URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 36047
[ Назад ]

Исходное сообщение
"Вопрос по ipfw"
Отправлено amlt , 16-Окт-03 13:11

Пытаюсь настроить ipfw на freebsd 4.8. В мане по ipfw сказано, что если в rc.conf тип файрволла аказать как путь к файлу, то правила будут браться из этого файла. Так и сделал (у меня /etc/ipfw). Потом прочел, что правила надо указывать в rc.firewall. Переписал его. После этого правила из /etc/ipfw игнорируются, а беруться правила из rc.firewall. Так где все-таки надо указывать правила? Или все равно, но у rc.firawall есть приоритет?
Может из-за этого не один сетвой сервис (DNS, SSН) не работают (вернее они работают только на машине на которой установлен sshd и named).

Содержание

Вопрос по ipfw,mazaj, 13:19 , 16-Окт-03
- Вопрос по ipfw,amlt, 13:33 , 16-Окт-03
  - Вопрос по ipfw,dawnshade, 13:59 , 16-Окт-03
  - Вопрос по ipfw,mazaj, 14:46 , 16-Окт-03
    - Вопрос по ipfw,amlt, 15:03 , 16-Окт-03
      - Вопрос по ipfw,mazaj, 15:12 , 16-Окт-03
        
        Вопрос по ipfw,amlt, 10:25 , 17-Окт-03
        
        Вопрос по ipfw,mazaj, 10:54 , 17-Окт-03
        
        Вопрос по ipfw,amlt, 12:40 , 20-Окт-03
        
        Вопрос по ipfw,mazaj, 12:55 , 20-Окт-03
        
        Вопрос по ipfw,amlt, 13:00 , 20-Окт-03
      - Вопрос по ipfw,mazaj, 13:08 , 20-Окт-03
        
        Вопрос по ipfw,amlt, 14:13 , 20-Окт-03
        
        Вопрос по ipfw,mazaj, 15:06 , 20-Окт-03
        
        Вопрос по ipfw,amlt, 10:45 , 22-Окт-03
        
        Вопрос по ipfw,mazaj, 11:48 , 23-Окт-03
        
        Вопрос по ipfw,amlt, 14:02 , 23-Окт-03
        
        Вопрос по ipfw,Yury Tarasievich, 16:27 , 24-Окт-03

Сообщения в этом обсуждении

"Вопрос по ipfw"
Отправлено mazaj , 16-Окт-03 13:19

>Так где все-таки надо указывать правила?
в /etc/defaults/rc.conf "сказано"
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
если ты хочешь "брать" правила из другого файла то в /etc/rc.conf
^^^^^^^^^^^^
напиши firewall_script="/etc/имя_твоего_фала"
>Может из-за этого не один сетвой сервис (DNS, SSН) не работают (вернее
>они работают только на машине на которой установлен sshd и named).
>
вообщето не мешало б почитать что-то вроде
http://www.unix.org.ua/orelly/networking/firewall/index.htm
а что касается настройки служб, конкретно
http://www.unix.org.ua/orelly/networking/firewall/ch08_01.htm

"Вопрос по ipfw"
Отправлено amlt , 16-Окт-03 13:33

>в /etc/defaults/rc.conf "сказано"
>
>firewall_script="/etc/rc.firewall" # Which script to run to set up the >firewall
>
>если ты хочешь "брать" правила из другого файла то в /etc/rc.conf
>напиши firewall_script="/etc/имя_твоего_фала"
Тогда вопрос, почему при firewall_script="/etc/rc.firewall правила брались из моего файла, т.е. #ipfw show выводил мои правила?
>а что касается настройки служб, конкретно
За ссылки спасибо.
Вопрос, если на машине с работающим на ней bind имена резолвятся (точно используя bind), то может быть так, что на машинах, у которых тот DNS прописан в настройках, dns не работает из-за неправильной настройки bind?
Аналогично с SSH и телнет?

"Вопрос по ipfw"
Отправлено dawnshade , 16-Окт-03 13:59

ИМХО правильней
firewall_script="/etc/fw4gateway" типа того и там уже писать.
будет меньше проблем с mergmaster

"Вопрос по ipfw"
Отправлено mazaj , 16-Окт-03 14:46

>Вопрос, если на машине с работающим на ней bind имена резолвятся (точно
>используя bind), то может быть так, что на машинах, у которых
>тот DNS прописан в настройках, dns не работает из-за неправильной настройки
>bind?
>Аналогично с SSH и телнет?
не понимаю вопрос :(

"Вопрос по ipfw"
Отправлено amlt , 16-Окт-03 15:03

>не понимаю вопрос :(

Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping amlt), то имя резолвится и пингуется. При этом для этого точно используется bind.
А с других нет. Кромене пинга вообще ничего.
Тоже самое с SSH и телнет, с машины на которой запущен sshd можно зайти по ssh на нее же, а с другой нет.
Первым правилом при этом стоит allow all from any to any.

"Вопрос по ipfw"
Отправлено mazaj , 16-Окт-03 15:12

>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping
>amlt), то имя резолвится и пингуется. При этом для этого точно
>используется bind.
>А с других нет. Кромене пинга вообще ничего.
>Тоже самое с SSH и телнет, с машины на которой запущен sshd
>можно зайти по ssh на нее же, а с другой нет.
>
>Первым правилом при этом стоит allow all from any to any.
давай больше данных!!
1. какие клиенты (юних или вин)...
2. попробуй telnet [server] 53 что выдает?
3. попробуй telnet [server] 22 что выдает?

"Вопрос по ipfw"
Отправлено amlt , 17-Окт-03 10:25

>1. какие клиенты (юних или вин)...
Win
>2. попробуй telnet [server] 53 что выдает?
>3. попробуй telnet [server] 22 что выдает?
Connection then refused

"Вопрос по ipfw"
Отправлено mazaj , 17-Окт-03 10:54

>>1. какие клиенты (юних или вин)...
>Win
>>2. попробуй telnet [server] 53   что выдает?
>>3. попробуй telnet [server] 22   что выдает?
>
>Connection then refused
Давай сюда инфу!
на серваке
ipfw sh
cat sshd_config
на клиенте (Вин2000) ipconfig /all , (Вин98)  ipcfg (помоему так - не помню)...

"Вопрос по ipfw"
Отправлено amlt , 20-Окт-03 12:40

>Давай сюда инфу!
>
>на серваке
>ipfw sh
000001 allow all ip from any to any
>cat sshd_config
# VersionAddenum        FreeBSD-20030201
    Port        22
    Protocol    2,1
# ListenAddress 0.0.0.0
# ListenAddress   : :
# HostKey for protocol version 1
# HostKey  /etc/ssh/ssh_host_key
# HostKey for protocol version 2
# HostKey  /etc/ssh/ssh_host_dsa_key
# Lifetime and size of ephemeral version 1 server key
# KeyRegenerationInterval 3600
# ServerKeyBits 768
# Logging
# obsoletes QuietMode and FascistLogging
   SysLogFacility  AUTH
   LogLevel     INFO
#Authentification:
   LoginGraceTime 600
   PermitRootLogin no
# StrictModes  yes
# RSAAuthentification yes
# AuthorizedKeysFile  .ssh/authorized_keys
# rhost authentification should not be used
# RhostsAuthentification no
# Don't read the user's ~/.rhosts and ~/.shosts files
# IgnoreRhosts  yes
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
# RhostsRSAAuthentification  no
# similar for protocol version 2
# HostbasedAuthentification  no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentification and Hostbased Authentification
# IgnoreUserKnownHosts  no
# To disable tunneled clear text passowords change to no here!
   PasswordAuthentification  yes
   PermitEmptyPasswords  no
# Change to no to disable PAM authentification
# ChallengeResponseAuthentifications  yes
# Kerberos options
# KerberosAuthentification  no
# KerberosOrLocalPasswd  yes
# KerberosTicketCleanUp  yes
# AFSTokenPassing  no
# Kerberos TGT Passing only works with the AFS kaserver
# KerberosTgtPassing  no
# X11Forwarding  yes
# X11DisplayOffset  10
# X11UseLocalhost  yes
# PrintMotd  yes
# PrintLastLog  yes
   KeepAlive  yes
   UseLogin  yes
# UsePrivelegeSeparation  yes
# PermitUserEnvironment  yes
# Compression  yes
# MaxStartup  10
# no default banner
# banner /some/path
# VerifyReverseMapping  no
# override default of no subsystems
   Subsystem sftp /usr/libexec/sftpserver
>на клиенте (Вин2000) ipconfig /all , (Вин98)  ipcfg (помоему так -
>не помню)...
Windows IP Configuration
        Host Name . . . . . . . . . . . . : amlt
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter Local Area Connection:
        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Intel(R) PRO/100+ Management Adapter
        Physical Address. . . . . . . . . : 00-02-B3-B2-53-06
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1
        DNS Servers . . . . . . . . . . . : 192.168.0.3

"Вопрос по ipfw"
Отправлено mazaj , 20-Окт-03 12:55

> Default Gateway . . . . . . . : 192.168.0.1
> DNS Servers . . . . . . . . . : 192.168.0.3
>
прежде чем начать думать.... ДНС правильно указан?

"Вопрос по ipfw"
Отправлено amlt , 20-Окт-03 13:00

>> Default Gateway . . . . . . . : 192.168.0.1
>> DNS Servers . . . . . . . . . : 192.168.0.3
>>
>
>прежде чем начать думать.... ДНС правильно указан?
Да, это одна и таже машина. 0.3 - алиас.

"Вопрос по ipfw"
Отправлено mazaj , 20-Окт-03 13:08

>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping
>amlt), то имя резолвится и пингуется. При этом для этого точно
>используется bind.
С чего ты взял что точно bind? Ты ж сам себя пингуешь! А имя в rc.conf указываешь.
>А с других нет. Кромене пинга вообще ничего.
>Тоже самое с SSH и телнет, с машины на которой запущен sshd
>можно зайти по ssh на нее же, а с другой нет.
Попробуй зайти по АйПи адресу получиться?

"Вопрос по ipfw"
Отправлено amlt , 20-Окт-03 14:13

>>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping
>>amlt), то имя резолвится и пингуется. При этом для этого точно
>>используется bind.
>С чего ты взял что точно bind? Ты ж сам себя пингуешь!
>А имя в rc.conf указываешь.
В DNS есть запись о машине amlt (win), а в /etc/hosts ее нет.
>>А с других нет. Кромене пинга вообще ничего.
>>Тоже самое с SSH и телнет, с машины на которой запущен sshd
>>можно зайти по ssh на нее же, а с другой нет.
>
>Попробуй зайти по АйПи адресу получиться?
В смысле telnet 192.168.0.1 ? Не работает.

"Вопрос по ipfw"
Отправлено mazaj , 20-Окт-03 15:06

>>>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping
>>>amlt), то имя резолвится и пингуется. При этом для этого точно
>>>используется bind.
>>С чего ты взял что точно bind? Ты ж сам себя пингуешь!
>>А имя в rc.conf указываешь.
>В DNS есть запись о машине amlt (win), а в /etc/hosts ее
>нет.
>
>>>А с других нет. Кромене пинга вообще ничего.
>>>Тоже самое с SSH и телнет, с машины на которой запущен sshd
>>>можно зайти по ssh на нее же, а с другой нет.
>>
>>Попробуй зайти по АйПи адресу получиться?
>
>В смысле telnet 192.168.0.1 ? Не работает.
блин, чувак у тебя похоже ничего не работает :(
купи себе книжку :-D

"Вопрос по ipfw"
Отправлено amlt , 22-Окт-03 10:45

>блин, чувак у тебя похоже ничего не работает :(
>купи себе книжку :-D
Есть.
Блин, ладно черт с ним с dns и ssh. Но телнет то должен работать. В книжке написано:
а) запустить inetd (в /etc/rc.conf inetd_enable="YES")
б) раскомментировать в /etc/inetd.conf строку с телнетом
Но если сказать telnet 192,168,0,1 c нее же, то работает. А с клиента нет.
#ipfw sh
00010 0 0 allow log logamount 10 ip from 192.168.0.2 to 192.168.0.1 via dc0
00020 0 0 allow log logamount 10 ip from 192.168.0.2 to 192.168.0.3 via dc0
00030 0 0 allow log logamount 10 ip from 192.168.0.1 to 192.168.0.2 via dc0
00040 0 0 allow log logamount 10 ip from 192.168.0.3 to 192.168.0.2 via dc0
01000 0 0 allow ip from any to any
65535 0 0 deny ip from any to any
В логе при этом строки:
Oct 21 23:20:02 ntamlt /kernel: ipfw: 20 Accept UDP 192.168.0.2:1040 192.168.0.3:53 in via dc0
Oct 21 23:20:02 ntamlt /kernel: ipfw: 40 Accept UDP 192.168.0.3:53 192.168.0.2:1040 out via dc0
Как я понял запрос от днс и ответ от него, который клиент не получает.
Oct 21 23:20:27 ntamlt /kernel: ipfw: 10 Accept TCP 192.168.0.2:1042 192.168.0.1:23 in via dc0
Oct 21 23:20:27 ntamlt /kernel: ipfw: 30 Accept TCP 192.168.0.1:23 192.168.0.2:1042 out via dc0
А это запрос и ответ на телнет, но при этом на клиенте:
Connecting To 192.168.0.1...Could not open connection to the host, on port 23: Connect failed
P.S. По поводу SSH в моем sshd_config ничего криминального нет?

"Вопрос по ipfw"
Отправлено mazaj , 23-Окт-03 11:48

хай ... тока вот появился... нучто решил проблему?

"Вопрос по ipfw"
Отправлено amlt , 23-Окт-03 14:02

>хай ... тока вот появился... нучто решил проблему?
Если бы :(

"Вопрос по ipfw"
Отправлено Yury Tarasievich , 24-Окт-03 16:27

>>хай ... тока вот появился... нучто решил проблему?
>
>Если бы :(
Короче:
- чтобы *вообще* стартовал файрвол, нужно firewall_enable="yes"
- тип файрвола *или* полный путь к файлу с командами указывается в параметре firewall_type
- тип файрвола "OPEN" означает, что активируются три команды (по дефолту попадают на номера 100, 200, 300), касающиеся localhost, и финальная разрешающая всё команда
- править rc.firewall *не* *надо* :)