доброе утро. и сразу к делу: есть сервак под фрюху работает в качестве шлюза в НЕТ для локальки в нем настроенный прозрачный прокси сквид, выход во вне через мак-адреса, в нем также поднят VPN, ipsec с филиалами, встала задачка закрыт магент, поскольку это гнида работала даже у тех у кого нет доступа в НЕТ в сквиде, прописал в ipfw запрет выхода мимо прокси, перенаправил все через сквид таким образом
{fwcmd} add deny all from 192.168.0.0/24 to not me in via ${vnut_ip} где vnut_ip имя внутренной сет.карты, и так. Все ок, агент закрылся поскольку посути выход у него везде был мимо прокси, НО проблема в том что пропал пинг, удаленный доступ к другим сервакам которые имеют реальный адрес с той подсети что и данный шлюз, того же провайдера , и VPN туннел с филиалами поднятый на основе ipsec и системой FreeBSD тоже сел. Тепер запутался, что нужно сделать? помогите плиз, как можете, если можно то пожалуйста поподробнее, заранее СПАСИБО.

• FreeBSD 7.0+SQUID,Serjant, 09:54 , 08-Сен-11
  • FreeBSD 7.0+SQUID,DeadLoco, 10:49 , 08-Сен-11
    • FreeBSD 7.0+SQUID,Serjant, 11:22 , 08-Сен-11
      • FreeBSD 7.0+SQUID,golibshoh, 12:27 , 08-Сен-11
        • FreeBSD 7.0+SQUID,Serjant, 12:40 , 08-Сен-11
          • FreeBSD 7.0+SQUID,golibshoh, 12:47 , 08-Сен-11
            • FreeBSD 7.0+SQUID,Serjant, 12:53 , 08-Сен-11
              • FreeBSD 7.0+SQUID,golibshoh, 14:00 , 08-Сен-11
                • FreeBSD 7.0+SQUID,YuryD, 14:58 , 08-Сен-11
                  • FreeBSD 7.0+SQUID,Serjant, 15:47 , 08-Сен-11
                  • FreeBSD 7.0+SQUID,DeadLoco, 19:39 , 08-Сен-11
                    • FreeBSD 7.0+SQUID,YuryD, 07:12 , 09-Сен-11
                      • FreeBSD 7.0+SQUID,DeadLoco, 11:58 , 09-Сен-11
                        • FreeBSD 7.0+SQUID,YuryD, 12:19 , 09-Сен-11
                          • FreeBSD 7.0+SQUID,DeadLoco, 13:02 , 09-Сен-11
                            • FreeBSD 7.0+SQUID,YuryD, 13:35 , 09-Сен-11
                              • FreeBSD же,Andrey Mitrofanov, 14:33 , 09-Сен-11
            • FreeBSD 7.0+SQUID,bga83, 14:49 , 14-Сен-11

> прописал в ipfw запрет выхода мимо прокси, перенаправил все через сквид
> таким образом
> {fwcmd} add deny all from 192.168.0.0/24 to not me in via ${vnut_ip}
> где vnut_ip имя внутренной сет.карты

Этим правилом вы запретили весь транзитный трафик из подсети 192.168.0.0/24.
Ничего удивительного, что всё отвалилось :)

Да, а что такое "магент"?

> Да, а что такое "магент"?

Очевидно - майлру агент

>> Да, а что такое "магент"?
> Очевидно - майлру агент

И зачем его закрывать? Может имелся в ввиду спам-бот?

>>> Да, а что такое "магент"?
>> Очевидно - майлру агент
> И зачем его закрывать? Может имелся в ввиду спам-бот?

никакой спас-бот , просто руководству не понравилось , да и не моя это забота что и к чему, нам скащали мы выполняем, так если есть идеи то прошу на подиум, спасибо

>>>> Да, а что такое "магент"?
>>> Очевидно - майлру агент
>> И зачем его закрывать? Может имелся в ввиду спам-бот?
> никакой спас-бот , просто руководству не понравилось , да и не моя
> это забота что и к чему, нам скащали мы выполняем, так
> если есть идеи то прошу на подиум, спасибо

mailru="список_ip_адресов_mail.ru_через_запятую"
{fwcmd} add deny tcp from 192.168.0.0/24 to ${mailru} 2041,2042,443 in via ${vnut_ip}

>>>>> Да, а что такое "магент"?
>>>> Очевидно - майлру агент
>>> И зачем его закрывать? Может имелся в ввиду спам-бот?
>> никакой спас-бот , просто руководству не понравилось , да и не моя
>> это забота что и к чему, нам скащали мы выполняем, так
>> если есть идеи то прошу на подиум, спасибо
> mailru="список_ip_адресов_mail.ru_через_запятую"
> {fwcmd} add deny tcp from 192.168.0.0/24 to ${mailru} 2041,2042,443 in via ${vnut_ip}

ага, попробуя, кстати, а потом сам сайт откриватся будет или нет? ну так увидем после того как вечером сделаю, поскольку сервак шась неперезагрузить, а есть ли команда перезапуска самого файрвола?

>  ага, попробуя, кстати, а потом сам сайт откриватся будет или нет?
> ну так увидем после того как вечером сделаю, поскольку сервак шась
> неперезагрузить, а есть ли команда перезапуска самого файрвола?

Судя по приведённой строчке - это исполняемый скрипт. Просто запустить его. Но могут быть нюансы. Надо смотреть как всё реализовано. Всё на Ваш страх и риск ;)

> Судя по приведённой строчке - это исполняемый скрипт. Просто запустить его. Но
> могут быть нюансы. Надо смотреть как всё реализовано. Всё на Ваш
> страх и риск ;)

мда, значит так, наверняка пробовать буду на выходные и лучше всего на вертуалке, есть такая машинка идентичнаая шлюзу, что ответ буду писать в понедельник, так что вопрос пока ещё актуален, прошу на выход господа, будем и другие мнения выслушать

> мда, значит так, наверняка пробовать буду на выходные и лучше всего на
> вертуалке, есть такая машинка идентичнаая шлюзу, что ответ буду писать в
> понедельник, так что вопрос пока ещё актуален, прошу на выход господа,
> будем и другие мнения выслушать

Бояться экспериментов с ipfw не надо, достаточно просто явно указывать в скрипте номер правила, а в конце скрипта просто добавить sleep сколько_надо_секунд и ipfw del это правило.. Накосячили - правило убьется....

>  Бояться экспериментов с ipfw не надо, достаточно просто явно указывать в
> скрипте номер правила, а в конце скрипта просто добавить sleep сколько_надо_секунд
> и ipfw del это правило.. Накосячили - правило убьется....

В некоторых случаях скрипт может до конца и не сработать.
Например можно забыть поставить ключик -q в команде ipfw и при работе с удалённой консоли получить с закрытым файерволом много проблем.

>  Бояться экспериментов с ipfw не надо, достаточно просто явно указывать в
> скрипте номер правила, а в конце скрипта просто добавить sleep сколько_надо_секунд
> и ipfw del это правило.. Накосячили - правило убьется....

Это очень плохой совет!

В /usr/share/examples/ipfw лежит штатный скрипт change_rules.sh, который как раз и позволяет экспериментировать с правилами. А все остальное - от лукавого. Пока не научитесь.  

> В /usr/share/examples/ipfw лежит штатный скрипт change_rules.sh, который как раз и позволяет
> экспериментировать с правилами. А все остальное - от лукавого. Пока не
> научитесь.

Если вы его внимательно изучите, то поймете что он именно так и поступает :) И еще, я работаю с ipfw начиная с FreeBSD-2.2.8  :)

>  Если вы его внимательно изучите, то поймете что он именно так
> и поступает :)

Совершенно не так:

# Invoke this script to edit ${firewall_script}. It will call ${EDITOR},
# or vi(1) if the environment variable is not set, for you to edit
# ${firewall_script}, ask for confirmation, and then run
# ${firewall_script}. You can then examine the output of ipfw list and
# confirm whether you want the new version or not.
#
# If no answer is received in 30 seconds, the previous
# ${firewall_script} is run, restoring the old rules (this assumes ipfw
# flush is present in it).
#
# If the new rules are confirmed, they'll replace ${firewall_script} and
# the previous ones will be copied to ${firewall_script}.{date}. Mail
# will also be sent to root with a unified diff of the rule change.

> И еще, я работаю с ipfw начиная с FreeBSD-2.2.8  :)

Поздравляю. А я первый шлюз с файрволлом поднял на 2.1.5. Что дальше?

> Совершенно не так:

Что не так ? Сохраняются старые правила, редактируются, применяются, и если нет подтверждения что все ок(или таймайт 30 сек) то возвращаются старые... Я не настолько буен, чтобы редактировать все правила одновременно, а предпочитаю отладку по каждому отдельно и с логгированием, вот и все...

>> Совершенно не так:
>  Что не так?

Не так то, что ваша методика сработает только в простейших случаях. А в сложных можно прекрасно залочить ящик, удалив одно правило.

Штатный скрипт отключает не правила. Он полностью заменяет рабочую конфигурацию на тестовую, и в случае проблем откатывает на сохраненную целостную рабочую конфигурацию.

> Не так то, что ваша методика сработает только в простейших случаях. А
> в сложных можно прекрасно залочить ящик, удалив одно правило.

Я не использую автонумерацию. Не помещаю несколько правил с одним номером. Всегда точно знаю номер добавляемого правила. Любой сложный фаерволл состоит из простых правил. Ну и конечно - обдумывания :)

>  Я не использую автонумерацию. Не помещаю несколько правил с одним номером.
> Всегда точно знаю номер добавляемого правила. Любой сложный фаерволл состоит из
> простых правил. Ну и конечно - обдумывания :)

"Я никогда не ошибаюсь! Я ничего не пропускаю!! Я всё знаю!!!" - было бы логичным завершением пассажа и знаменовало бы Полную Победу. Да. </tag>

>[оверквотинг удален]
>>>>> Очевидно - майлру агент
>>>> И зачем его закрывать? Может имелся в ввиду спам-бот?
>>> никакой спас-бот , просто руководству не понравилось , да и не моя
>>> это забота что и к чему, нам скащали мы выполняем, так
>>> если есть идеи то прошу на подиум, спасибо
>> mailru="список_ip_адресов_mail.ru_через_запятую"
>> {fwcmd} add deny tcp from 192.168.0.0/24 to ${mailru} 2041,2042,443 in via ${vnut_ip}
>  ага, попробуя, кстати, а потом сам сайт откриватся будет или нет?
> ну так увидем после того как вечером сделаю, поскольку сервак шась
> неперезагрузить, а есть ли команда перезапуска самого файрвола?

Можно ведь менять правила через команду ipfw, не обращая вниманиена содержимое стартового скрипта фаервола. а то перезагрузка целиком сервера для применения новых правил - это уж слишком