URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 30518
[ Назад ]

Исходное сообщение
"Не могу удалить правило 65535 ipfw! HELP!"

Отправлено LER , 01-Июн-03 20:20 
Не могу удалить правило 65535 ipfw!
NAT поднял, ядро перепилил, rc.firewall настороил по МАНам, а этот гадский ipfw при вызове ipfw show пишет:

65535 0 0 deny ip from any to any

На ipfw del 65535 не реагирует: пишет:
ip_fw_ctl: can't delete rule 65535
По команде ipfw -f flush, обнуляет все прописаное для ipfw в rc.firewall, а  65535  оставляет.
Кто встречался с подобным, где эту хрень удалить?


Содержание

Сообщения в этом обсуждении
"Не могу удалить правило 65535 ipfw! HELP!"
Отправлено gennady , 01-Июн-03 22:45 
>Не могу удалить правило 65535 ipfw!
>NAT поднял, ядро перепилил, rc.firewall настороил по МАНам, а этот >гадский ipfw при вызове ipfw show пишет:
>
>65535 0 0 deny ip from any to any
>
>На ipfw del 65535 не реагирует: пишет:
>ip_fw_ctl: can't delete rule 65535
>По команде ipfw -f flush, обнуляет все прописаное для ipfw в >rc.firewall, а  65535  оставляет.
>Кто встречался с подобным, где эту хрень удалить?
Это - правило по умолчанию. Его удалить нельзя. Можно настроить в ядре, как система будет поступать по умолчанию:
options         IPFIREWALL_DEFAULT_TO_ACCEPT
Если эта опция при сборке ядра не указана, то по умолчанию все пакеты будут отвергаться. имхо - это нормально на системах с повышенными требованиями к безопасности, например, на интернетовском шлюзе.
man ipfw
less /sys/i386/conf/LINT


"Не могу удалить правило 65535 ipfw! HELP!"
Отправлено Stiki , 01-Июн-03 23:48 
Хм, а помоему их всего 65534

"Не могу удалить правило 65535 ipfw! HELP!"
Отправлено Ilia , 01-Июн-03 23:57 
>Хм, а помоему их всего 65534

Хм, это "потвоему".
Ман прочитать не пробовал? попробуй.



"Не могу удалить правило 65535 ipfw! HELP!"
Отправлено stiki , 02-Июн-03 00:11 
>Хм, это "потвоему".
>Ман прочитать не пробовал? попробуй.

Прошу прощения обознался:
... Rules are numbered from 1 to 65534; multiple rules may share the same number ...(http://www.opennet.me/man.shtml?topic=ipfw&russian=0&category=)

There is one rule that always exists, rule number 65535. This rule normally causes all packets to be dropped. Hence, any packet which does not match a lower numbered rule will be dropped. However, a kernel compile time option IPFIREWALL_DEFAULT_TO_ACCEPT allows the administrator to change this fixed rule to permit everything.

Тобишь, добавь другие правила и то изчезнет.


"Не могу удалить правило 65535 ipfw! HELP!"
Отправлено 01mer , 02-Июн-03 12:39 
хмм...а зачем его вообще удалаять? в конфиги ipfw  пропиши только то что тебе нужно, а остальное нафиг deny :)

"Не могу удалить правило 65535 ipfw! HELP!"
Отправлено toor , 02-Июн-03 16:33 
Это правило нельзя удалить.
Оно определяется настройкой ядра по дефолту... когда собирал ядро что ты там писал??
Вот это и получай по умолчанию.