forum.opennet.ru - "FreeBSD от куда взялись такие правила IPFW" (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"FreeBSD от куда взялись такие правила IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"FreeBSD от куда взялись такие правила IPFW"		+/–
Сообщение от oligarh (ok) on 07-Окт-09, 14:09
Доброго дня! ребята, сломали всю голову не можем понять, вообщем достался сервер от предыдущего админа, на серваке фря 6.2 сквид ипфв и нат. после переезда отказалось работать аська, и не можем соедениться с такскомом по 25 и 110 порту с компов пользователей, с роутера все работает, т.е. соединение есть, в чем косяк никак не пойму. выкладываю конфиги: mail# cat /etc/rc.conf hostname="mail.triss.ru" network_interfaces="lo0 lan0 int0" ifconfig_rl0_name="lan0" ifconfig_lan0="inet 192.168.0.1 netmask 255.255.255.0" ifconfig_re0_name="int0" ifconfig_int0="inet 89.63.207.210 netmask 255.255.255.248" defaultrouter="89.63.207.209" gateway_enable="YES" firewall_enable="YES" #firewall_type="/etc/firewall.conf" firewall_quiet="YES" firewall_logging="YES" ipv6_enable="NO" ipv6_firewall_enable="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" icmp_bmcastecho="NO" fsck_y_enable="YES" rcshutdown_timeout="120" check_quotas="NO" sendmail_enable="NO" named_enable="YES" named_flags="-4" sshd_enable="YES" syslogd_enable="YES" syslogd_flags="-ss" ldconfig_paths="/usr/lib/compat /usr/X11R6/lib /usr/local/lib /usr/local/lib/compat/pkg /usr/local/mysql/lib/mysql /usr/local/clamav/lib" natd_enable="YES" natd_interface="int0" natd_flags=" -p 8668 -same_ports -use_sockets -redirect_port tcp 192.168.0.2:3389 3389" #natd_flags="-u -s -m" font8x14="cp866-8x14" font8x16="cp866b-8x16" font8x8="cp866-8x8" keymap="ru.koi8-r" keyrate="normal" cursor="destructive" scrnmap="koi8-r2cp866" # -- sysinstall generated deltas -- # Sun Sep 27 22:18:02 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.210" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Sun Sep 27 22:24:16 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.210" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Sun Sep 27 22:29:38 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.210" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 09:54:12 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.210" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 10:30:49 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.210" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 10:35:53 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.210" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 10:49:25 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.209" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 11:22:32 2009 defaultrouter="83.69.207.209" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 11:27:44 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" ifconfig_lan0="inet 192.168.0.1 netmask 255.255.255.0" defaultrouter="83.69.207.209" hostname="mail.triss.ru" # -- sysinstall generated deltas -- # Thu Oct 1 11:50:01 2009 ifconfig_int0="inet 83.69.207.210 netmask 255.255.255.248" defaultrouter="83.69.207.209" hostname="mail.triss.ru" mail# mail# cat /etc/firewall.conf #add 50 deny all from any to 84.204.3.255 via int0 add 100 allow ip from any to any via lo add 110 deny log ip from 192.168.0.0/24 to any in via int0 add 115 allow all from any to 255.255.255.255:67 via lan0 add 120 deny log ip from not 192.168.0.0/24 to any in via lan0 add 140 deny icmp from any to any in icmptype 5,9,13,14,15,16,17 add 145 allow icmp from any to any add 4200 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not 192.168.0.0/24 80 out xmit int0 add 4210 divert 8668 ip from 192.168.0.0/24 to any out via int0 add 4220 divert 8668 ip from any to 83.69.207.209 in via int0 add 4260 allow all from 87.245.135.160 to me 3389 add 4261 allow all from 87.245.135.160 to 192.168.0.2 3389 add 4261 allow all from 87.245.135.160 to 192.168.0.9 3389 add 4262 allow all from 194.67.255.242 to me 3389 add 4263 allow all from 194.67.255.242 to 192.168.0.9 3389 add 4265 deny all from any to me 3389 add 4266 deny ip from any to 192.168.0.2 dst-port 3389 add 4300 allow all from me to any add 4305 allow tcp from any to me 22,25,26,80,110,443,1025-65535 #add 4307 allow all from any to any 5190 #add 4308 allow all from any 5190 to any add 4310 allow ip from me to any 53 add 4315 allow ip from any 53 to me add 4320 allow ip from any to me 53 add 4325 allow ip from me 53 to any add 4326 allow ip from any to me 67 via lan0 add 4327 allow ip from me 67 to any via lan0 add 4330 allow ip from me to any 123,6277 add 4335 allow ip from any 123,6277 to me add 4340 allow ip from 192.168.0.2 to any 123 add 4341 allow ip from any 123 to 192.168.0.2 add 4342 allow ip from 192.168.0.22 to any 123 add 4343 allow ip from any 123 to 192.168.0.22 #add 4520 allow tcp from 192.168.0.0/24 to any via lan0 add 4520 allow tcp from any to 192.168.0.0/24 via int0 #add 11002 allow tcp from 192.168.0.2 to not 192.168.0.0/24 via lan0 #add 11003 allow tcp from 192.168.0.3 to not 192.168.0.0/24 via lan0 #add 11004 allow tcp from 192.168.0.4 to not 192.168.0.0/24 via lan0 #add 11005 allow tcp from 192.168.0.5 to not 192.168.0.0/24 via lan0 #add 11006 allow tcp from 192.168.0.6 to not 192.168.0.0/24 via lan0 #add 11007 allow tcp from 192.168.0.7 to not 192.168.0.0/24 via lan0 #add 11008 allow tcp from 192.168.0.8 to not 192.168.0.0/24 via lan0 #add 12002 allow tcp from not 192.168.0.0/24 to 192.168.0.2 via lan0 #add 12003 allow tcp from not 192.168.0.0/24 to 192.168.0.3 via lan0 #add 12004 allow tcp from not 192.168.0.0/24 to 192.168.0.4 via lan0 #add 12005 allow tcp from not 192.168.0.0/24 to 192.168.0.5 via lan0 #add 12006 allow tcp from not 192.168.0.0/24 to 192.168.0.6 via lan0 #add 12007 allow tcp from not 192.168.0.0/24 to 192.168.0.7 via lan0 #add 12008 allow tcp from not 192.168.0.0/24 to 192.168.0.8 via lan0 add 12100 allow tcp from 195.161.42.230 to 192.168.0.5 25,110 add 12110 allow tcp from 192.168.0.5 to 195.161.42.230 25,110 add 65000 allow gre from any to any #add 65534 deny log ip from any to any add 65534 allow all from any to any mail# mail# ipfw list 00100 allow ip from any to any via lo 00110 deny log logamount 1000 ip from 192.168.0.0/24 to any in via int0 00115 allow ip from any to 0.0.0.67:0.0.0.67 via lan0 00120 deny log logamount 1000 ip from not 192.168.0.0/24 to any in via lan0 00140 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17 00145 allow icmp from any to any 02000 allow tcp from 192.168.0.253 to not 192.168.0.0/24 dst-port 80 04200 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to not 192.168.0.0/24 dst-port 80 out xmit int0 04210 divert 8668 ip from 192.168.0.0/24 to any out via int0 04220 divert 8668 ip from any to 83.69.207.209 in via int0 04260 allow ip from 87.245.135.160 to me dst-port 3389 04261 allow ip from 87.245.135.160 to 192.168.0.2 dst-port 3389 04261 allow ip from 87.245.135.160 to 192.168.0.9 dst-port 3389 04262 allow ip from 194.67.255.242 to me dst-port 3389 04263 allow ip from 194.67.255.242 to 192.168.0.9 dst-port 3389 04265 deny ip from any to me dst-port 3389 04266 deny ip from any to 192.168.0.2 dst-port 3389 04300 allow ip from me to any 04305 allow tcp from any to me dst-port 22,25,26,80,110,443,1025-65535 04310 allow ip from me to any dst-port 53 04315 allow ip from any 53 to me 04320 allow ip from any to me dst-port 53 04325 allow ip from me 53 to any 04326 allow ip from any to me dst-port 67 via lan0 04327 allow ip from me 67 to any via lan0 04330 allow ip from me to any dst-port 123,6277 04335 allow ip from any 123,6277 to me 04340 allow ip from 192.168.0.2 to any dst-port 123 04341 allow ip from any 123 to 192.168.0.2 04342 allow ip from 192.168.0.22 to any dst-port 123 04343 allow ip from any 123 to 192.168.0.22 04520 allow tcp from any to 192.168.0.0/24 via int0 12100 allow tcp from 195.161.42.230 to 192.168.0.5 dst-port 25,110 12110 allow tcp from 192.168.0.5 to 195.161.42.230 dst-port 25,110 15000 allow tcp from 192.168.0.15 to not 192.168.0.0/24 via lan0 15001 allow tcp from 192.168.0.10 to not 192.168.0.0/24 via lan0 15002 allow tcp from 192.168.0.23 to not 192.168.0.0/24 via lan0 15003 allow tcp from 192.168.0.33 to not 192.168.0.0/24 via lan0 15004 allow tcp from 192.168.0.13 to not 192.168.0.0/24 via lan0 15005 allow tcp from 192.168.0.29 to not 192.168.0.0/24 via lan0 15006 allow tcp from 192.168.0.22 to not 192.168.0.0/24 via lan0 15007 allow tcp from 192.168.0.20 to not 192.168.0.0/24 via lan0 15008 allow tcp from 192.168.0.18 to not 192.168.0.0/24 via lan0 15009 allow tcp from 192.168.0.3 to not 192.168.0.0/24 via lan0 15010 allow tcp from 192.168.0.2 to not 192.168.0.0/24 via lan0 15011 allow tcp from 192.168.0.252 to not 192.168.0.0/24 via lan0 15012 allow tcp from 192.168.0.6 to not 192.168.0.0/24 via lan0 15013 allow tcp from 192.168.0.24 to not 192.168.0.0/24 via lan0 15014 allow tcp from 192.168.0.30 to not 192.168.0.0/24 via lan0 15015 allow tcp from 192.168.0.5 to not 192.168.0.0/24 via lan0 15016 allow tcp from 192.168.0.34 to not 192.168.0.0/24 via lan0 15017 allow tcp from 192.168.0.14 to not 192.168.0.0/24 via lan0 15018 allow tcp from 192.168.0.11 to not 192.168.0.0/24 via lan0 15019 allow tcp from 192.168.0.16 to not 192.168.0.0/24 via lan0 15020 allow tcp from 192.168.0.8 to not 192.168.0.0/24 via lan0 15021 allow tcp from 192.168.0.32 to not 192.168.0.0/24 via lan0 15022 allow tcp from 192.168.0.26 to not 192.168.0.0/24 via lan0 15023 allow tcp from 192.168.0.27 to not 192.168.0.0/24 via lan0 15024 allow tcp from 192.168.0.19 to not 192.168.0.0/24 via lan0 15025 allow tcp from 192.168.0.9 to not 192.168.0.0/24 via lan0 15026 allow tcp from 192.168.0.35 to not 192.168.0.0/24 via lan0 15027 allow tcp from 192.168.0.253 to not 192.168.0.0/24 via lan0 15028 allow tcp from 192.168.0.31 to not 192.168.0.0/24 via lan0 15029 allow tcp from 192.168.0.21 to not 192.168.0.0/24 via lan0 15030 allow tcp from 192.168.0.12 to not 192.168.0.0/24 via lan0 15031 allow tcp from 192.168.0.4 to not 192.168.0.0/24 via lan0 16000 allow tcp from not 192.168.0.0/24 to 192.168.0.15 via lan0 16001 allow tcp from not 192.168.0.0/24 to 192.168.0.10 via lan0 16002 allow tcp from not 192.168.0.0/24 to 192.168.0.23 via lan0 16003 allow tcp from not 192.168.0.0/24 to 192.168.0.33 via lan0 16004 allow tcp from not 192.168.0.0/24 to 192.168.0.13 via lan0 16005 allow tcp from not 192.168.0.0/24 to 192.168.0.29 via lan0 16006 allow tcp from not 192.168.0.0/24 to 192.168.0.22 via lan0 16007 allow tcp from not 192.168.0.0/24 to 192.168.0.20 via lan0 16008 allow tcp from not 192.168.0.0/24 to 192.168.0.18 via lan0 16009 allow tcp from not 192.168.0.0/24 to 192.168.0.3 via lan0 16010 allow tcp from not 192.168.0.0/24 to 192.168.0.2 via lan0 16011 allow tcp from not 192.168.0.0/24 to 192.168.0.252 via lan0 16012 allow tcp from not 192.168.0.0/24 to 192.168.0.6 via lan0 16013 allow tcp from not 192.168.0.0/24 to 192.168.0.24 via lan0 16014 allow tcp from not 192.168.0.0/24 to 192.168.0.30 via lan0 16015 allow tcp from not 192.168.0.0/24 to 192.168.0.5 via lan0 16016 allow tcp from not 192.168.0.0/24 to 192.168.0.34 via lan0 16017 allow tcp from not 192.168.0.0/24 to 192.168.0.14 via lan0 16018 allow tcp from not 192.168.0.0/24 to 192.168.0.11 via lan0 16019 allow tcp from not 192.168.0.0/24 to 192.168.0.16 via lan0 16020 allow tcp from not 192.168.0.0/24 to 192.168.0.8 via lan0 16021 allow tcp from not 192.168.0.0/24 to 192.168.0.32 via lan0 16022 allow tcp from not 192.168.0.0/24 to 192.168.0.26 via lan0 16023 allow tcp from not 192.168.0.0/24 to 192.168.0.27 via lan0 16024 allow tcp from not 192.168.0.0/24 to 192.168.0.19 via lan0 16025 allow tcp from not 192.168.0.0/24 to 192.168.0.9 via lan0 16026 allow tcp from not 192.168.0.0/24 to 192.168.0.35 via lan0 16027 allow tcp from not 192.168.0.0/24 to 192.168.0.253 via lan0 16028 allow tcp from not 192.168.0.0/24 to 192.168.0.31 via lan0 16029 allow tcp from not 192.168.0.0/24 to 192.168.0.21 via lan0 16030 allow tcp from not 192.168.0.0/24 to 192.168.0.12 via lan0 16031 allow tcp from not 192.168.0.0/24 to 192.168.0.4 via lan0 65000 allow gre from any to any 65535 deny ip from any to any mail# содержание конфига от загруженных правил отличается, вопрос, от куда онир грузяться и каким боком блочат нам соединения, или куда смотреть хоть если это не фаер виновен. Надеюсьна вашу помощь!!!
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

FreeBSD от куда взялись такие правила IPFW, aZ, 14:33 , 07-Окт-09, (1)

FreeBSD от куда взялись такие правила IPFW, oligarh, 14:44 , 07-Окт-09, (2)

FreeBSD от куда взялись такие правила IPFW, PJ, 00:05 , 09-Окт-09, (15)

FreeBSD от куда взялись такие правила IPFW, ronin, 14:45 , 07-Окт-09, (3)

FreeBSD от куда взялись такие правила IPFW, oligarh, 14:55 , 07-Окт-09, (4)

FreeBSD от куда взялись такие правила IPFW, daloman, 12:54 , 09-Окт-09, (16)

FreeBSD от куда взялись такие правила IPFW, daloman, 13:29 , 09-Окт-09, (17)

FreeBSD от куда взялись такие правила IPFW, Pahanivo, 15:02 , 07-Окт-09, (5)

FreeBSD от куда взялись такие правила IPFW, oligarh, 15:11 , 07-Окт-09, (6)

FreeBSD от куда взялись такие правила IPFW, Serjant, 15:19 , 07-Окт-09, (7)

FreeBSD от куда взялись такие правила IPFW, oligarh, 15:35 , 07-Окт-09, (8)

FreeBSD от куда взялись такие правила IPFW, aZ, 15:40 , 07-Окт-09, (10)

FreeBSD от куда взялись такие правила IPFW, Pahanivo, 15:39 , 07-Окт-09, (9)

FreeBSD от куда взялись такие правила IPFW, oligarh, 16:03 , 07-Окт-09, (11)

FreeBSD от куда взялись такие правила IPFW, Pahanivo, 18:27 , 07-Окт-09, (12) +1

FreeBSD от куда взялись такие правила IPFW, oligarh, 16:05 , 08-Окт-09, (14)

FreeBSD от куда взялись такие правила IPFW, Том Сойер, 01:53 , 08-Окт-09, (13)

Сообщения по теме [Сортировка по времени | RSS]

1. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от aZ (ok) on 07-Окт-09, 14:33

"Косяк" в том, что нужно админу платить, а не увольнять.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от oligarh (ok) on 07-Окт-09, 14:44

>"Косяк" в том, что нужно админу платить, а не увольнять.
я с вами полностью согласен, но эта притензия не по окладу, не я увольнял грамтоного человека, я пришел настроить, такой же технарь как и вы, может более а может менее грамотный. если знаешь чем помочь помоги.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от PJ (ok) on 09-Окт-09, 00:05

>>"Косяк" в том, что нужно админу платить, а не увольнять.
>
>я с вами полностью согласен, но эта притензия не по окладу, не
>я увольнял грамтоного человека, я пришел настроить, такой же технарь как
>и вы, может более а может менее грамотный. если знаешь чем
>помочь помоги.
ipfw show вроде никто не отменял. Если понимания нету, то смотри счетчики на правилах - увидишь где пакеты проходят, а где блокируются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от ronin (??) on 07-Окт-09, 14:45

>содержание конфига от загруженных правил отличается, вопрос, от куда онир грузяться и
>каким боком блочат нам соединения, или куда смотреть хоть если это
>не  фаер виновен.
>
>Надеюсьна вашу помощь!!!
Здравствуйте,
судя по
firewall_enable="YES"
#firewall_type="/etc/firewall.conf"
firewall_quiet="YES"
firewall_logging="YES"

скрипт /etc/firewall.conf здесь вообще не у дел. Правила фаерволла подгружаются из какого-то другого скрипта. Вы уверенны, что /etc/rc.conf полный? Нету там случайно чего похожего на firewall_script="/path/to/firewall/script.sh" ?
Второй вариант - предыдущий админ запихнул правила фаерволла куда-то в /usr/local/etc/rc.d/ (или ещё куда подальше) и запускается он как обычный сервис (маловероятно, но не исключено).

respect,
ronin

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от oligarh (ok) on 07-Окт-09, 14:55

>[оверквотинг удален]
>другого скрипта. Вы уверенны, что /etc/rc.conf полный? Нету там случайно чего
>похожего на firewall_script="/path/to/firewall/script.sh" ?
>
>Второй вариант - предыдущий админ запихнул правила фаерволла куда-то в /usr/local/etc/rc.d/ (или
>ещё куда подальше) и запускается он как обычный сервис (маловероятно, но
>не исключено).
>
>
>respect,
>ronin
виноват, раскоментировал, эффекта не дало, картина не поменялась.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от daloman on 09-Окт-09, 12:54

>[оверквотинг удален]
>>
>>Второй вариант - предыдущий админ запихнул правила фаерволла куда-то в /usr/local/etc/rc.d/ (или
>>ещё куда подальше) и запускается он как обычный сервис (маловероятно, но
>>не исключено).
>>
>>
>>respect,
>>ronin
>
>виноват, раскоментировал, эффекта не дало, картина не поменялась.
firewall_type=""
- это "OPEN", "CLOSE" (соответственно поведение по умолчанию либо deny all from any to any, либо allow all from any to any.
Предполагаю, что никаких мудрствований не было предпринято и правила у Вас грузятся из
/etc/rc.firewall
А если указывать скрипт из которого будут грузиться правила, то это firewall_script в /etc/rc.conf, примерно так:

firewall_enable="YES"
firewall_script="/etc/myfirewall/my-firewall.conf"
firewall_type="CLOSE"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от daloman on 09-Окт-09, 13:29

>[оверквотинг удален]
>Предполагаю, что никаких мудрствований не было предпринято и правила у Вас грузятся
>из
/etc/rc.firewall

>
>А если указывать скрипт из которого будут грузиться правила, то это firewall_script
>в /etc/rc.conf, примерно так:
>

>firewall_enable="YES"
>firewall_script="/etc/myfirewall/my-firewall.conf"
>firewall_type="CLOSE"
>

Обратите внимание, что у Вас на шлюзе некорректно настроены правила для natd

04210 divert 8668 ip from 192.168.0.0/24 to any out via int0
04220 divert 8668 ip from any to 83.69.207.209 in via int0

Притом, что у Вас IP-адрес внешнего интерфейса 89.63.207.210
Удалите эти два правила и замените, скажем, на вот такое:

# ipfw add 04210 divert 8668 all from any to any via int0

или поправьте IP-адрес

04210 divert 8668 ip from 192.168.0.0/24 to any out via int0
04220 divert 8668 ip from any to 83.69.207.210 in via int0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от Pahanivo (ok) on 07-Окт-09, 15:02

>содержание конфига от загруженных правил отличается, вопрос, от куда онир грузяться и
>каким боком блочат нам соединения, или куда смотреть хоть если это
>не  фаер виновен.
1) сложно включить для начала открытый фаер и посмотреть ?
2) сложно проанализировать rc.X на предмет "откуда оно запускается" ?
3) если сложно второе то может так проще ?
   cd /etc && grep -r "some_string_from_ipfw_list" *
4)
>каким боком блочат нам соединения
а вот за этим батенька в man ipfw

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от oligarh (ok) on 07-Окт-09, 15:11

>[оверквотинг удален]
>>не  фаер виновен.
>
>1) сложно включить для начала открытый фаер и посмотреть ?
>2) сложно проанализировать rc.X на предмет "откуда оно запускается" ?
>3) если сложно второе то может так проще ?
>   cd /etc && grep -r "some_string_from_ipfw_list" *
>4)
>>каким боком блочат нам соединения
>
>а вот за этим батенька в man ipfw
65534 allow ip from any to any
однако нет соединения.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от Serjant (??) on 07-Окт-09, 15:19

>
>65534 allow ip from any to any
>
>однако нет соединения.
Однако нет какого соединения? Никакого или конкретного? Пинг проходит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от oligarh (ok) on 07-Окт-09, 15:35

>
>>
>>65534 allow ip from any to any
>>
>>однако нет соединения.
>
>Однако нет какого соединения? Никакого или конкретного? Пинг проходит?
нужней ресурс на icmp не овечает из принципа, закрыт он там, нет соединения
telnet host30.taxcom.ru 25
а с роутера оно есть, 110 порт аналогично, + ко всему не соединяется аська, тут вероятно проблема не в фаере, а в нате или сквиде. плюс ко всему сквид при загрузке системы ругается
squid dns name lookup tests failed
может ему после переезда нужно гдето адреса днсок сменить, если да то где?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от aZ (ok) on 07-Окт-09, 15:40

Мда, парень, сочувствую тем, кто тебя нанял.
Адрес днс сервера меняется в /etc/resolv.conf

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от Pahanivo (ok) on 07-Окт-09, 15:39

>[оверквотинг удален]
>>3) если сложно второе то может так проще ?
>>   cd /etc && grep -r "some_string_from_ipfw_list" *
>>4)
>>>каким боком блочат нам соединения
>>
>>а вот за этим батенька в man ipfw
>
>65534 allow ip from any to any
>
>однако нет соединения.
открытый фаервол это не одно парвило "allow all from any to any"
открытый это как минимум:
divert 8668 all from any to any via {$oif}
allow all feom any to any
также надо позаботится а реальном существовании указанного дайверта

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от oligarh (ok) on 07-Окт-09, 16:03

add 4220 divert 8668 ip from any to 83.69.207.210 in via int0
при таком работает а при таком как было
add 4220 divert 8668 ip from any to 83.69.207.209 in via int0
нет, спасибо всем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "FreeBSD от куда взялись такие правила IPFW" +1 +/–

Сообщение от Pahanivo (ok) on 07-Окт-09, 18:27

>add 4220 divert 8668 ip from any to 83.69.207.210 in via int0
>
>
>при таком работает а при таком как было
мая в шоке ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от oligarh (??) on 08-Окт-09, 16:05

>>add 4220 divert 8668 ip from any to 83.69.207.210 in via int0
>>
>>
>>при таком работает а при таком как было
>
>мая в шоке ...
твая пантоваца делатя

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "FreeBSD от куда взялись такие правила IPFW" +/–

Сообщение от Том Сойер on 08-Окт-09, 01:53

ничесе!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeBSD от куда взялись такие правила IPFW"		+/–
Сообщение от aZ (ok) on 07-Окт-09, 14:33
"Косяк" в том, что нужно админу платить, а не увольнять.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от oligarh (ok) on 07-Окт-09, 14:44
	>"Косяк" в том, что нужно админу платить, а не увольнять. я с вами полностью согласен, но эта притензия не по окладу, не я увольнял грамтоного человека, я пришел настроить, такой же технарь как и вы, может более а может менее грамотный. если знаешь чем помочь помоги.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от PJ (ok) on 09-Окт-09, 00:05
	>>"Косяк" в том, что нужно админу платить, а не увольнять. > >я с вами полностью согласен, но эта притензия не по окладу, не >я увольнял грамтоного человека, я пришел настроить, такой же технарь как >и вы, может более а может менее грамотный. если знаешь чем >помочь помоги. ipfw show вроде никто не отменял. Если понимания нету, то смотри счетчики на правилах - увидишь где пакеты проходят, а где блокируются.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "FreeBSD от куда взялись такие правила IPFW"		+/–
Сообщение от ronin (??) on 07-Окт-09, 14:45
>содержание конфига от загруженных правил отличается, вопрос, от куда онир грузяться и >каким боком блочат нам соединения, или куда смотреть хоть если это >не фаер виновен. > >Надеюсьна вашу помощь!!! Здравствуйте, судя по firewall_enable="YES" #firewall_type="/etc/firewall.conf" firewall_quiet="YES" firewall_logging="YES" скрипт /etc/firewall.conf здесь вообще не у дел. Правила фаерволла подгружаются из какого-то другого скрипта. Вы уверенны, что /etc/rc.conf полный? Нету там случайно чего похожего на firewall_script="/path/to/firewall/script.sh" ? Второй вариант - предыдущий админ запихнул правила фаерволла куда-то в /usr/local/etc/rc.d/ (или ещё куда подальше) и запускается он как обычный сервис (маловероятно, но не исключено). respect, ronin
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от oligarh (ok) on 07-Окт-09, 14:55
	>[оверквотинг удален] >другого скрипта. Вы уверенны, что /etc/rc.conf полный? Нету там случайно чего >похожего на firewall_script="/path/to/firewall/script.sh" ? > >Второй вариант - предыдущий админ запихнул правила фаерволла куда-то в /usr/local/etc/rc.d/ (или >ещё куда подальше) и запускается он как обычный сервис (маловероятно, но >не исключено). > > >respect, >ronin виноват, раскоментировал, эффекта не дало, картина не поменялась.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от daloman on 09-Окт-09, 12:54
	>[оверквотинг удален] >> >>Второй вариант - предыдущий админ запихнул правила фаерволла куда-то в /usr/local/etc/rc.d/ (или >>ещё куда подальше) и запускается он как обычный сервис (маловероятно, но >>не исключено). >> >> >>respect, >>ronin > >виноват, раскоментировал, эффекта не дало, картина не поменялась. firewall_type="" - это "OPEN", "CLOSE" (соответственно поведение по умолчанию либо deny all from any to any, либо allow all from any to any. Предполагаю, что никаких мудрствований не было предпринято и правила у Вас грузятся из /etc/rc.firewall А если указывать скрипт из которого будут грузиться правила, то это firewall_script в /etc/rc.conf, примерно так: firewall_enable="YES" firewall_script="/etc/myfirewall/my-firewall.conf" firewall_type="CLOSE"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от daloman on 09-Окт-09, 13:29
	>[оверквотинг удален] >Предполагаю, что никаких мудрствований не было предпринято и правила у Вас грузятся >из /etc/rc.firewall > >А если указывать скрипт из которого будут грузиться правила, то это firewall_script >в /etc/rc.conf, примерно так: > >firewall_enable="YES" >firewall_script="/etc/myfirewall/my-firewall.conf" >firewall_type="CLOSE" > Обратите внимание, что у Вас на шлюзе некорректно настроены правила для natd 04210 divert 8668 ip from 192.168.0.0/24 to any out via int0 04220 divert 8668 ip from any to 83.69.207.209 in via int0 Притом, что у Вас IP-адрес внешнего интерфейса 89.63.207.210 Удалите эти два правила и замените, скажем, на вот такое: # ipfw add 04210 divert 8668 all from any to any via int0 или поправьте IP-адрес 04210 divert 8668 ip from 192.168.0.0/24 to any out via int0 04220 divert 8668 ip from any to 83.69.207.210 in via int0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "FreeBSD от куда взялись такие правила IPFW"		+/–
Сообщение от Pahanivo (ok) on 07-Окт-09, 15:02
>содержание конфига от загруженных правил отличается, вопрос, от куда онир грузяться и >каким боком блочат нам соединения, или куда смотреть хоть если это >не фаер виновен. 1) сложно включить для начала открытый фаер и посмотреть ? 2) сложно проанализировать rc.X на предмет "откуда оно запускается" ? 3) если сложно второе то может так проще ? cd /etc && grep -r "some_string_from_ipfw_list" * 4) >каким боком блочат нам соединения а вот за этим батенька в man ipfw
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от oligarh (ok) on 07-Окт-09, 15:11
	>[оверквотинг удален] >>не фаер виновен. > >1) сложно включить для начала открытый фаер и посмотреть ? >2) сложно проанализировать rc.X на предмет "откуда оно запускается" ? >3) если сложно второе то может так проще ? > cd /etc && grep -r "some_string_from_ipfw_list" * >4) >>каким боком блочат нам соединения > >а вот за этим батенька в man ipfw 65534 allow ip from any to any однако нет соединения.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от Serjant (??) on 07-Окт-09, 15:19
	> >65534 allow ip from any to any > >однако нет соединения. Однако нет какого соединения? Никакого или конкретного? Пинг проходит?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от oligarh (ok) on 07-Окт-09, 15:35
	> >> >>65534 allow ip from any to any >> >>однако нет соединения. > >Однако нет какого соединения? Никакого или конкретного? Пинг проходит? нужней ресурс на icmp не овечает из принципа, закрыт он там, нет соединения telnet host30.taxcom.ru 25 а с роутера оно есть, 110 порт аналогично, + ко всему не соединяется аська, тут вероятно проблема не в фаере, а в нате или сквиде. плюс ко всему сквид при загрузке системы ругается squid dns name lookup tests failed может ему после переезда нужно гдето адреса днсок сменить, если да то где?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от aZ (ok) on 07-Окт-09, 15:40
	Мда, парень, сочувствую тем, кто тебя нанял. Адрес днс сервера меняется в /etc/resolv.conf
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от Pahanivo (ok) on 07-Окт-09, 15:39
	>[оверквотинг удален] >>3) если сложно второе то может так проще ? >> cd /etc && grep -r "some_string_from_ipfw_list" * >>4) >>>каким боком блочат нам соединения >> >>а вот за этим батенька в man ipfw > >65534 allow ip from any to any > >однако нет соединения. открытый фаервол это не одно парвило "allow all from any to any" открытый это как минимум: divert 8668 all from any to any via {$oif} allow all feom any to any также надо позаботится а реальном существовании указанного дайверта
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от oligarh (ok) on 07-Окт-09, 16:03
	add 4220 divert 8668 ip from any to 83.69.207.210 in via int0 при таком работает а при таком как было add 4220 divert 8668 ip from any to 83.69.207.209 in via int0 нет, спасибо всем.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "FreeBSD от куда взялись такие правила IPFW"		+1 +/–
	Сообщение от Pahanivo (ok) on 07-Окт-09, 18:27
	>add 4220 divert 8668 ip from any to 83.69.207.210 in via int0 > > >при таком работает а при таком как было мая в шоке ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от oligarh (??) on 08-Окт-09, 16:05
	>>add 4220 divert 8668 ip from any to 83.69.207.210 in via int0 >> >> >>при таком работает а при таком как было > >мая в шоке ... твая пантоваца делатя
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "FreeBSD от куда взялись такие правила IPFW"		+/–
	Сообщение от Том Сойер on 08-Окт-09, 01:53
	ничесе!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору