forum.opennet.ru - "IPFW" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPFW"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPFW"
Сообщение от argun on 03-Май-02, 20:52 (MSK)
Уважаемый народ! Как сохранить записи в IPFW, потому как после ребута все мои творчества исчезают, остается только строка deny from all to all? Cпасибо!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: IPFW, Dima, 22:52 , 03-Май-02, (1)
- RE: IPFW, argun, 13:41 , 04-Май-02, (2)
  - RE: IPFW, vs, 11:24 , 05-Май-02, (3)
    - RE: IPFW, Dima, 14:44 , 05-Май-02, (4)
    - RE: IPFW, ChHan, 05:36 , 06-Май-02, (5)
Возвращаясь к IPFW, argun, 13:49 , 06-Май-02, (6)
- RE: Возвращаясь к IPFW, Dima, 20:51 , 06-Май-02, (7)
  - RE: Возвращаясь к IPFW, argun, 21:30 , 06-Май-02, (8)
    - RE: Возвращаясь к IPFW, Dima, 02:32 , 07-Май-02, (9)
    - RE: Возвращаясь к IPFW, СhHan, 05:16 , 07-Май-02, (10)
      - RE: Возвращаясь к IPFW, Garry, 10:54 , 07-Май-02, (11)
        
        RE: Возвращаясь к IPFW, argun, 20:03 , 07-Май-02, (13)
      - RE: Возвращаясь к IPFW, argun, 11:48 , 07-Май-02, (12)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: IPFW"

Сообщение от Dima on 03-Май-02, 22:52  (MSK)

Записывай в файл rc.conf
firewall_type="filename"
firewall_script="/etc/FIREWALL.conf"
firewall_enable="YES"
FIREWALL.conf
/sbin/ipfw -f flush
...
...
/sbin/ipfw add 65000 pass all from any to any
строка 65535  0  0 deny ip from any to any
вставляется автоматом.
в зависимости от опции при компиляции ядра.
Вот и все записи.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: IPFW"

Сообщение от argun on 04-Май-02, 13:41  (MSK)

Спасибо, помогло!

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: IPFW"

Сообщение от vs on 05-Май-02, 11:24  (MSK)

Комп заработает при таких настройках, а
firewall? ведь все разрешено? Хотелось бы
поподробнее - как запретить например ICMP?
и открыть только нужние порты, как прописать динамический IP, (все доки про
сервер с выделенным IP)
Спасибо

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: IPFW"

Сообщение от Dima on 05-Май-02, 14:44  (MSK)

>Комп заработает при таких настройках, а
>firewall? ведь все разрешено? Хотелось бы
>поподробнее - как запретить например ICMP?
>и открыть только нужние порты, как
>прописать динамический IP, (все доки
>про сервер с выделенным IP)
ну так запрещай,
я же нарисовал "..." для этого.
не ужто ты думаешь что человеку надо было написать правило фильтрации моей машины ???
вставь в цепочу такую строку
/sbin/ipfw add 300 reject log udp from xxx.xxx.xxx.0/24 to any 27015 via ed0
и у тебя появляется правило запрещающий узерам сидеть и играть в CS или во все, что ходит по UDP на порт 27015.
и так далее.
все остальное разрешено.
Можно и на оборот не добавлять Правило "все разрешено", а соответсвенно разрешать все по ходу цепочки.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: IPFW"

Сообщение от ChHan on 06-Май-02, 05:36  (MSK)

>поподробнее - как запретить например ICMP?
>
>и открыть только нужние порты, как
для icmp, например:
ipfw add deny icmp from any to any
для 22 порта, например, при установлении соединения:
ipfw add pass tcp from any to any 22 setup

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Возвращаясь к IPFW"

Сообщение от argun on 06-Май-02, 13:49  (MSK)

Простите за неопытность, но у меня возник еще вопрос по той же теме.
есть рулез
add fwd 127.0.0.1,3128 tcp from any to any http in via xl0
а затем
add pass all from any to any
при проверке с помощью ipfw -a list, вижу, что на первом счетчики нулевые, т.е. рулез не работает, хотя с циски пакеты перекидываются

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Возвращаясь к IPFW"

Сообщение от Dima on 06-Май-02, 20:51  (MSK)

>>add pass all from any to
>any
>
>при проверке с помощью ipfw -a
>list, вижу, что на первом
>счетчики нулевые, т.е. рулез не
>работает, хотя с циски пакеты
>перекидываются
А у тебя IP на сетевой карте какое стоит ???
127.0.0.1 ???
или всетаки какое-то нормальное.
netstat -nr в студию тогда

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Возвращаясь к IPFW"

Сообщение от argun on 06-Май-02, 21:30  (MSK)

>>>add pass all from any to
>>any
>>
>>при проверке с помощью ipfw -a
>>list, вижу, что на первом
>>счетчики нулевые, т.е. рулез не
>>работает, хотя с циски пакеты
>>перекидываются
>А у тебя IP на сетевой
>карте какое стоит ???
>127.0.0.1 ???
>или всетаки какое-то нормальное.
>netstat -nr в студию тогда

IP на карте-то нормальный, просто forward внутри одной и той же машины.
Вопрос в другом: Где теряются пакеты - на пути от циски к BSD-машине или же внутри? Судя по IP packet debugging  на циске, оттуда они уходят.
Есть ли в BSD способ их как-то увидеть??

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Возвращаясь к IPFW"

Сообщение от Dima on 07-Май-02, 02:32  (MSK)

так а зачем ты пишешь тогда ipfw 127.0.0.1 ???
пиши именно тот IP и все увидешь.
в инет ты идешь именно через xlo или что там у тебя, а пишешь совсем другое.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Возвращаясь к IPFW"

Сообщение от СhHan on 07-Май-02, 05:16  (MSK)

>>>>add pass all from any to
>>>any
>>>
>>>при проверке с помощью ipfw -a
>>>list, вижу, что на первом
>>>счетчики нулевые, т.е. рулез не
>>>работает, хотя с циски пакеты
>>>перекидываются
>>А у тебя IP на сетевой
>>карте какое стоит ???
>>127.0.0.1 ???
>>или всетаки какое-то нормальное.
>>netstat -nr в студию тогда
>
>
>IP на карте-то нормальный, просто forward
>внутри одной и той же
>машины.
>Вопрос в другом: Где теряются пакеты
>- на пути от циски
>к BSD-машине или же внутри?
>Судя по IP packet debugging
> на циске, оттуда они
>уходят.
>Есть ли в BSD способ их
>как-то увидеть??
Да, попробуй не fwd 127.0.0.1, а адрес сетевой карточки. А посмотреть потом куда пакеты ходят, можно попробовать, например trafshow или уже там что-то вроде tcpdump...

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Возвращаясь к IPFW"

Сообщение от Garry on 07-Май-02, 10:54  (MSK)

Вот это поможет если я правильно понял, что ты хочешь сделать прозрачный прокси :)
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Возвращаясь к IPFW"

Сообщение от argun on 07-Май-02, 20:03  (MSK)

>Вот это поможет если я правильно
>понял, что ты хочешь сделать
>прозрачный прокси :)
>fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to
>any 80

Именно это я и пытаюсь сделать и,как выясняется, проблема не в IPFW (тут все работает). Но благодарю всех за проявленное внимание.
Так вот, судя по дебагам, сама циска пакеты не редиректит. Не могу понять почему

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Возвращаясь к IPFW"

Сообщение от argun on 07-Май-02, 11:48  (MSK)

>Да, попробуй не fwd 127.0.0.1, а
>адрес сетевой карточки.
Адрес сетевой карты ставить, похоже, нельзя, потому что сквид перестает работать и ругается, что возник loop.
Но спасибо за trafshow и tcpdump, я убедился, что форвардинг работает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: IPFW"
Сообщение от Dima on 03-Май-02, 22:52 (MSK)
Записывай в файл rc.conf firewall_type="filename" firewall_script="/etc/FIREWALL.conf" firewall_enable="YES" FIREWALL.conf /sbin/ipfw -f flush ... ... /sbin/ipfw add 65000 pass all from any to any строка 65535 0 0 deny ip from any to any вставляется автоматом. в зависимости от опции при компиляции ядра. Вот и все записи.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: IPFW"
	Сообщение от argun on 04-Май-02, 13:41 (MSK)
	Спасибо, помогло!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: IPFW"
	Сообщение от vs on 05-Май-02, 11:24 (MSK)
	Комп заработает при таких настройках, а firewall? ведь все разрешено? Хотелось бы поподробнее - как запретить например ICMP? и открыть только нужние порты, как прописать динамический IP, (все доки про сервер с выделенным IP) Спасибо
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: IPFW"
	Сообщение от Dima on 05-Май-02, 14:44 (MSK)
	>Комп заработает при таких настройках, а >firewall? ведь все разрешено? Хотелось бы >поподробнее - как запретить например ICMP? >и открыть только нужние порты, как >прописать динамический IP, (все доки >про сервер с выделенным IP) ну так запрещай, я же нарисовал "..." для этого. не ужто ты думаешь что человеку надо было написать правило фильтрации моей машины ??? вставь в цепочу такую строку /sbin/ipfw add 300 reject log udp from xxx.xxx.xxx.0/24 to any 27015 via ed0 и у тебя появляется правило запрещающий узерам сидеть и играть в CS или во все, что ходит по UDP на порт 27015. и так далее. все остальное разрешено. Можно и на оборот не добавлять Правило "все разрешено", а соответсвенно разрешать все по ходу цепочки.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: IPFW"
	Сообщение от ChHan on 06-Май-02, 05:36 (MSK)
	>поподробнее - как запретить например ICMP? > >и открыть только нужние порты, как для icmp, например: ipfw add deny icmp from any to any для 22 порта, например, при установлении соединения: ipfw add pass tcp from any to any 22 setup
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "Возвращаясь к IPFW"
Сообщение от argun on 06-Май-02, 13:49 (MSK)
Простите за неопытность, но у меня возник еще вопрос по той же теме. есть рулез add fwd 127.0.0.1,3128 tcp from any to any http in via xl0 а затем add pass all from any to any при проверке с помощью ipfw -a list, вижу, что на первом счетчики нулевые, т.е. рулез не работает, хотя с циски пакеты перекидываются
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Возвращаясь к IPFW"
	Сообщение от Dima on 06-Май-02, 20:51 (MSK)
	>>add pass all from any to >any > >при проверке с помощью ipfw -a >list, вижу, что на первом >счетчики нулевые, т.е. рулез не >работает, хотя с циски пакеты >перекидываются А у тебя IP на сетевой карте какое стоит ??? 127.0.0.1 ??? или всетаки какое-то нормальное. netstat -nr в студию тогда
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Возвращаясь к IPFW"
	Сообщение от argun on 06-Май-02, 21:30 (MSK)
	>>>add pass all from any to >>any >> >>при проверке с помощью ipfw -a >>list, вижу, что на первом >>счетчики нулевые, т.е. рулез не >>работает, хотя с циски пакеты >>перекидываются >А у тебя IP на сетевой >карте какое стоит ??? >127.0.0.1 ??? >или всетаки какое-то нормальное. >netstat -nr в студию тогда IP на карте-то нормальный, просто forward внутри одной и той же машины. Вопрос в другом: Где теряются пакеты - на пути от циски к BSD-машине или же внутри? Судя по IP packet debugging на циске, оттуда они уходят. Есть ли в BSD способ их как-то увидеть??
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Возвращаясь к IPFW"
	Сообщение от Dima on 07-Май-02, 02:32 (MSK)
	так а зачем ты пишешь тогда ipfw 127.0.0.1 ??? пиши именно тот IP и все увидешь. в инет ты идешь именно через xlo или что там у тебя, а пишешь совсем другое.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Возвращаясь к IPFW"
	Сообщение от СhHan on 07-Май-02, 05:16 (MSK)
	>>>>add pass all from any to >>>any >>> >>>при проверке с помощью ipfw -a >>>list, вижу, что на первом >>>счетчики нулевые, т.е. рулез не >>>работает, хотя с циски пакеты >>>перекидываются >>А у тебя IP на сетевой >>карте какое стоит ??? >>127.0.0.1 ??? >>или всетаки какое-то нормальное. >>netstat -nr в студию тогда > > >IP на карте-то нормальный, просто forward >внутри одной и той же >машины. >Вопрос в другом: Где теряются пакеты >- на пути от циски >к BSD-машине или же внутри? >Судя по IP packet debugging > на циске, оттуда они >уходят. >Есть ли в BSD способ их >как-то увидеть?? Да, попробуй не fwd 127.0.0.1, а адрес сетевой карточки. А посмотреть потом куда пакеты ходят, можно попробовать, например trafshow или уже там что-то вроде tcpdump...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Возвращаясь к IPFW"
	Сообщение от Garry on 07-Май-02, 10:54 (MSK)
	Вот это поможет если я правильно понял, что ты хочешь сделать прозрачный прокси :) fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any 80
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: Возвращаясь к IPFW"
	Сообщение от argun on 07-Май-02, 20:03 (MSK)
	>Вот это поможет если я правильно >понял, что ты хочешь сделать >прозрачный прокси :) >fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to >any 80 Именно это я и пытаюсь сделать и,как выясняется, проблема не в IPFW (тут все работает). Но благодарю всех за проявленное внимание. Так вот, судя по дебагам, сама циска пакеты не редиректит. Не могу понять почему
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: Возвращаясь к IPFW"
	Сообщение от argun on 07-Май-02, 11:48 (MSK)
	>Да, попробуй не fwd 127.0.0.1, а >адрес сетевой карточки. Адрес сетевой карты ставить, похоже, нельзя, потому что сквид перестает работать и ругается, что возник loop. Но спасибо за trafshow и tcpdump, я убедился, что форвардинг работает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх