URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81771
[ Назад ]

Исходное сообщение
"Обновление правил ipfw без перезагрузки системы."

Отправлено jovanny , 31-Авг-08 20:37 
Здравствуйте у меня совсем ламерский вопрос. Я специально переобрал ядро freebsd без опции
IPFIREWALL_DEFAULT_TO_ACCEPT. Но кажды раз когда я соединяюсь по ssh, меняю правила брэндмауэра, я запускаю скрипт первой строкой которого идет очистка правил ipfw -f flush, а затем сами измененные правила.
Типа:
ipfw -f flush
ipfw add allow ip from .....
ipfw add allow tcp from .....
ipfw add allow udp from .....

Соответственно меня выкидывает - обрубается ssh соедеинение.
Вопрос. Как сделать так чтобы ssh соединение не обрывадлось и правила для брэндмауэра обновлялись?


Содержание

Сообщения в этом обсуждении
"Обновление правил ipfw без перезагрузки системы."
Отправлено Av , 31-Авг-08 20:56 
>[оверквотинг удален]
>flush, а затем сами измененные правила.
>Типа:
>ipfw -f flush
>ipfw add allow ip from .....
>ipfw add allow tcp from .....
>ipfw add allow udp from .....
>
>Соответственно меня выкидывает - обрубается ssh соедеинение.
>Вопрос. Как сделать так чтобы ssh соединение не обрывадлось и правила для
>брэндмауэра обновлялись?

1. nohup
2. в /usr/share/ipfw (как-то так...) есть скрипт для этих целей


"Обновление правил ipfw без перезагрузки системы."
Отправлено Pahanivo , 31-Авг-08 21:00 
гыгы ))

cd /etc
./netstart &
(если у тя конечно настройки фаревола прописаны в /etc/rc.firewall)
& -  ключевая опция )



"Обновление правил ipfw без перезагрузки системы."
Отправлено parad , 31-Авг-08 23:38 
а по ебалу за такие рекомендации?

"Обновление правил ipfw без перезагрузки системы."
Отправлено Pahanivo , 01-Сен-08 08:18 
>а по ебалу за такие рекомендации?

Обоснуй.
Что тебе не понравилось в моих рекомендациях? А?

P.S. За базаром следи - не у себя в Быдлянске на ламке семки лущишь.


"Обновление правил ipfw без перезагрузки системы."
Отправлено parad , 01-Сен-08 15:18 
1) Не разбираешься в теме - не советуй.
2) netstart - стартер; для перезапуска и других приблуд есть управляющие скрипты из /etc/rc.d/*. При использовании netstart велика вероятность получить недоступную по сети машину. Учитывая первый пункт и ответы даваемые тобой в других темах, я, собственно хотел сконцентрировать твое внимание на самОм первом пункте, подкрепив эмоциональным словом ЕБАЛО. Таккже напомнить о существовании документации, развивающихся вместе с ПО, к которым оно прилагается (большенство из них доступно на русском языке). ))

WBR!


"Обновление правил ipfw без перезагрузки системы."
Отправлено Pahanivo , 01-Сен-08 17:22 
)))))
1) Ради прикола загляние хоть раз внутрь /etc/netstart )
да он - абсолетед - но тем неменее он работает
2) Ради прикола я процитирую пару строк их
  /etc/netstart :
...
/etc/rc.d/isdnd start
/etc/rc.d/ppp start
/etc/rc.d/ipfw start
/etc/rc.d/ip6fw start
/etc/rc.d/network_ipv6 start
...
3) И в чем отличие от твоего способа? )))
4) К томуже я предлагал запускать с параметром & на конце - ты же спесиалист сматрю ниебатся - наверно сам догадался зачем )))
5) Да, люблю пописать херню в форуме - давно уже хожу сюда прикалываться, иба к сожелению делать тут практически нечего, слишком много таких умных как ты ))
6) Пусть будет ЕБАЛО - я вырос в отдаленном районе - с гопотой большой опыт общения )))
7) И тебе удачи.
Best regards,
Yeballo )



"Обновление правил ipfw без перезагрузки системы."
Отправлено parad , 31-Авг-08 22:56 
Почти никак. Т.к. ты используешь конструкцию keep-state - check-state (может быть), фаервол сохраняет твое подключение в виде динамически созданного правила. При выполнение команды ipfw -f flush все правила трутся, включая динамические, и как следствие обрывается связь - недозагружаются правила. Для корректного перезапуска фаерволла используй /etc/rc.d/ipfw restart - он перед выполнение скрипта дизактивирует сам фаервол, что позволяет создать правила без обрыва связи, а еще лучше /usr/share/examples/ipfw/...sh - скрипт позволяет редактировать и применять правила, так что в случае, если по ошибки ты где-то накосячил и не можешь переподключиться, он в течении 30 секунд вернет предыдущие правила (обязательно использование утилиты screen).

"Обновление правил ipfw без перезагрузки системы."
Отправлено Дмитрий , 20-Июн-10 13:50 
Обновлять правила ipfw можно.
Вот так:
ipfw - flush; /bin/sh /etc/rc.firewall &
сами понимаете без амперсанда в конце строки, при подобной перезагрузке правил останетесь без связи с удаленной машиной. Вместо '/etc/rc.firewall' должен быть другой скрипт, если он увас отличается от стандартного.

С уважением ;)