URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 56476
[ Назад ]

Исходное сообщение
"Freebsd 'ipfw flush' перезагрузка правил"

Отправлено redduck , 15-Май-05 19:18 
FreeBSD 5.4 - удаленный сервер.
Если случайно, по неопытности удалить все правила firewall кроме стандартного(у меня стоит стандартное правило все закрыто по умолчанию) то удаленного доступа к серверу не будет, есть какой то стандартный способ (там опции ядра или настройки sysctl) что бы загружались правила firewall или надо скрипт писать и запускать его через cron?

Содержание

Сообщения в этом обсуждении
"Freebsd 'ipfw flush' перезагрузка правил"
Отправлено leopold , 16-Май-05 00:17 
Настой ttydX заранее. Не секюрно, но работает.



"Freebsd 'ipfw flush' перезагрузка правил"
Отправлено DerAlSem , 16-Май-05 12:02 
>FreeBSD 5.4 - удаленный сервер.
>Если случайно, по неопытности удалить все правила firewall кроме стандартного(у меня стоит
>стандартное правило все закрыто по умолчанию) то удаленного доступа к серверу
>не будет, есть какой то стандартный способ (там опции ядра или
>настройки sysctl) что бы загружались правила firewall или надо скрипт писать
>и запускать его через cron?

"Чтобы загружались правила" в каком случае? Раз в полчаса? Или при загрузке системы?

Вообще, сам подход "по неопытности флаш" сделать - это сильно. :)



"Freebsd 'ipfw flush' перезагрузка правил"
Отправлено 80286 20Mhz bez soprocessora , 16-Май-05 12:38 
даааааа
уже и сюда извраты проникли....

а мысль трезвая(?), что кронить фаера

я так пониимаю, что ИНОГДА можно сделать флушинг так просто.? вроде как вместо запуска мс? или у тебя баки_доры (со всеми баулами)? тогда и крон не спасёт :)

ЗЫ: кронь каждую минуту :8===)))


"Freebsd 'ipfw flush' перезагрузка правил"
Отправлено Brainbug , 16-Май-05 13:14 
>FreeBSD 5.4 - удаленный сервер.
>Если случайно, по неопытности удалить все правила firewall кроме стандартного(у меня стоит
>стандартное правило все закрыто по умолчанию) то удаленного доступа к серверу
>не будет, есть какой то стандартный способ (там опции ядра или
>настройки sysctl) что бы загружались правила firewall или надо скрипт писать
>и запускать его через cron?

Vi bi hot pro4itali i podumali 4to 4elovek napisal.
1. Server udalennij
2. Pri otladke pravil i o6ibke mozet vozniknut situacija, kogda
budet sdelan flush no novjie ne zagruzatca ili zagruzatca no budut
rabotat s o6ibkoi

Ja v takih situacijas eto delaju ispolzuja at i rezervnuju 100% rabo4uju
kopiju pravil dabi ne poterat sojedinenije dazhe pri neuda4noi zagruzke.
V princepe tozhe samoje 4to i cron.


"Freebsd 'ipfw flush' перезагрузка правил"
Отправлено Skif , 16-Май-05 13:56 
Я делаю таким образом.
сначала ipfw list > /usr/local/script/ipfw/ipfw.dump

потом что-то вроде этого
crontab /etc/crontab
*/5 * * * * * * root /usr/local/script/ipfw/restore.pl

Содержимое приблизительно следующее в /usr/local/script/ipfw/restore.pl

#!/usr/bin/perl -w

my $rule=`ipfw list`

if ($rule eq '65535 allow ip from any to any') {

open (F,"</usr/local/script/ipfw/ipfw.dump") || die "Can not open file $!";
my $line;
while ($line= <F>){
   system "ipfw add $line";
}
close(F)

}

Теперь поясню. Если скрипт обнаружит только одно правило запрета и ничего более в правилах ipfw, то онсчитает и последоваельно загрузит все правила, что были первоначально дампированны в /usr/local/script/ipfw/ipfw.dump .
ну и есно по крону выполняется раз в 5 минут.
Я ставлю подобный скрипт всегда, когда хочу побаловаться с правилами ipfw на удаленной машине.


"Freebsd 'ipfw flush' перезагрузка правил"
Отправлено newser , 16-Май-05 15:37 
>Я делаю таким образом.
>сначала ipfw list > /usr/local/script/ipfw/ipfw.dump
>
>потом что-то вроде этого
>crontab /etc/crontab
>*/5 * * * * * * root /usr/local/script/ipfw/restore.pl
>
>Содержимое приблизительно следующее в /usr/local/script/ipfw/restore.pl
>
>#!/usr/bin/perl -w
>
>my $rule=`ipfw list`
>
>if ($rule eq '65535 allow ip from any to any') {
>
>open (F,"</usr>my $line;
>while ($line= <F>){
>   system "ipfw add $line";
>}
>close(F)
>
>}
>
>Теперь поясню. Если скрипт обнаружит только одно правило запрета и ничего более
>в правилах ipfw, то онсчитает и последоваельно загрузит все правила, что
>были первоначально дампированны в /usr/local/script/ipfw/ipfw.dump .
>ну и есно по крону выполняется раз в 5 минут.
>Я ставлю подобный скрипт всегда, когда хочу побаловаться с правилами ipfw на
>удаленной машине.


Ага, а еще есть /usr/share/examples/ipfw/change_rules.sh, специально предназначенный для удаленной правки файрвола. Кстати, довольно удобная штука! :)