URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82303
[ Назад ]

Исходное сообщение
"проблема при перепримении правил ipfw"
Отправлено VArtem , 07-Окт-08 22:41

Есть файл со списком правил /etc/firewall.sh
При применении - все работает отлично, все рутится, шейпится и т.д.
В какой-то момент когда я даю на переприменение этих правил(после того как внехз какие-то изменения в файл), бывает такое, что задача исполнения файла подвисает и никакие пакеты уже никуда не ходят. Лечится перезагрузкой, потом опять можно вызывать этот файл до тех пор пока на каком-то вызове файла опять не будет таже история. В логах появляются след. записи:
Oct  7 21:30:23 gw1 kernel: ipfw: ouch!, skip past end of rules, denying pack
Oct  7 21:30:23 gw1 kernel: et
Oct  7 21:30:23 gw1 kernel:
Oct  7 21:30:23 gw1 kernel: ipfw: ouch!, skip past end of rules, denying packet
Oct  7 21:30:23 gw1 last message repeated 12 times
Oct  7 21:30:47 gw1 su: artem to root on /dev/ttyp1
Oct  7 21:31:19 gw1 reboot: rebooted by artem
Oct  7 21:31:19 gw1 syslogd: exiting on signal 15
Oct  7 21:32:48 gw1 syslogd: kernel boot file is /boot/kernel/kernel
Oct  7 21:32:48 gw1 kernel: allow ip from table(0) to 192.168.0.49
Oct  7 21:32:48 gw1 savecore: no dumps found

Содержание

проблема при перепримении правил ipfw,butcher, 10:14 , 08-Окт-08
- проблема при перепримении правил ipfw,VArtem, 10:56 , 08-Окт-08
  - проблема при перепримении правил ipfw,butcher, 12:52 , 08-Окт-08
проблема при перепримении правил ipfw,wtf, 18:50 , 08-Окт-08
- проблема при перепримении правил ipfw,VArtem, 20:34 , 09-Окт-08

Сообщения в этом обсуждении

"проблема при перепримении правил ipfw"
Отправлено butcher , 08-Окт-08 10:14

>Есть файл со списком правил /etc/firewall.sh
>При применении - все работает отлично, все рутится, шейпится и т.д.
>
>В какой-то момент когда я даю на переприменение этих правил(после того как
>внехз какие-то изменения в файл), бывает такое, что задача исполнения файла
>подвисает и никакие пакеты уже никуда не ходят. Лечится перезагрузкой, потом
>опять можно вызывать этот файл до тех пор пока на каком-то
>вызове файла опять не будет таже история. В логах появляются след.
>записи:
Почитайте про применение скрипта /usr/share/examples/ipfw/change_rules.sh

"проблема при перепримении правил ipfw"
Отправлено VArtem , 08-Окт-08 10:56

В принципе этот скрипт защищает от случайного вызова функции переприменения правил и оповещает пользователя по почте. Ничего другого в его коде я не нашел. Здесь же у меня проблема с ядром, по всей видимости. Самое что интересное, что тот же список правил безотказно работал на предыдущем сервере с FreeBSD v6.1. Сейчас у меня 7.0

"проблема при перепримении правил ipfw"
Отправлено butcher , 08-Окт-08 12:52

>В принципе этот скрипт защищает от случайного вызова функции переприменения правил и
>оповещает пользователя по почте. Ничего другого в его коде я не
>нашел. Здесь же у меня проблема с ядром, по всей
>видимости. Самое что интересное, что тот же список правил безотказно работал
>на предыдущем сервере с FreeBSD v6.1. Сейчас у меня 7.0
Этот скрипт, в принципе, защищает вас от потери доступа к серверу, если у вас ошибки в правилах.

"проблема при перепримении правил ipfw"
Отправлено wtf , 08-Окт-08 18:50

>Oct  7 21:30:23 gw1 kernel: ipfw: ouch!, skip past end of
>rules, denying pack
>Oct  7 21:30:23 gw1 kernel: et
>Oct  7 21:30:23 gw1 kernel:
>Oct  7 21:30:23 gw1 kernel: ipfw: ouch!, skip past end of
>rules, denying packet
>Oct  7 21:30:23 gw1 last message repeated 12 times
Такое происходит при выстановлении этого параметра в 0
/sbin/sysctl net.inet.ip.fw.one_pass=0
Т.е. когда пакет проходит через все правила фаервола.
В момент перезапуска скрипта он у вас скорее всего флушит все правила, пайпы и очереди в результате появляются пакеты которые не знают куда заворачивать, если таких пакетов много ядро уходит в паник :-)

"проблема при перепримении правил ipfw"
Отправлено VArtem , 09-Окт-08 20:34

спасибо. скорее всего проблема в этом