Всем доброго времени суток! Помогите пож разобраться со следующей проблемой: Стоит фаервол со следующим конфигом

add fwd х.х.х.х,8484 tcp from any to х.х.х.х/у 8484 in via em0
add fwd х.х.х.х,8080 tcp from any to х.х.х.х/у 8080 in via em0
add allow tcp from any to х.х.х.х/у ssh in via em0 setup keep-state
add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0
setup keep-state
add allow tcp from х.х.х.х/у to any 49152-65535 keep-state
add deny all from any to any via em0
add deny log all from any to any via em0

При перезагрузке ipfw выдает что не понимает 443 порт, при замене в конфиге 443 на https, говорит, что не знает https:

Line 4: unrecognised option [-1] 443

Подскажите пожалуйста, в какую сторону копать!!!!
P/S: Я новичок в администрировании (выводы напрашиваются):)

• Firewall не понимает 443 порт,Nimdar, 18:53 , 07-Апр-09
  • Firewall не понимает 443 порт,Knyazmel, 10:23 , 08-Апр-09
    • Firewall не понимает 443 порт,tiv, 10:36 , 08-Апр-09
      • Firewall не понимает 443 порт,Knyazmel, 11:12 , 08-Апр-09
• Firewall не понимает 443 порт,newser, 10:42 , 08-Апр-09
  • Firewall не понимает 443 порт,Knyazmel, 10:54 , 08-Апр-09
  • Firewall не понимает 443 порт,Knyazmel, 11:14 , 08-Апр-09
    • Firewall не понимает 443 порт,newser, 11:39 , 08-Апр-09
      • Firewall не понимает 443 порт,Knyazmel, 11:52 , 08-Апр-09
    • Firewall не понимает 443 порт,бусик, 11:45 , 08-Апр-09
      • Firewall не понимает 443 порт,Knyazmel, 12:02 , 08-Апр-09
        • Firewall не понимает 443 порт,бусик, 12:10 , 08-Апр-09
          • Firewall не понимает 443 порт,tiv, 12:13 , 08-Апр-09
            • Firewall не понимает 443 порт,бусик, 12:15 , 08-Апр-09
          • Firewall не понимает 443 порт,Knyazmel, 12:16 , 08-Апр-09
            • Firewall не понимает 443 порт,бусик, 12:19 , 08-Апр-09
              • Firewall не понимает 443 порт,Knyazmel, 18:27 , 08-Апр-09
          • Firewall не понимает 443 порт,Knyazmel, 09:59 , 09-Апр-09
            • Firewall не понимает 443 порт,Knyazmel, 10:09 , 09-Апр-09
            • Firewall не понимает 443 порт,tiv, 10:10 , 09-Апр-09
              • Firewall не понимает 443 порт,Knyazmel, 17:26 , 09-Апр-09
                • Firewall не понимает 443 порт,tiv, 17:58 , 09-Апр-09
                  • Firewall не понимает 443 порт,Nimdar, 18:10 , 09-Апр-09
                    • Firewall не понимает 443 порт,Knyazmel, 18:31 , 09-Апр-09
                  • Firewall не понимает 443 порт,Knyazmel, 18:30 , 09-Апр-09
                    • Firewall не понимает 443 порт,tiv, 18:55 , 09-Апр-09
                      • Firewall не понимает 443 порт,Knyazmel, 13:37 , 10-Апр-09
                        • Firewall не понимает 443 порт,Knyazmel, 16:18 , 13-Апр-09

>[оверквотинг удален]
>add deny all from any to any via em0
>add deny log all from any to any via em0
>
>При перезагрузке ipfw выдает что не понимает 443 порт, при замене в
>конфиге 443 на https, говорит, что не знает https:
>
>Line 4: unrecognised option [-1] 443
>
>Подскажите пожалуйста, в какую сторону копать!!!!
>P/S: Я новичок в администрировании (выводы напрашиваются):)

man-ы читать.
Список портов/адресов разделяется запятыми.

>man-ы читать.
>Список портов/адресов разделяется запятыми.

Спасибо, что откликнулся ЧЕЛОВЕК!!!
Маны перечитаны! При перечислении портов через запятую, выдает ошибку на всю строку, а так ругается только на один порт!!! При раскладе представленным мной, пропускает всю строку не понимая один порт, а остальные ОТКРЫВАЕТ! Повторю вопрос: ПОЧЕМУ НЕ ПОНИМАЕТ ПОРТ 443???

проблему можно решить поставив 443 после ftp, те вот так,
add allow tcp from any to any http ftp 443 dns 8484 8080 ssh telnet out via em0
только тогда будет ругаться на ftp, но этоже уже не главное

>проблему можно решить поставив 443 после ftp, те вот так,
>add allow tcp from any to any http ftp 443 dns 8484
>8080 ssh telnet out via em0
>только тогда будет ругаться на ftp, но этоже уже не главное

Да, ты совершенно прав! Так и получилось:

Line 4: unrecognised option [-1] ftp

А почему так не подскажешь?

>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state

Перепишите строчку так:

add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0 setup keep-state

>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>
>Перепишите строчку так:
>
>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>setup keep-state

Ребята!!! Огромное спасибо за понимание, сейчас все попробую!

>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>
>Перепишите строчку так:
>
>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>setup keep-state

К сожалению не помогло! Все так же выдает, что не понимает 443 порт!

>>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>>
>>Перепишите строчку так:
>>
>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>setup keep-state
>
>К сожалению не помогло! Все так же выдает, что не понимает 443
>порт!

ipfw list покажите.

>[оверквотинг удален]
>>>
>>>Перепишите строчку так:
>>>
>>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>>setup keep-state
>>
>>К сожалению не помогло! Все так же выдает, что не понимает 443
>>порт!
>
>ipfw list покажите.

mail# ipfw list
00100 allow ip from any to any via lo0
00200 deny ip from any to х.х.х.х/у
00300 deny ip from х.х.х.х/у to any
00400 fwd х.х.х.х,8484 tcp from any to х.х.х.х dst-port 8484 in via em0
00500 fwd х.х.х.х,8080 tcp from any to х.х.х.х dst-port 8080 in via em0
00600 allow tcp from any to х.х.х.х dst-port 22 in via em0 setup keep-state
65535 deny ip from any to any

А при перезагрузке фаервола выдает:

Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to х.х.х.х/у
00300 deny ip from х.х.х.х/у to any
00400 fwd х.х.х.х,8484 tcp from any to х.х.х.х dst-port 8484 in via em0
00500 fwd х.х.х.х,8080 tcp from any to х.х.х.х dst-port 8080 in via em0
00600 allow tcp from any to х.х.х.х dst-port 22 in via em0 setup keep-state
Line 4: unrecognised option [-1] 443

Firewall rules loaded.
Firewall logging enabled.

>>>add allow tcp from any to any http 443 ftp dns 8484 8080 ssh telnet out via em0 setup keep-state
>>
>>Перепишите строчку так:
>>
>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>setup keep-state
>
>К сожалению не помогло! Все так же выдает, что не понимает 443
>порт!

Уберите из списка dns :)

>[оверквотинг удален]
>>>
>>>Перепишите строчку так:
>>>
>>>add allow tcp from any to any dst-port http,443,ftp,dns,8484,8080,ssh,telnet out via em0
>>>setup keep-state
>>
>>К сожалению не помогло! Все так же выдает, что не понимает 443
>>порт!
>
>Уберите из списка dns :)

Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!

>[оверквотинг удален]
>>>>setup keep-state
>>>
>>>К сожалению не помогло! Все так же выдает, что не понимает 443
>>>порт!
>>
>>Уберите из списка dns :)
>
>Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка
>убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!
>

а в чём? у меня:
ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
если убрать dns -- правило срабатывает

посмотрите /etc/services

>посмотрите /etc/services

да, вы правы,
cat /etc/services | grep 53
domain           53/tcp    #Domain Name Server
domain           53/udp    #Domain Name Server
заменил на domain - правило сохраняется.

>[оверквотинг удален]
>>>Уберите из списка dns :)
>>
>>Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка
>>убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!
>>
>
>а в чём? у меня:
>ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via
>em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
>если убрать dns -- правило срабатывает

У меня вчера таже беда была, убрал запятые, порты разделил пробелами, прописал dns в отдельную строку и все равно фаер ругается на 443 порт.

>[оверквотинг удален]
>>>
>>
>>а в чём? у меня:
>>ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via
>>em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
>>если убрать dns -- правило срабатывает
>
>У меня вчера таже беда была, убрал запятые, порты разделил пробелами, прописал
>dns в отдельную строку и все равно фаер ругается на 443
>порт.

uname -a?

я скопировал ваше правило и на тестовом стенде пробывал - всё, описанное мною выше прекрасно отрабатывает на
uname -a
FreeBSD mx.konnov.com 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4 #0: Sun Mar 22 12:35:36 UTC 2009     root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386

>[оверквотинг удален]
>>dns в отдельную строку и все равно фаер ругается на 443
>>порт.
>
>uname -a?
>
>я скопировал ваше правило и на тестовом стенде пробывал - всё, описанное
>мною выше прекрасно отрабатывает на
>uname -a
>FreeBSD mx.konnov.com 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4 #0: Sun Mar 22 12:35:36 UTC 2009
>    root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386

Извините дорогие, что долго не было, отлучался по делам! Вот вывод uname -а

mail# uname -a
FreeBSD mail.aktb.spb.ru 7.1-RELEASE FreeBSD 7.1-RELEASE #2: Thu Mar 26 18:35:10 MSK 2009     admin@mail.aktb.spb.ru:/usr/obj/usr/src/sys/MYKERNEL  i386

>[оверквотинг удален]
>>>Уберите из списка dns :)
>>
>>Спасибо за подсказку, но вопрос состоит не в этом! Dns из списка
>>убрал еще вчера и прописал в отдельной индентичной строчке, только UDP!
>>
>
>а в чём? у меня:
>ipfw add 65500 allow all from any to any http,443,ftp,8484,8080,ssh,telnet,dns out via
>em0 setup keep-state не отрабатывает, ipfw: unrecognised option [-1] http,443,ftp,8484,8080,ssh,telnet,dns
>если убрать dns -- правило срабатывает

Да! Вы оказались совершенно правы! На данный момент я убрал разделение пробелом а поставил запятые, и, так как dns уже в отдельной строчке, то данная строка прошла при перезагрузки. Два дня назад я просто сначала разделил порты пробелом и только потом убрал из строчки dns! Это и была моя главная ошибка. Теперь все исправил и получилось вот что:

add fwd х.х.х.х,8484 tcp from any to х.х.х.х/у 8484 in via em0
add fwd х.х.х.х,8080 tcp from any to х.х.х.х/у 8080 in via em0
add allow tcp from any to х.х.х.х/у ssh in via em0 setup keep-state
add allow tcp from any to any dst-port http,443,ftp,8484,8080,ssh,telnet out via em0 setup keep-state
add allow udp from any to any dns out via em0 setup keep-state
add allow tcp from х.х.х.х/24 to any 49152-65535 keep-state
add deny all from any to any via em0
add deny log all from any to any via em0

И опять же при перезагрузки он мне выдает ошибку, только ругается уже на dns:
Line 5: unrecognised option [-1] dns
Че ему надо-то опять?

>[оверквотинг удален]
>add allow udp from any to any dns out via em0 setup
>keep-state
>add allow tcp from х.х.х.х/24 to any 49152-65535 keep-state
>add deny all from any to any via em0
>add deny log all from any to any via em0
>
>И опять же при перезагрузки он мне выдает ошибку, только ругается уже
>на dns:
>Line 5: unrecognised option [-1] dns
>Че ему надо-то опять?

Ребята! Простите за дебелизм! Проблему решил, поменяв dns на 53!:)

P.S. Виноват, молодой, исправлюсь!:)

ну вы блин даете :)
ваш пост выше

cat /etc/services | grep 53
domain           53/tcp    #Domain Name Server
domain           53/udp    #Domain Name Server
заменил на domain - правило сохраняется.

>ну вы блин даете :)
>ваш пост выше
>
>cat /etc/services | grep 53
>domain           53/tcp
>   #Domain Name Server
>domain           53/udp
>   #Domain Name Server
>заменил на domain - правило сохраняется.

:)Я решил, что немного юмора на данном форуме не помешает!:)
Зачем менять на domain если можно просто поставить как в сервисах (т.е. 53), все одно, работает!!!
Только все равно у меня dns не пашет, не могу понять проблему, ковыряюсь в манах, но думаю, что проблема уже не в фаере, т.к. 53 открыл на вход и выход!

вот это правило неверное
add allow udp from any to any dns out via em0 setup keep-state
udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)

>вот это правило неверное
>add allow udp from any to any dns out via em0 setup
>keep-state
>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
http://www.freebsd.org/doc/en_US.ISO8859-1/articles/filterin...
http://www.openbsd.org/faq/pf/filter.html#udpstate

>>вот это правило неверное
>>add allow udp from any to any dns out via em0 setup
>>keep-state
>>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
>
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
>http://www.freebsd.org/doc/en_US.ISO8859-1/articles/filterin...
>http://www.openbsd.org/faq/pf/filter.html#udpstate

Большое спасибо за маны, буду ботать!:)
P.S. Я серьезно!!!

>вот это правило неверное
>add allow udp from any to any dns out via em0 setup
>keep-state
>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)

К сожалению не помогло!:( убрал флаги, но все также при попытке пропинговать яндекс или маил выдает:
ping: cannot resolve www.ya.ru: Host name lookup failure
хотя в resolv.conf ip прописаны!

>>вот это правило неверное
>>add allow udp from any to any dns out via em0 setup
>>keep-state
>>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
>
>К сожалению не помогло!:( убрал флаги, но все также при попытке пропинговать
>яндекс или маил выдает:
>ping: cannot resolve www.ya.ru: Host name lookup failure
>хотя в resolv.conf ip прописаны!

а если сбросить фаервол пингует?

>[оверквотинг удален]
>>>add allow udp from any to any dns out via em0 setup
>>>keep-state
>>>udp не делает предварительную установку соединения, поэтому никаких флагов SYN(setup)
>>
>>К сожалению не помогло!:( убрал флаги, но все также при попытке пропинговать
>>яндекс или маил выдает:
>>ping: cannot resolve www.ya.ru: Host name lookup failure
>>хотя в resolv.conf ip прописаны!
>
>а если сбросить фаервол пингует?

Все работало до того как я прописал правила в фаере, сейчас он мне не пинговал даже по ip, ну эту проблему я решил, открыв icmp в фаере на вход и выход! Но сейчас он че-то все равно не хочет пинговать по имени!((( Буду ковырять дальше!

>[оверквотинг удален]
>>>ping: cannot resolve www.ya.ru: Host name lookup failure
>>>хотя в resolv.conf ip прописаны!
>>
>>а если сбросить фаервол пингует?
>
>Все работало до того как я прописал правила в фаере, сейчас он
>мне не пинговал даже по ip, ну эту проблему я решил,
>открыв icmp в фаере на вход и выход! Но сейчас он
>че-то все равно не хочет пинговать по имени!((( Буду ковырять дальше!
>

Ребята! Проблема решена! Добавил правила следующего содержания:
add allow udp from any to me via em0
add allow udp from me to any via em0

Теперь пингуется не только по ip, но и по имени!:)