URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 16789
[ Назад ]

Исходное сообщение
"IPFW"

Отправлено argun , 03-Май-02 20:52 
Уважаемый народ!
Как сохранить записи в IPFW, потому как после ребута все мои творчества исчезают, остается только строка deny from all to all?

Cпасибо!


Содержание

Сообщения в этом обсуждении
"RE: IPFW"
Отправлено Dima , 03-Май-02 22:52 
Записывай в файл rc.conf
firewall_type="filename"
firewall_script="/etc/FIREWALL.conf"
firewall_enable="YES"

FIREWALL.conf
/sbin/ipfw -f flush
...
...
/sbin/ipfw add 65000 pass all from any to any

строка 65535  0  0 deny ip from any to any
вставляется автоматом.
в зависимости от опции при компиляции ядра.

Вот и все записи.


"RE: IPFW"
Отправлено argun , 04-Май-02 13:41 
Спасибо, помогло!

"RE: IPFW"
Отправлено vs , 05-Май-02 11:24 
Комп заработает при таких настройках, а
firewall? ведь все разрешено? Хотелось бы
поподробнее - как запретить например ICMP?
и открыть только нужние порты, как прописать динамический IP, (все доки про
сервер с выделенным IP)
Спасибо

"RE: IPFW"
Отправлено Dima , 05-Май-02 14:44 
>Комп заработает при таких настройках, а
>firewall? ведь все разрешено? Хотелось бы
>поподробнее - как запретить например ICMP?
>и открыть только нужние порты, как
>прописать динамический IP, (все доки
>про сервер с выделенным IP)
ну так запрещай,
я же нарисовал "..." для этого.
не ужто ты думаешь что человеку надо было написать правило фильтрации моей машины ???
вставь в цепочу такую строку
/sbin/ipfw add 300 reject log udp from xxx.xxx.xxx.0/24 to any 27015 via ed0
и у тебя появляется правило запрещающий узерам сидеть и играть в CS или во все, что ходит по UDP на порт 27015.
и так далее.
все остальное разрешено.
Можно и на оборот не добавлять Правило "все разрешено", а соответсвенно разрешать все по ходу цепочки.

"RE: IPFW"
Отправлено ChHan , 06-Май-02 05:36 
>поподробнее - как запретить например ICMP?
>
>и открыть только нужние порты, как
для icmp, например:
ipfw add deny icmp from any to any
для 22 порта, например, при установлении соединения:
ipfw add pass tcp from any to any 22 setup


"Возвращаясь к IPFW"
Отправлено argun , 06-Май-02 13:49 
Простите за неопытность, но у меня возник еще вопрос по той же теме.
есть рулез
add fwd 127.0.0.1,3128 tcp from any to any http in via xl0
а затем
add pass all from any to any

при проверке с помощью ipfw -a list, вижу, что на первом счетчики нулевые, т.е. рулез не работает, хотя с циски пакеты перекидываются


"RE: Возвращаясь к IPFW"
Отправлено Dima , 06-Май-02 20:51 
>>add pass all from any to
>any
>
>при проверке с помощью ipfw -a
>list, вижу, что на первом
>счетчики нулевые, т.е. рулез не
>работает, хотя с циски пакеты
>перекидываются
А у тебя IP на сетевой карте какое стоит ???
127.0.0.1 ???
или всетаки какое-то нормальное.
netstat -nr в студию тогда

"RE: Возвращаясь к IPFW"
Отправлено argun , 06-Май-02 21:30 
>>>add pass all from any to
>>any
>>
>>при проверке с помощью ipfw -a
>>list, вижу, что на первом
>>счетчики нулевые, т.е. рулез не
>>работает, хотя с циски пакеты
>>перекидываются
>А у тебя IP на сетевой
>карте какое стоит ???
>127.0.0.1 ???
>или всетаки какое-то нормальное.
>netstat -nr в студию тогда


IP на карте-то нормальный, просто forward внутри одной и той же машины.
Вопрос в другом: Где теряются пакеты - на пути от циски к BSD-машине или же внутри? Судя по IP packet debugging  на циске, оттуда они уходят.
Есть ли в BSD способ их как-то увидеть??


"RE: Возвращаясь к IPFW"
Отправлено Dima , 07-Май-02 02:32 
так а зачем ты пишешь тогда ipfw 127.0.0.1 ???
пиши именно тот IP и все увидешь.
в инет ты идешь именно через xlo или что там у тебя, а пишешь совсем другое.

"RE: Возвращаясь к IPFW"
Отправлено СhHan , 07-Май-02 05:16 
>>>>add pass all from any to
>>>any
>>>
>>>при проверке с помощью ipfw -a
>>>list, вижу, что на первом
>>>счетчики нулевые, т.е. рулез не
>>>работает, хотя с циски пакеты
>>>перекидываются
>>А у тебя IP на сетевой
>>карте какое стоит ???
>>127.0.0.1 ???
>>или всетаки какое-то нормальное.
>>netstat -nr в студию тогда
>
>
>IP на карте-то нормальный, просто forward
>внутри одной и той же
>машины.
>Вопрос в другом: Где теряются пакеты
>- на пути от циски
>к BSD-машине или же внутри?
>Судя по IP packet debugging
> на циске, оттуда они
>уходят.
>Есть ли в BSD способ их
>как-то увидеть??
Да, попробуй не fwd 127.0.0.1, а адрес сетевой карточки. А посмотреть потом куда пакеты ходят, можно попробовать, например trafshow или уже там что-то вроде tcpdump...


"RE: Возвращаясь к IPFW"
Отправлено Garry , 07-Май-02 10:54 
Вот это поможет если я правильно понял, что ты хочешь сделать прозрачный прокси :)
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80

"RE: Возвращаясь к IPFW"
Отправлено argun , 07-Май-02 20:03 
>Вот это поможет если я правильно
>понял, что ты хочешь сделать
>прозрачный прокси :)
>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to
>any 80


Именно это я и пытаюсь сделать и,как выясняется, проблема не в IPFW (тут все работает). Но благодарю всех за проявленное внимание.

Так вот, судя по дебагам, сама циска пакеты не редиректит. Не могу понять почему


"RE: Возвращаясь к IPFW"
Отправлено argun , 07-Май-02 11:48 
>Да, попробуй не fwd 127.0.0.1, а
>адрес сетевой карточки.

Адрес сетевой карты ставить, похоже, нельзя, потому что сквид перестает работать и ругается, что возник loop.
Но спасибо за trafshow и tcpdump, я убедился, что форвардинг работает.