Помогите с параметрами сбора IPFW в ядре. Собираю так:
options IPFIREWALL
options DIVERT
options DUMMYNET

При работе через SSH, если запустить ./rc.firewall open или любой параметр, то комп тупо блочится, спасает резет.

Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
то все работает нормально, но в конце само добавляется правило
allow ip from any to any
и не могу закрыть все ненужное :(
в первом случае добавляется deny ip from any to any

есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет, ни разрешение? Чтобы можно было самому это добавлять - в скрипте.

• IPFW в FreeBSD - прошу хэлпа!!!,ws, 12:02 , 21-Июл-07
• IPFW в FreeBSD - прошу хэлпа!!!,Beavis, 12:57 , 21-Июл-07
  • IPFW в FreeBSD - прошу хэлпа!!!,netop, 22:13 , 22-Июл-07
    • IPFW в FreeBSD - прошу хэлпа!!!,crash, 02:28 , 23-Июл-07
• IPFW в FreeBSD - прошу хэлпа!!!,Александр, 09:36 , 23-Июл-07
  • IPFW в FreeBSD - прошу хэлпа!!!,netop, 20:50 , 23-Июл-07
    • IPFW в FreeBSD - прошу хэлпа!!!,muhlik, 21:11 , 23-Июл-07
      • IPFW в FreeBSD - прошу хэлпа!!!,netop, 22:08 , 23-Июл-07
        • IPFW в FreeBSD - прошу хэлпа!!!,hvosting, 01:57 , 24-Июл-07
• IPFW в FreeBSD - прошу хэлпа!!!,Serjant, 13:34 , 25-Июл-07

>[оверквотинг удален]
>
>Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
>то все работает нормально, но в конце само добавляется правило
>allow ip from any to any
>и не могу закрыть все ненужное :(
>в первом случае добавляется deny ip from any to any
>
>есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет,
>ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
>

Что-то ж должно быть по умолчанию в любых настройках! В ipfw это как раз выбирается опцией ядра options IPFIREWALL_DEFAULT_TO_ACCEPT.

В твоем случае смотри правила - правь под себя.

>[оверквотинг удален]
>
>Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
>то все работает нормально, но в конце само добавляется правило
>allow ip from any to any
>и не могу закрыть все ненужное :(
>в первом случае добавляется deny ip from any to any
>
>есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет,
>ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
>

Ты сам подумай, как может быть в конце НИЧЕГО?
Там либо все разрешено либо запрещено.
Это как раз и выбирается опцией ядра IPFIREWALL_DEFAULT_TO_ACCEPT
А чтобы все было понятно с правилами IPFW, настраивай все вручную (удали все записи из rc.firewall и делай все сам)
Инфы на opennet по ээтому поводу предостаточно:) юзай поиск

Можно как-нибудь при настроенном файрволе в DEFAULT_TO_ACCEPT, выполнить deny ip from any to any ?

Настраивал все вручную - раньше работало зашибись. Делал DEFAULT_TO_DENY и все отлично работало. PUTTY просто вылетала, а потом коннектишься заново и продолжаешь работать.
Не пойму что сейчас случилось, может быть из-за того что версия PUTTY другая? Настройки все теже остались, виснет тупо соединение и на комп уже никак не зайти. Правила все писал сам с нуля.
Вообщем "на гарячую" файрвол перезапустить нельзя, если я делаю изменения - нужно перезагружать сервер, иначе удаленно я на него уже не залезу. Ну это ж не выход :(

>Можно как-нибудь при настроенном файрволе в DEFAULT_TO_ACCEPT, выполнить deny ip from any
>to any ?

тогда смысл по умолчанию разрешать?

>Настраивал все вручную - раньше работало зашибись. Делал DEFAULT_TO_DENY и все отлично
>работало. PUTTY просто вылетала, а потом коннектишься заново и продолжаешь работать.
>
>Не пойму что сейчас случилось, может быть из-за того что версия PUTTY
>другая? Настройки все теже остались, виснет тупо соединение и на комп
>уже никак не зайти. Правила все писал сам с нуля.
>Вообщем "на гарячую" файрвол перезапустить нельзя, если я делаю изменения - нужно
>перезагружать сервер, иначе удаленно я на него уже не залезу. Ну
>это ж не выход :(

чтото вы делаете не так, потому как все нормально перегружается без перегрузке сервера и не завуисит от версии putty

ну у меня так:

в конвиге ядра добавлены опции

options         IPFIREWALL              # firewall                    
options         IPFIREWALL_VERBOSE      # enable logging to syslogd(8)
options         IPFIREWALL_VERBOSE_LIMIT=100    # limit verbosity    
options         IPFIREWALL_FORWARD      # packet destination changes  
options         IPDIVERT                # divert sockets              

в rc.conf соответственно стоит

firewall_enable="YES"              
firewall_script="/etc/rc.firewall"
firewall_type="OPEN"  
natd_enable="YES"    
natd_interface="fxp0"

вместо OPEN указываешь свой набор правил      

и никаких проблем с IPFW не возникало (ну если только с правилами иной раз чего нибудь нето сотворишь)    
если перелопатить все советы по IPFW в инете - получится тоже самое

>[оверквотинг удален]
>firewall_type="OPEN"
>natd_enable="YES"
>natd_interface="fxp0"
>
>вместо OPEN указываешь свой набор правил
>
>и никаких проблем с IPFW не возникало (ну если только с правилами
>иной раз чего нибудь нето сотворишь)
>если перелопатить все советы по IPFW в инете - получится тоже самое
>

У меня все так-же, и если я работаю на этой-же машине, то все нормально. А вот удаленно - при перезапуски правил файрвола она тупо блочится. Я думаю - правила тут не причем.

>У меня все так-же, и если я работаю на этой-же машине, то
>все нормально. А вот удаленно - при перезапуски правил файрвола она
>тупо блочится. Я думаю - правила тут не причем.

Мне кажется (под рукой нет фрюхи), если ты делаешь ./rc.firewall open (хотя как это можно сделать если файл не +x) то первым делом делается сброс всех правил и ты отваливаешься из-за этого, а дальше правила не грузятся так как отвалилась консоль, я перегружаю ifpw как положено ;-)
/etc/rc.d/ipfw restart
при это сначала ipfw вообще дизаблится (через sysctl) потом правила прописываются и потом включается обратно, все!!! ничего отвалиться не может ;-)

>>У меня все так-же, и если я работаю на этой-же машине, то
>>все нормально. А вот удаленно - при перезапуски правил файрвола она
>>тупо блочится. Я думаю - правила тут не причем.
>
>Мне кажется (под рукой нет фрюхи), если ты делаешь ./rc.firewall open (хотя
>как это можно сделать если файл не +x)

Я сделал его +х

> то первым делом
>делается сброс всех правил и ты отваливаешься из-за этого, а дальше
>правила не грузятся так как отвалилась консоль, я перегружаю ifpw как
>положено ;-)
>/etc/rc.d/ipfw restart
>при это сначала ipfw вообще дизаблится (через sysctl) потом правила прописываются и
>потом включается обратно, все!!! ничего отвалиться не может ;-)

Спасибочки!!! Попробую сегодня, правда пересобрать ядро заново придется, думаю что все получится!!!

При удаленной работе с IPFW рекомендую
a - работать в скринах (/usr/ports/sysutils/screen)

b - всегда во время работы держать запущенный shutdown -r +10
    когда время уже подпирает пристреливать его по killall  shutdown
    и запускать опять, пока работа с IPFW не закончится.
    
с - редактировать при этом сразу те скрипты, что будут отрабатываться автоматически
    при   перезагрузке системы вредно для здоровья.

>[оверквотинг удален]
>
>Если собираю: options IPFIREWALL_DEFAULT_TO_ACCEPT
>то все работает нормально, но в конце само добавляется правило
>allow ip from any to any
>и не могу закрыть все ненужное :(
>в первом случае добавляется deny ip from any to any
>
>есть какой-то параметр, чтобы в конце не добавлялось автоматом ничего: ни запрет,
>ни разрешение? Чтобы можно было самому это добавлять - в скрипте.
>

При  работе по ssh правила надо добавля с ключём -q
Этот ключ подавляет вербозный, который и вешает всё.
Правила-то сброшены, ssh отвалился (так как осталось только одно правило, запрещающее всё), вывод информации делать некуда.