URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 35894
[ Назад ]

Исходное сообщение
"ipfw - icmp идут, и ничего другого"
Отправлено Tilo , 13-Окт-03 19:51

Салют всем!
Я во freebsd новенький, не пинайте плзззз 8)
Хочу, как и многие, офисную сеть в интернет пустить.
В ядро добавил IPFIREWALL, IPDIVERT, в /etc/rc.conf и файрвол и натд включен и тд как во всех факах и тп.
Вобщем, пинги проходят, и ничего более.
Куда копать?

Содержание

ipfw - icmp идут, и ничего другого,crash, 03:04 , 14-Окт-03
- ipfw - icmp идут, и ничего другого,Tilo, 07:53 , 14-Окт-03
  - ipfw - icmp идут, и ничего другого,crash, 08:19 , 14-Окт-03
    - ipfw - icmp идут, и ничего другого,Tilo, 09:22 , 14-Окт-03
      - ipfw - icmp идут, и ничего другого,crash, 10:10 , 14-Окт-03
        
        ipfw - icmp идут, и ничего другого,Psy, 12:31 , 14-Окт-03
        
        ipfw - icmp идут, и ничего другого,Tilo, 13:12 , 14-Окт-03
ipfw - icmp идут, и ничего другого,dev, 13:17 , 14-Окт-03
- ipfw - icmp идут, и ничего другого,Tilo, 13:37 , 14-Окт-03
  - ipfw - icmp идут, и ничего другого,dev, 15:03 , 14-Окт-03
    - ipfw - icmp идут, и ничего другого,Tilo, 17:10 , 14-Окт-03
    - ipfw - icmp идут, и ничего другого,toor, 17:28 , 15-Окт-03
      - ipfw - icmp идут, и ничего другого,dev, 23:27 , 16-Окт-03
- ipfw - icmp идут, и ничего другого,riks, 12:16 , 16-Окт-03
  - ipfw - icmp идут, и ничего другого,dev, 23:33 , 16-Окт-03

Сообщения в этом обсуждении

"ipfw - icmp идут, и ничего другого"
Отправлено crash , 14-Окт-03 03:04

>Салют всем!
>
>Я во freebsd новенький, не пинайте плзззз 8)
>Хочу, как и многие, офисную сеть в интернет пустить.
>В ядро добавил IPFIREWALL, IPDIVERT, в /etc/rc.conf и файрвол и натд включен
>и тд как во всех факах и тп.
>Вобщем, пинги проходят, и ничего более.
>Куда копать?

было бы не похо посмотреть правила фаервола и ipfw show что показывает.

"ipfw - icmp идут, и ничего другого"
Отправлено Tilo , 14-Окт-03 07:53

fxp0 - inet
fxp1 - local
/etc/rc.firewall
...
[Oo][Pp][Ee][Nn])
setup_loopback
ipfw add 65000 pass all from any to any
;;
/etc/natd.conf
use_sockets yes
same_ports yes
dynamic yes
ipfw show
(я уберу номера правлил и тп)
divert 8668 ip from any to any via fxp0
allow ip from any to any via lo0
deny ip from 127.0.0.0/8
deny ip from 127.0.0.0/8 to any
allow ip from any to any
deny ip from any to any

"ipfw - icmp идут, и ничего другого"
Отправлено crash , 14-Окт-03 08:19

>fxp0 - inet
>fxp1 - local
>
>/etc/rc.firewall
> ...
>[Oo][Pp][Ee][Nn])
>setup_loopback
>ipfw add 65000 pass all from any to any
>;;
>
>/etc/natd.conf
>use_sockets yes
>same_ports yes
>dynamic yes
>
>ipfw show
>(я уберу номера правлил и тп)
вот и зря, потому как не видно тогда где фаервол затыкается...
я точно не уверен, но помоему divert надо поставить в конце после allow ip from any to any

"ipfw - icmp идут, и ничего другого"
Отправлено Tilo , 14-Окт-03 09:22

ok.
ipfw show
00050 182 15207 divert 8668 ip from any to any via fxp0
00100 52  4974  allow ip from any to any via lo0
00200 0   0     deny ip from 127.0.0.0/8
00300 0   0     deny ip from 127.0.0.0/8 to any
65500 402 0     allow ip from any to any
65535 0   0     deny ip from any to any
divert в конце после allow ip from any to any - результат тот же 8(
и рекомендуется divert ставить в самом начале.

"ipfw - icmp идут, и ничего другого"
Отправлено crash , 14-Окт-03 10:10

>ok.
>
>ipfw show
>00050 182 15207 divert 8668 ip from any to any via fxp0
>
>00100 52  4974  allow ip from any to any via
>lo0
>00200 0   0     deny ip from
>127.0.0.0/8
>00300 0   0     deny ip from
>127.0.0.0/8 to any
>65500 402 0     allow ip from any to
>any
>65535 0   0     deny ip from
>any to any
>
>divert в конце после allow ip from any to any - результат
>тот же 8(
>и рекомендуется divert ставить в самом начале.

предлагаю сделать чтобы писались логи и смотреть что выдает..
может кто еще что умное тебе подскажет.

"ipfw - icmp идут, и ничего другого"
Отправлено Psy , 14-Окт-03 12:31

>предлагаю сделать чтобы писались логи и смотреть что выдает..
>может кто еще что умное тебе подскажет.

Нельзя писать divert после allow all, потому что тогда на диверт вообще ичего не попадет... Недавно просто была такая же проблема..
Для начала сделай слудующее:
ipwf -f flush
ipfw add divert natd all from any via (внешний интерфейс)
ipfw add allow all from any to any via (внешний интерфейс)
Больше пока правил не надо.... для начала это запусти...
кроме того в rc.conf должно быть:
firewall_enable="YES"
firewall_script="/где он там у тебя лежит"
natd_enable="YES"
natd_interface="внешний интерфейс"
gateway_enable="YES"
у клиента должен быть прописан gateway, вообщем когда все сделаешь...должно пойти....

"ipfw - icmp идут, и ничего другого"
Отправлено Tilo , 14-Окт-03 13:12

>ipwf -f flush
>ipfw add divert natd all from any via (внешний интерфейс)
>ipfw add allow all from any to any via (внешний интерфейс)
теперь даже пинги не проходят с клиентских машин, что собственно и логично. Если замнеить последнюю строчку (см выше) на ipfw add allow all from any to any, то хоть пинги идут...
ipfw show
50 631 37042 divert 8668 ip from any via (внешний интерфейс)
60 418 23979 allow all from any to any via (внешний интерфейс)
70 0 0 deny ip from any to any

"ipfw - icmp идут, и ничего другого"
Отправлено dev , 14-Окт-03 13:17

>Салют всем!
>
>Я во freebsd новенький, не пинайте плзззз 8)
>Хочу, как и многие, офисную сеть в интернет пустить.
>В ядро добавил IPFIREWALL, IPDIVERT, в /etc/rc.conf и файрвол и натд включен
>и тд как во всех факах и тп.
>Вобщем, пинги проходят, и ничего более.
>Куда копать?
Версия фрии?
Ядро/мир с какими опциями собирал? -O2 ?

"ipfw - icmp идут, и ничего другого"
Отправлено Tilo , 14-Окт-03 13:37

FreeBSD 5.1p10
(была 5.1p8 - такая же беда)
ядрос миром собирал с флагами
cflacs=o2 -pipe
coptflags=-o -pipe

"ipfw - icmp идут, и ничего другого"
Отправлено dev , 14-Окт-03 15:03

>cflacs=o2 -pipe
Пересобери
-0 -pipe
- и все заработает :) я серьезно
ipfw верни как было, когда icmp ходили

"ipfw - icmp идут, и ничего другого"
Отправлено Tilo , 14-Окт-03 17:10

zarabotalo!!!!
thx!!!

"ipfw - icmp идут, и ничего другого"
Отправлено toor , 15-Окт-03 17:28

>>cflacs=o2 -pipe
>
>Пересобери
>
>-0 -pipe
>
>- и все заработает :) я серьезно
>ipfw верни как было, когда icmp ходили
Поломали компилятор в 5.1, что ли?

"ipfw - icmp идут, и ничего другого"
Отправлено dev , 16-Окт-03 23:27

>>>cflacs=o2 -pipe
>>
>>Пересобери
>>
>>-0 -pipe
>>
>>- и все заработает :) я серьезно
>>ipfw верни как было, когда icmp ходили
>
>Поломали компилятор в 5.1, что ли?
Наверно. Но -o2 в любом случае не рекомендуется для использвания - по-моему в handbook об этом сказано

"ipfw - icmp идут, и ничего другого"
Отправлено riks , 16-Окт-03 12:16

Добрый день dev прошу прощения вы не подскажите я просто freeBSD 4.7 пользуюсь и я немного не понял насчет сборки ядра у 5 версии оно что собираеться как то уже не так и что такое -мир-?
Я собираю ядро всегда стандартно редактирую в директории usr/src/sys/i386/conf/ копию файла GENERIC (cp GENERIC MyConfig )
потом config MyConfig потом make && make install

"ipfw - icmp идут, и ничего другого"
Отправлено dev , 16-Окт-03 23:33

>Добрый день dev прошу прощения вы не подскажите я просто freeBSD 4.7
>пользуюсь и я немного не понял насчет сборки ядра у 5
>версии оно что собираеться как то уже не так и что
>такое -мир-?
>Я собираю ядро всегда стандартно редактирую в директории usr/src/sys/i386/conf/ копию файла GENERIC
>(cp GENERIC MyConfig )
>потом config MyConfig потом make && make install
Процедура сбора ядра не изменилась. Их на самом деле две: одна - как описано (только, если мне не изменяет память, надо еще make depend делать), вторая - если стоят исходники системы (я не пробовал выполнять ее без исходников).
Но я чаше пересобираю все систему ("мир" - это система без ядра) из-за security патчей. И даже при редактировании ядра мне проще воспользоваться второй процедурой что б не запоминать обе.
Все это описано в handbook.