Уважаемый народ!
Как сохранить записи в IPFW, потому как после ребута все мои творчества исчезают, остается только строка deny from all to all?Cпасибо!
Записывай в файл rc.conf
firewall_type="filename"
firewall_script="/etc/FIREWALL.conf"
firewall_enable="YES"FIREWALL.conf
/sbin/ipfw -f flush
...
...
/sbin/ipfw add 65000 pass all from any to anyстрока 65535 0 0 deny ip from any to any
вставляется автоматом.
в зависимости от опции при компиляции ядра.Вот и все записи.
Спасибо, помогло!
Комп заработает при таких настройках, а
firewall? ведь все разрешено? Хотелось бы
поподробнее - как запретить например ICMP?
и открыть только нужние порты, как прописать динамический IP, (все доки про
сервер с выделенным IP)
Спасибо
>Комп заработает при таких настройках, а
>firewall? ведь все разрешено? Хотелось бы
>поподробнее - как запретить например ICMP?
>и открыть только нужние порты, как
>прописать динамический IP, (все доки
>про сервер с выделенным IP)
ну так запрещай,
я же нарисовал "..." для этого.
не ужто ты думаешь что человеку надо было написать правило фильтрации моей машины ???
вставь в цепочу такую строку
/sbin/ipfw add 300 reject log udp from xxx.xxx.xxx.0/24 to any 27015 via ed0
и у тебя появляется правило запрещающий узерам сидеть и играть в CS или во все, что ходит по UDP на порт 27015.
и так далее.
все остальное разрешено.
Можно и на оборот не добавлять Правило "все разрешено", а соответсвенно разрешать все по ходу цепочки.
>поподробнее - как запретить например ICMP?
>
>и открыть только нужние порты, как
для icmp, например:
ipfw add deny icmp from any to any
для 22 порта, например, при установлении соединения:
ipfw add pass tcp from any to any 22 setup
Простите за неопытность, но у меня возник еще вопрос по той же теме.
есть рулез
add fwd 127.0.0.1,3128 tcp from any to any http in via xl0
а затем
add pass all from any to anyпри проверке с помощью ipfw -a list, вижу, что на первом счетчики нулевые, т.е. рулез не работает, хотя с циски пакеты перекидываются
>>add pass all from any to
>any
>
>при проверке с помощью ipfw -a
>list, вижу, что на первом
>счетчики нулевые, т.е. рулез не
>работает, хотя с циски пакеты
>перекидываются
А у тебя IP на сетевой карте какое стоит ???
127.0.0.1 ???
или всетаки какое-то нормальное.
netstat -nr в студию тогда
>>>add pass all from any to
>>any
>>
>>при проверке с помощью ipfw -a
>>list, вижу, что на первом
>>счетчики нулевые, т.е. рулез не
>>работает, хотя с циски пакеты
>>перекидываются
>А у тебя IP на сетевой
>карте какое стоит ???
>127.0.0.1 ???
>или всетаки какое-то нормальное.
>netstat -nr в студию тогда
IP на карте-то нормальный, просто forward внутри одной и той же машины.
Вопрос в другом: Где теряются пакеты - на пути от циски к BSD-машине или же внутри? Судя по IP packet debugging на циске, оттуда они уходят.
Есть ли в BSD способ их как-то увидеть??
так а зачем ты пишешь тогда ipfw 127.0.0.1 ???
пиши именно тот IP и все увидешь.
в инет ты идешь именно через xlo или что там у тебя, а пишешь совсем другое.
>>>>add pass all from any to
>>>any
>>>
>>>при проверке с помощью ipfw -a
>>>list, вижу, что на первом
>>>счетчики нулевые, т.е. рулез не
>>>работает, хотя с циски пакеты
>>>перекидываются
>>А у тебя IP на сетевой
>>карте какое стоит ???
>>127.0.0.1 ???
>>или всетаки какое-то нормальное.
>>netstat -nr в студию тогда
>
>
>IP на карте-то нормальный, просто forward
>внутри одной и той же
>машины.
>Вопрос в другом: Где теряются пакеты
>- на пути от циски
>к BSD-машине или же внутри?
>Судя по IP packet debugging
> на циске, оттуда они
>уходят.
>Есть ли в BSD способ их
>как-то увидеть??
Да, попробуй не fwd 127.0.0.1, а адрес сетевой карточки. А посмотреть потом куда пакеты ходят, можно попробовать, например trafshow или уже там что-то вроде tcpdump...
Вот это поможет если я правильно понял, что ты хочешь сделать прозрачный прокси :)
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
>Вот это поможет если я правильно
>понял, что ты хочешь сделать
>прозрачный прокси :)
>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to
>any 80
Именно это я и пытаюсь сделать и,как выясняется, проблема не в IPFW (тут все работает). Но благодарю всех за проявленное внимание.Так вот, судя по дебагам, сама циска пакеты не редиректит. Не могу понять почему
>Да, попробуй не fwd 127.0.0.1, а
>адрес сетевой карточки.Адрес сетевой карты ставить, похоже, нельзя, потому что сквид перестает работать и ругается, что возник loop.
Но спасибо за trafshow и tcpdump, я убедился, что форвардинг работает.