FreeBSD 5.4 - удаленный сервер.
Если случайно, по неопытности удалить все правила firewall кроме стандартного(у меня стоит стандартное правило все закрыто по умолчанию) то удаленного доступа к серверу не будет, есть какой то стандартный способ (там опции ядра или настройки sysctl) что бы загружались правила firewall или надо скрипт писать и запускать его через cron?
Настой ttydX заранее. Не секюрно, но работает.
>FreeBSD 5.4 - удаленный сервер.
>Если случайно, по неопытности удалить все правила firewall кроме стандартного(у меня стоит
>стандартное правило все закрыто по умолчанию) то удаленного доступа к серверу
>не будет, есть какой то стандартный способ (там опции ядра или
>настройки sysctl) что бы загружались правила firewall или надо скрипт писать
>и запускать его через cron?"Чтобы загружались правила" в каком случае? Раз в полчаса? Или при загрузке системы?
Вообще, сам подход "по неопытности флаш" сделать - это сильно. :)
даааааа
уже и сюда извраты проникли....а мысль трезвая(?), что кронить фаера
я так пониимаю, что ИНОГДА можно сделать флушинг так просто.? вроде как вместо запуска мс? или у тебя баки_доры (со всеми баулами)? тогда и крон не спасёт :)
ЗЫ: кронь каждую минуту :8===)))
>FreeBSD 5.4 - удаленный сервер.
>Если случайно, по неопытности удалить все правила firewall кроме стандартного(у меня стоит
>стандартное правило все закрыто по умолчанию) то удаленного доступа к серверу
>не будет, есть какой то стандартный способ (там опции ядра или
>настройки sysctl) что бы загружались правила firewall или надо скрипт писать
>и запускать его через cron?Vi bi hot pro4itali i podumali 4to 4elovek napisal.
1. Server udalennij
2. Pri otladke pravil i o6ibke mozet vozniknut situacija, kogda
budet sdelan flush no novjie ne zagruzatca ili zagruzatca no budut
rabotat s o6ibkoiJa v takih situacijas eto delaju ispolzuja at i rezervnuju 100% rabo4uju
kopiju pravil dabi ne poterat sojedinenije dazhe pri neuda4noi zagruzke.
V princepe tozhe samoje 4to i cron.
Я делаю таким образом.
сначала ipfw list > /usr/local/script/ipfw/ipfw.dumpпотом что-то вроде этого
crontab /etc/crontab
*/5 * * * * * * root /usr/local/script/ipfw/restore.plСодержимое приблизительно следующее в /usr/local/script/ipfw/restore.pl
#!/usr/bin/perl -w
my $rule=`ipfw list`
if ($rule eq '65535 allow ip from any to any') {
open (F,"</usr/local/script/ipfw/ipfw.dump") || die "Can not open file $!";
my $line;
while ($line= <F>){
system "ipfw add $line";
}
close(F)}
Теперь поясню. Если скрипт обнаружит только одно правило запрета и ничего более в правилах ipfw, то онсчитает и последоваельно загрузит все правила, что были первоначально дампированны в /usr/local/script/ipfw/ipfw.dump .
ну и есно по крону выполняется раз в 5 минут.
Я ставлю подобный скрипт всегда, когда хочу побаловаться с правилами ipfw на удаленной машине.
>Я делаю таким образом.
>сначала ipfw list > /usr/local/script/ipfw/ipfw.dump
>
>потом что-то вроде этого
>crontab /etc/crontab
>*/5 * * * * * * root /usr/local/script/ipfw/restore.pl
>
>Содержимое приблизительно следующее в /usr/local/script/ipfw/restore.pl
>
>#!/usr/bin/perl -w
>
>my $rule=`ipfw list`
>
>if ($rule eq '65535 allow ip from any to any') {
>
>open (F,"</usr>my $line;
>while ($line= <F>){
> system "ipfw add $line";
>}
>close(F)
>
>}
>
>Теперь поясню. Если скрипт обнаружит только одно правило запрета и ничего более
>в правилах ipfw, то онсчитает и последоваельно загрузит все правила, что
>были первоначально дампированны в /usr/local/script/ipfw/ipfw.dump .
>ну и есно по крону выполняется раз в 5 минут.
>Я ставлю подобный скрипт всегда, когда хочу побаловаться с правилами ipfw на
>удаленной машине.
Ага, а еще есть /usr/share/examples/ipfw/change_rules.sh, специально предназначенный для удаленной правки файрвола. Кстати, довольно удобная штука! :)