any to any via em0

При перезагрузке ipfw выдает что не понимает 443 порт, при замене в конфиге 443 на https, говорит, что не знает https:

Line 4: unrecognised option [-1] 443

Подскажите пожалуйста, в какую сторону копать!!!!
P/S: Я новичок в администрировании (выводы напрашиваются):)

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Firewall не понимает 443 порт"  
Сообщение от Nimdar (ok) on 07-Апр-09, 18:53 
>[оверквотинг удален]
>add deny all from any to any via em0
>add deny log all from any to any via em0
>
>При перезагрузке ipfw выдает что не понимает 443 порт, при замене в
>конфиге 443 на https, говорит, что не знает https:
>
>Line 4: unrecognised option [-1] 443
>
>Подскажите пожалуйста, в какую сторону копать!!!!
>P/S: Я новичок в администрировании (выводы напрашиваются):)

man-ы читать.
Список портов/адресов разделяется запятыми.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 10:23 
>man-ы читать.
>Список портов/адресов разделяется запятыми.

Спасибо, что откликнулся ЧЕЛОВЕК!!!
Маны перечитаны! При перечислении портов через запятую, выдает ошибку на всю строку, а так ругается только на один порт!!! При раскладе представленным мной, пропускает всю строку не понимая один порт, а остальные ОТКРЫВАЕТ! Повторю вопрос: ПОЧЕМУ НЕ ПОНИМАЕТ ПОРТ 443???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Firewall не понимает 443 порт"  
Сообщение от tiv (ok) on 08-Апр-09, 10:36 
проблему можно решить поставив 443 после ftp, те вот так,
add allow tcp from any to any http ftp 443 dns 8484 8080 ssh telnet out via em0
только тогда будет ругаться на ftp, но этоже уже не главное


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 11:12 
>проблему можно решить поставив 443 после ftp, те вот так,
>add allow tcp from any to any http ftp 443 dns 8484
>8080 ssh telnet out via em0
>только тогда будет ругаться на ftp, но этоже уже не главное

Да, ты совершенно прав! Так и получилось:

Line 4: unrecognised option [-1] ftp

А почему так не подскажешь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Firewall не понимает 443 порт"  
Сообщение от newser (ok) on 08-Апр-09, 10:42 
>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state

Перепишите строчку так:

add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0 setup keep-state

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 10:54 
>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>
>Перепишите строчку так:
>
>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>setup keep-state

Ребята!!! Огромное спасибо за понимание, сейчас все попробую!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 11:14 
>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>
>Перепишите строчку так:
>
>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>setup keep-state

К сожалению не помогло! Все так же выдает, что не понимает 443 порт!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Firewall не понимает 443 порт"  
Сообщение от newser (ok) on 08-Апр-09, 11:39 
>>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>>
>>Перепишите строчку так:
>>
>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>setup keep-state
>
>К сожалению не помогло! Все так же выдает, что не понимает 443
>порт!

ipfw list покажите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 11:52 
>[оверквотинг удален]
>>>
>>>Перепишите строчку так:
>>>
>>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>>setup keep-state
>>
>>К сожалению не помогло! Все так же выдает, что не понимает 443
>>порт!
>
>ipfw list покажите.

mail# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to х.х.х.х/у
00300 deny ip from х.х.х.х/у to any
00400 fwd х.х.х.х,8484 tcp from any to х.х.х.х dst-port 8484 in via em0
00500 fwd х.х.х.х,8080 tcp from any to х.х.х.х dst-port 8080 in via em0
00600 allow tcp from any to х.х.х.х dst-port 22 in via em0 setup keep-state
65535 deny ip from any to any

А при перезагрузке фаервола выдает:

Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to х.х.х.х/у
00300 deny ip from х.х.х.х/у to any
00400 fwd х.х.х.х,8484 tcp from any to х.х.х.х dst-port 8484 in via em0
00500 fwd х.х.х.х,8080 tcp from any to х.х.х.х dst-port 8080 in via em0
00600 allow tcp from any to х.х.х.х dst-port 22 in via em0 setup keep-state
Line 4: unrecognised option [-1] 443

Firewall rules loaded.
Firewall logging enabled.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Firewall не понимает 443 порт"  
Сообщение от бусик on 08-Апр-09, 11:45 
>>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>>
>>Перепишите строчку так:
>>
>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>setup keep-state
>
>К сожалению не помогло! Все так же выдает, что не понимает 443
>порт!

Уберите из списка dns :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 12:02 
>[оверквотинг удален]
>>>
>>>Перепишите строчку так:
>>>
>>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>>setup keep-state
>>
>>К сожалению не помогло! Все так же выдает, что не понимает 443
>>порт!
>
>Уберите из списка dns :)

Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Firewall не понимает 443 порт"  
Сообщение от бусик on 08-Апр-09, 12:10 
>[оверквотинг удален]
>>>>setup keep-state
>>>
>>>К сожалению не помогло! Все так же выдает, что не понимает 443
>>>порт!
>>
>>Уберите из списка dns :)
>
>Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка
>убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!
>

а в чём? у меня:
ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
если убрать dns -- правило срабатывает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Firewall не понимает 443 порт"  
Сообщение от tiv (ok) on 08-Апр-09, 12:13 
посмотрите /etc/services
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Firewall не понимает 443 порт"  
Сообщение от бусик on 08-Апр-09, 12:15 
>посмотрите /etc/services

да, вы правы,
cat /etc/services | grep 53
domain           53/tcp    #Domain Name Server
domain           53/udp    #Domain Name Server
заменил на domain - правило сохраняется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 12:16 
>[оверквотинг удален]
>>>Уберите из списка dns :)
>>
>>Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка
>>убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!
>>
>
>а в чём? у меня:
>ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via
>em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
>если убрать dns -- правило срабатывает

У меня вчера таже беда была, убрал запятые, порты разделил пробелами, прописал dns в отдельную строку и все равно фаер ругается на 443 порт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Firewall не понимает 443 порт"  
Сообщение от бусик on 08-Апр-09, 12:19 
>[оверквотинг удален]
>>>
>>
>>а в чём? у меня:
>>ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via
>>em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
>>если убрать dns -- правило срабатывает
>
>У меня вчера таже беда была, убрал запятые, порты разделил пробелами, прописал
>dns в отдельную строку и все равно фаер ругается на 443
>порт.

uname -a?

я скопировал ваше правило и на тестовом стенде пробывал - всё, описанное мною выше прекрасно отрабатывает на
uname -a
FreeBSD mx.konnov.com 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4 #0: Sun Mar 22 12:35:36 UTC 2009     root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 08-Апр-09, 18:27 
>[оверквотинг удален]
>>dns в отдельную строку и все равно фаер ругается на 443
>>порт.
>
>uname -a?
>
>я скопировал ваше правило и на тестовом стенде пробывал - всё, описанное
>мною выше прекрасно отрабатывает на
>uname -a
>FreeBSD mx.konnov.com 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4 #0: Sun Mar 22 12:35:36 UTC 2009
>    root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386

Извините дорогие, что долго не было, отлучался по делам! Вот вывод uname -а

mail# uname -a
FreeBSD mail.aktb.spb.ru 7.1-RELEASE FreeBSD 7.1-RELEASE #2: Thu Mar 26 18:35:10 MSK 2009     admin@mail.aktb.spb.ru:/usr/obj/usr/src/sys/MYKERNEL  i386

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 09-Апр-09, 09:59 
>[оверквотинг удален]
>>>Уберите из списка dns :)
>>
>>Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка
>>убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!
>>
>
>а в чём? у меня:
>ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via
>em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
>если убрать dns -- правило срабатывает

Да! Вы оказались совершенно правы! На данный момент я убрал разделение пробелом а поставил запятые, и, так как dns уже в отдельной строчке, то данная строка прошла при перезагрузки. Два дня назад я просто сначала разделил порты пробелом и только потом убрал из строчки dns! Это и была моя главная ошибка. Теперь все исправил и получилось вот что:

add fwd х.х.х.х,8484 tcp from any to х.х.х.х/у 8484 in via em0
add fwd х.х.х.х,8080 tcp from any to х.х.х.х/у 8080 in via em0
add allow tcp from any to х.х.х.х/у ssh in via em0 setup keep-state
add allow tcp from any to any dst-port http,443,ftp,8484,8080,ssh,telnet out via em0 setup keep-state
add allow udp from any to any dns out via em0 setup keep-state
add allow tcp from х.х.х.х/24 to any 49152-65535 keep-state
add deny all from any to any via em0
add deny log all from any to any via em0

И опять же при перезагрузки он мне выдает ошибку, только ругается уже на dns:
Line 5: unrecognised option [-1] dns
Че ему надо-то опять?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 09-Апр-09, 10:09 
>[оверквотинг удален]
>add allow udp from any to any dns out via em0 setup
>keep-state
>add allow tcp from х.х.х.х/24 to any 49152-65535 keep-state
>add deny all from any to any via em0
>add deny log all from any to any via em0
>
>И опять же при перезагрузки он мне выдает ошибку, только ругается уже
>на dns:
>Line 5: unrecognised option [-1] dns
>Че ему надо-то опять?

Ребята! Простите за дебелизм! Проблему решил, поменяв dns на 53!:)

P.S. Виноват, молодой, исправлюсь!:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Firewall не понимает 443 порт"  
Сообщение от tiv (ok) on 09-Апр-09, 10:10 
ну вы блин даете :)
ваш пост выше

cat /etc/services | grep 53
domain           53/tcp    #Domain Name Server
domain           53/udp    #Domain Name Server
заменил на domain - правило сохраняется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 09-Апр-09, 17:26 
>ну вы блин даете :)
>ваш пост выше
>
>cat /etc/services | grep 53
>domain           53/tcp
>   #Domain Name Server
>domain           53/udp
>   #Domain Name Server
>заменил на domain - правило сохраняется.

:)Я решил, что немного юмора на данном форуме не помешает!:)
Зачем менять на domain если можно просто поставить как в сервисах (т.е. 53), все одно, работает!!!
Только все равно у меня dns не пашет, не могу понять проблему, ковыряюсь в манах, но думаю, что проблема уже не в фаере, т.к. 53 открыл на вход и выход!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Firewall не понимает 443 порт"  
Сообщение от tiv (ok) on 09-Апр-09, 17:58 
вот это правило неверное
add allow udp from any to any dns out via em0 setup keep-state
udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Firewall не понимает 443 порт"  
Сообщение от Nimdar (ok) on 09-Апр-09, 18:10 
>вот это правило неверное
>add allow udp from any to any dns out via em0 setup
>keep-state
>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
http://www.freebsd.org/doc/en_US.ISO8859-1/articles/filterin...
http://www.openbsd.org/faq/pf/filter.html#udpstate

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 09-Апр-09, 18:31 
>>вот это правило неверное
>>add allow udp from any to any dns out via em0 setup
>>keep-state
>>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
>
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
>http://www.freebsd.org/doc/en_US.ISO8859-1/articles/filterin...
>http://www.openbsd.org/faq/pf/filter.html#udpstate

Большое спасибо за маны, буду ботать!:)
P.S. Я серьезно!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 09-Апр-09, 18:30 
>вот это правило неверное
>add allow udp from any to any dns out via em0 setup
>keep-state
>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)

К сожалению не помогло!:( убрал флаги, но все также при попытке пропинговать яндекс или маил выдает:
ping: cannot resolve www.ya.ru: Host name lookup failure
хотя в resolv.conf ip прописаны!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Firewall не понимает 443 порт"  
Сообщение от tiv (ok) on 09-Апр-09, 18:55 
>>вот это правило неверное
>>add allow udp from any to any dns out via em0 setup
>>keep-state
>>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
>
>К сожалению не помогло!:( убрал флаги, но все также при попытке пропинговать
>яндекс или маил выдает:
>ping: cannot resolve www.ya.ru: Host name lookup failure
>хотя в resolv.conf ip прописаны!

а если сбросить фаервол пингует?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 10-Апр-09, 13:37 
>[оверквотинг удален]
>>>add allow udp from any to any dns out via em0 setup
>>>keep-state
>>>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
>>
>>К сожалению не помогло!:( убрал флаги, но все также при попытке пропинговать
>>яндекс или маил выдает:
>>ping: cannot resolve www.ya.ru: Host name lookup failure
>>хотя в resolv.conf ip прописаны!
>
>а если сбросить фаервол пингует?

Все работало до того как я прописал правила в фаере, сейчас он мне не пинговал даже по ip, ну эту проблему я решил, открыв icmp в фаере на вход и выход! Но сейчас он че-то все равно не хочет пинговать по имени!((( Буду ковырять дальше!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Firewall не понимает 443 порт"  
Сообщение от Knyazmel (ok) on 13-Апр-09, 16:18 
>[оверквотинг удален]
>>>ping: cannot resolve www.ya.ru: Host name lookup failure
>>>хотя в resolv.conf ip прописаны!
>>
>>а если сбросить фаервол пингует?
>
>Все работало до того как я прописал правила в фаере, сейчас он
>мне не пинговал даже по ip, ну эту проблему я решил,
>открыв icmp в фаере на вход и выход! Но сейчас он
>че-то все равно не хочет пинговать по имени!((( Буду ковырять дальше!
>

Ребята! Проблема решена! Добавил правила следующего содержания:
add allow udp from any to me via em0
add allow udp from me to any via em0

Теперь пингуется не только по ip, но и по имени!:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру