forum.opennet.ru - "Гуру, подтолкните меня, что то заклинило (правила ipfw) :(" (30)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Гуру, подтолкните меня, что то заклинило (правила ipfw) :("

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Гуру, подтолкните меня, что то заклинило (правила ipfw) :("
Сообщение от kitkat on 04-Мрт-03, 12:12 (MSK)
Смысл таков, что есть внешний mail server стоит у прова, и надо дать пользователям доступ только к нему, а руководству к любым почтовым серверам. У меня стоит FREE BSD c двумы интерфейсами, поднят nat и ipfw, пишу ${mail} - ip-шник мейл сервера ${oip} - ip-шник внешей сетевой карточки ${oif} - внешний интерфейс Разрешаем соединения только с определенным мейл серваком ${fwcmd} add 200 pass tcp from any to any established ${fwcmd} add 830 pass tcp from ${oip} to ${mail} 25 out via ${oif} Получается что можно управлять только внешним интерфейсом, ибо остальным занимается nat, подкиньте идею а? Митт
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Гуру, подтолкните меня, что то заклинило (правила ipfw) ..., A Clockwork Orange, 13:42 , 04-Мрт-03, (1)
- RE: Гуру, подтолкните меня, что то заклинило (правила ipfw) ..., kitkat, 15:49 , 04-Мрт-03, (2)
  - Короче все опят свелось к внешнему интерефейсу ;(, kitkat, 16:00 , 04-Мрт-03, (3)
    - RE: Короче все опят свелось к внешнему интерефейсу ;(, A Clockwork Orange, 16:39 , 04-Мрт-03, (4)
      - RE: Короче все опят свелось к внешнему интерефейсу ;(, LinaS, 17:18 , 04-Мрт-03, (5)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, A Clockwork Orange, 17:37 , 04-Мрт-03, (6)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, LinaS, 17:47 , 04-Мрт-03, (8)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, A Clockwork Orange, 17:53 , 04-Мрт-03, (10)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, LinaS, 18:15 , 04-Мрт-03, (13)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, A Clockwork Orange, 18:28 , 04-Мрт-03, (17)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, LinaS, 17:54 , 04-Мрт-03, (11)
      - RE: Короче все опят свелось к внешнему интерефейсу ;(, kitkat, 17:44 , 04-Мрт-03, (7)
        
        RE: Короче все опят свелось к внешнему интерефейсу ;(, A Clockwork Orange, 17:47 , 04-Мрт-03, (9)
        
        Уффф, вроде как заработало ;) , kitkat, 18:11 , 04-Мрт-03, (12)
        
        RE: Уффф, вроде как заработало ;) , LinaS, 18:18 , 04-Мрт-03, (14)
        
        Ну правила я написал как мне советовал молодой человек, т.е., kitkat, 18:41 , 04-Мрт-03, (23)
        
        RE: Уффф, вроде как заработало ;) , LinaS, 18:20 , 04-Мрт-03, (15)
        
        RE: Уффф, вроде как заработало ;) , A Clockwork Orange, 18:26 , 04-Мрт-03, (16)
        
        RE: Уффф, вроде как заработало ;) , lavr, 18:29 , 04-Мрт-03, (18)
        
        RE: Уффф, вроде как заработало ;) , A Clockwork Orange, 18:34 , 04-Мрт-03, (19)
        
        RE: Уффф, вроде как заработало ;) , LinaS, 18:37 , 04-Мрт-03, (21)
        
        Говорит вот что - , kitkat, 18:37 , 04-Мрт-03, (20)
        
        RE: Говорит вот что - , lavr, 18:40 , 04-Мрт-03, (22)
        
        RE: Говорит вот что - , kitkat, 18:50 , 04-Мрт-03, (25)
        
        RE: Говорит вот что - , СергейКа, 23:42 , 04-Мрт-03, (30)
        
        RE: Говорит вот что - , LinaS, 18:47 , 04-Мрт-03, (24)
        
        Я так делал - тоже самое что и в первам случае..., kitkat, 18:52 , 04-Мрт-03, (26)
        
        RE: Я так делал - тоже самое что и в первам случае..., LinaS, 19:01 , 04-Мрт-03, (27)
        
        RE: Я так делал - тоже самое что и в первам случае..., pavel, 21:38 , 04-Мрт-03, (28)
        RE: Я так делал - тоже самое что и в первам случае..., Tin, 22:02 , 04-Мрт-03, (29)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Гуру, подтолкните меня, что то заклинило (правила ipfw) ..."

Сообщение от A Clockwork Orange on 04-Мрт-03, 13:42  (MSK)

>Смысл таков, что есть внешний mail server стоит у прова, и надо
>дать пользователям доступ только к нему, а руководству к любым почтовым
>серверам. У меня стоит FREE BSD c двумы интерфейсами, поднят nat
>и ipfw,
>пишу
>
>${mail} - ip-шник мейл сервера
>${oip}  - ip-шник внешей сетевой карточки
>${oif}  - внешний интерфейс
>Разрешаем соединения только с определенным мейл серваком
>
>${fwcmd} add 200 pass tcp from any to any established
>${fwcmd} add 830 pass tcp from ${oip} to ${mail} 25 out via
>${oif}
>
>Получается что можно управлять только внешним интерфейсом, ибо остальным занимается nat, подкиньте
>идею а?
>
>Митт

${fwcmd} add 200 pass tcp from any to any established
${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in via ${iif} setup
${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in via ${iif} setup
${fwcmd} add 880 deny tcp from any to any 25 in via $(iif)setup

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Гуру, подтолкните меня, что то заклинило (правила ipfw) ..."

Сообщение от kitkat on 04-Мрт-03, 15:49  (MSK)

>${fwcmd} add 200 pass tcp from any to any established
>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in
>via ${iif} setup
>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in
>via ${iif} setup
>${fwcmd} add 880 deny tcp from any to any 25 in via
>$(iif)setup

тишина =(
и получаем в логах ipfw Mar
4 15:40:51 /kernel: ipfw: 65000 Deny TCP 192.168.120.3:2082 194.247.134.141:25 out via xl0
Правда у меня есть еще одна строчка в ipfw вида
${fwcmd} add 300 pass all from any to any via ${iif}
может в ней дело?
Митт

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от kitkat on 04-Мрт-03, 16:00  (MSK)

;(

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от A Clockwork Orange on 04-Мрт-03, 16:39  (MSK)

>;(
Ясен пень
Гляди за порядком правил, нам же не виден весь твой фаервол
${fwcmd} add 200 pass tcp from any to any established
${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in via ${iif} setup
${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in via ${iif} setup
${fwcmd} add 890 deny tcp from any to any 25 in via $(iif)setup
${fwcmd} add 900 pass all from any to any via ${iif}

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от LinaS on 04-Мрт-03, 17:18  (MSK)

>>;(
>Ясен пень
>Гляди за порядком правил, нам же не виден весь твой фаервол
>
>${fwcmd} add 200 pass tcp from any to any established
>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in
>via ${iif} setup
>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in
>via ${iif} setup
>${fwcmd} add 890 deny tcp from any to any 25 in via
>$(iif)setup
>${fwcmd} add 900 pass all from any to any via ${iif}
а divert то у тебя где?
ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25 in via ${iif} setup
ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25 in via ${iif} setup
ipfw add 400 deny tcp from any to any 25 via ${iif} setup
ipfw add 1000 divert ip from any to any via ${oif}
ipfw add 1100 pass tcp from any to any established
как то так

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от A Clockwork Orange on 04-Мрт-03, 17:37  (MSK)

>>>;(
>>Ясен пень
>>Гляди за порядком правил, нам же не виден весь твой фаервол
>>
>>${fwcmd} add 200 pass tcp from any to any established
>>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in
>>via ${iif} setup
>>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in
>>via ${iif} setup
>>${fwcmd} add 890 deny tcp from any to any 25 in via
>>$(iif)setup
>>${fwcmd} add 900 pass all from any to any via ${iif}
>
>а divert то у тебя где?
>
>ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25
>in via ${iif} setup
>ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25
>in via ${iif} setup
>ipfw add 400 deny tcp from any to any 25 via ${iif}
>setup
>ipfw add 1000 divert ip from any to any via ${oif}
>ipfw add 1100 pass tcp from any to any established
>
>как то так
Лина, как это работает ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от LinaS on 04-Мрт-03, 17:47  (MSK)

>>а divert то у тебя где?
>>
>>ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25
>>in via ${iif} setup
>>ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25
>>in via ${iif} setup
>>ipfw add 400 deny tcp from any to any 25 via ${iif}
>>setup
>>ipfw add 1000 divert ip from any to any via ${oif}
>>ipfw add 1100 pass tcp from any to any established
>>
>>как то так
>
>Лина, как это работает ?
в смысле? :)
все что идет из локалки с частными адресами в инет (если оно разрешено) должно попасть на divert, тк эти адреса не маршрутизируются в инете.
С другой стороны, определить ОТ какого адреса идет пакет из локалки в инет можно только ДО divert'a (ДО того, как адрес источника будет заменен на реальный внешнего интерфейса). Потом они все будут иметь один адрес источника.
Поэтому разрешать/запрещать соединения из локалки в инет нужно до правила с divert.
НО: если их именно разрешить (pass, allow, accept), эти пакеты не попадут к natd и отправятся в интернет в неизмененном виде с адресами источника из немаршрутизируемых диапазонов.
skipto решает эту проблему - пакеты "перескакивают" через запрещающее правило, при этом продолжают идти дальше по списку правил.
вроде так :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от A Clockwork Orange on 04-Мрт-03, 17:53  (MSK)

Лин, с чего ты взяла что не попадут.
Пакет проходит через внутренний инетрфейс и проверяется.
Если пропустить.
Идет дальше и на внешним уже дивертится.
Если запретить.
Откидывается.

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от LinaS on 04-Мрт-03, 18:15  (MSK)

>Лин, с чего ты взяла что не попадут.
>
>Пакет проходит через внутренний инетрфейс и проверяется.
>Если пропустить.
>Идет дальше и на внешним уже дивертится.
>Если запретить.
>Откидывается.
может быть ты и прав
у меня без skipto не работает, а на внешнем интерфейсе гуляют пакеты с частными адресами
возможно если поиграться всякими recv, xmit и прочими, то можно будет добиться желаемого как то еще
в мане по ipfw написано, что пакет проходит файрволл 2 раза (если пакет форвардится) - как входящий и как исходящий. В этом ключ.
Напиши тогда свой вариант?
PS: но divert то нужен ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от A Clockwork Orange on 04-Мрт-03, 18:28  (MSK)

>>Лин, с чего ты взяла что не попадут.
>>
>>Пакет проходит через внутренний инетрфейс и проверяется.
>>Если пропустить.
>>Идет дальше и на внешним уже дивертится.
>>Если запретить.
>>Откидывается.
>
>может быть ты и прав
>у меня без skipto не работает, а на внешнем интерфейсе гуляют пакеты
>с частными адресами
>возможно если поиграться всякими recv, xmit и прочими, то можно будет добиться
>желаемого как то еще
>в мане по ipfw написано, что пакет проходит файрволл 2 раза (если
>пакет форвардится) - как входящий и как исходящий. В этом ключ.
>
>Напиши тогда свой вариант?
>PS: но divert то нужен ;)

Где то я еще слышал что три раза проверяется пакет.
1. В момент прихода на интерфейс.
2. В момент покидания и прохода на другой.
3. В момент покидания интерфейса.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от LinaS on 04-Мрт-03, 17:54  (MSK)

>>>;(
>>Ясен пень
>>Гляди за порядком правил, нам же не виден весь твой фаервол
>>
>>${fwcmd} add 200 pass tcp from any to any established
>>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in
>>via ${iif} setup
>>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in
>>via ${iif} setup
>>${fwcmd} add 890 deny tcp from any to any 25 in via
>>$(iif)setup
>>${fwcmd} add 900 pass all from any to any via ${iif}
>
>а divert то у тебя где?
>
>ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25
>in via ${iif} setup
>ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25
>in via ${iif} setup
>ipfw add 400 deny tcp from any to any 25 via ${iif}
>setup
>ipfw add 1000 divert ip from any to any via ${oif}
>ipfw add 1100 pass tcp from any to any established
>
>как то так
кстати сорри, divert natd ip from any to any
и natd дб запущен

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от kitkat on 04-Мрт-03, 17:44  (MSK)

>>;(
>Ясен пень
^^^^^^^^^^^^^^^^^
Я прошу прощения , а то к чему относится?
>Гляди за порядком правил, нам же не виден весь твой фаервол
>${fwcmd} add 200 pass tcp from any to any established
>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in
>via ${iif} setup
>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in
>via ${iif} setup
>${fwcmd} add 890 deny tcp from any to any 25 in via
>$(iif)setup
>${fwcmd} add 900 pass all from any to any via ${iif}
Для меня не совсем понятно как эта связка работает ;(
Сделал, вообще тишина даже к тому к чему нужно не пробится все режется на правиле
00860  14  672 deny tcp from any to any 25 in recv xl2 setup
И в логах ipfw вообще не видно обращений к 25-му порту
:(
вот чёрт, не знал я что это может столько проблем составить ;(
Митт

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Короче все опят свелось к внешнему интерефейсу ;("

Сообщение от A Clockwork Orange on 04-Мрт-03, 17:47  (MSK)

>>>;(
>>Ясен пень
>^^^^^^^^^^^^^^^^^
>Я прошу прощения , а то к чему относится?
>>Гляди за порядком правил, нам же не виден весь твой фаервол
>
>>${fwcmd} add 200 pass tcp from any to any established
>>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in
>>via ${iif} setup
>>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in
>>via ${iif} setup
>>${fwcmd} add 890 deny tcp from any to any 25 in via
>>$(iif)setup
>>${fwcmd} add 900 pass all from any to any via ${iif}
>
>Для меня не совсем понятно как эта связка работает ;(
>
>Сделал, вообще тишина даже к тому к чему нужно не пробится все
>режется на правиле
>00860  14  672 deny tcp from any to any 25
>in recv xl2 setup
>И в логах ipfw вообще не видно обращений к 25-му порту
>:(
>
>вот чёрт, не знал я что это может столько проблем составить ;(
>
>
>Митт

покажи все правила

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Уффф, вроде как заработало ;) "

Сообщение от kitkat on 04-Мрт-03, 18:11  (MSK)

Правда не очень нравится что строчка
${fwcmd} add 900 pass all from any to any via ${iif}
в самом конце, вроде как ей место в самом начале, но главное оно заработало, правда физику процесса не поняль совсем ;(
Есть тут еще вопрос, я записал все правила в файлик сделал его исполняемым и при изменении запускаю его и новые правила вступают в силу, вот только я это делаю с консоли, а удаленно по ssh не получается, выкидывает терминал, а на серваке пишет ssh fatal error etc... и не доконца подгружает правила, и строчка в rc.conf firewall_type="/etc/myfirewall" почему то отказывается работать ;(

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Уффф, вроде как заработало ;) "

Сообщение от LinaS on 04-Мрт-03, 18:18  (MSK)

>Правда не очень нравится что строчка
>${fwcmd} add 900 pass all from any to any via ${iif}
>в самом конце, вроде как ей место в самом начале, но главное
>оно заработало, правда физику процесса не поняль совсем ;(
>
>Есть тут еще вопрос, я записал все правила в файлик сделал его
>исполняемым и при изменении запускаю его и новые правила вступают в
>силу, вот только я это делаю с консоли, а удаленно по
>ssh не получается, выкидывает терминал, а на серваке пишет ssh fatal
об этом в man ipfw написано %)
в скриптах используй опцию -q когда делаешь flush
>error etc... и не доконца подгружает правила, и строчка в rc.conf
>firewall_type="/etc/myfirewall" почему то отказывается работать ;(
>
отказывается каким образом?
что говорит?

Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "Ну правила я написал как мне советовал молодой человек, т.е."

Сообщение от kitkat on 04-Мрт-03, 18:41  (MSK)

${fwcmd} add 100 divert natd all from any to any via ${oif}
${fwcmd} add 200 pass tcp from any to any established
${fwcmd} add 300 pass all from any to any via lo0
${fwcmd} add 400 deny ip from 127.0.0.0/8 to any
${fwcmd} add deny ip from any to 127.0.0.0/8
${fwcmd} add 500 deny icmp from any to any frag
${fwcmd} add 600 pass ICMP from any to any
${fwcmd} add 840 pass tcp from 192.168.5.71 to any 25 in via ${iif} setup
${fwcmd} add 850 pass tcp from 192.168.5.70 to ${mail} in via ${iif} setup
${fwcmd} add 860 deny tcp from any to any 25 in via ${iif} setup
${fwcmd} add 870 pass tcp from ${oip} to any 25 out via ${oif}
${fwcmd} add 9000 pass all from any to any via ${iif}
${fwcmd} add 65000 deny log logamount 1000 all from any to any
вот такие правила, вроде навыкусывал корректно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Уффф, вроде как заработало ;) "

Сообщение от LinaS on 04-Мрт-03, 18:20  (MSK)

как сделал то покажи
всем интересно :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Уффф, вроде как заработало ;) "

Сообщение от A Clockwork Orange on 04-Мрт-03, 18:26  (MSK)

>как сделал то покажи
>всем интересно :)

Лина, твоя очередь)
rc.firewall &
так под bash не сработает

/bin/sh rc.firewall &
И еще вариант с nohup где то тут
/bin/sh rc.firewall &
Покажи все же свои правила, инетересно

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "RE: Уффф, вроде как заработало ;) "

Сообщение от lavr on 04-Мрт-03, 18:29  (MSK)

>>как сделал то покажи
>>всем интересно :)
>
>
>Лина, твоя очередь)
>
>rc.firewall &
>так под bash не сработает
>
>
>/bin/sh rc.firewall &
>
>И еще вариант с nohup где то тут
>/bin/sh rc.firewall &
>
>Покажи все же свои правила, инетересно
давай LinaS, показывай :)))
ps. ls -la /etc/rc.firewall - это что? с какой стати rc.firewall &
должно работать?

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "RE: Уффф, вроде как заработало ;) "

Сообщение от A Clockwork Orange on 04-Мрт-03, 18:34  (MSK)

>>>как сделал то покажи
>>>всем интересно :)
>>
>>
>>Лина, твоя очередь)
>>
>>rc.firewall &
>>так под bash не сработает
>>
>>
>>/bin/sh rc.firewall &
>>
>>И еще вариант с nohup где то тут
>>/bin/sh rc.firewall &
>>
>>Покажи все же свои правила, инетересно
>
>давай LinaS, показывай :)))
>
>ps. ls -la /etc/rc.firewall - это что? с какой стати rc.firewall &
>
>должно работать?

Говорит, что сделал скрипт исолняемым... я предположит что скрипт есть /etc/rc.firewall

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "RE: Уффф, вроде как заработало ;) "

Сообщение от LinaS on 04-Мрт-03, 18:37  (MSK)

>>как сделал то покажи
>>всем интересно :)
>
>
>Лина, твоя очередь)
>
>rc.firewall &
>так под bash не сработает
>
так нет, ибо неисполняемый и в начале нет интерпретатора
#!/bin/sh
или какой хочется
у меня:
linas@mail:~> cat /etc/rc.conf.local | grep firewall
firewall_enable="YES"
firewall_script="/etc/firewall/fw.conf"
на rc.conf.local просьба внимания не обращать
linas@mail:~> ls -l /etc/firewall/fw.conf
-rw-r--r--  1 root  wheel  6194 Feb 13 10:41 /etc/firewall/fw.conf
те неисполняемый
linas@mail:~> cat /etc/firewall/fw.conf | grep '#!'
linas@mail:~>
интерпретатор не задан
>
>/bin/sh rc.firewall &
>
>И еще вариант с nohup где то тут
>/bin/sh rc.firewall &
>
я серьезно, смотрите в ман насчет опции -q

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Говорит вот что - "

Сообщение от kitkat on 04-Мрт-03, 18:37  (MSK)

sshd[264]: fatal: Write failed: Permission denied
Это когда я из путти пытаюсь обновить правила, путем наступания на соотв фийл в миднайт коммандере.
Митт

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "RE: Говорит вот что - "

Сообщение от lavr on 04-Мрт-03, 18:40  (MSK)

>sshd[264]: fatal: Write failed: Permission denied
>
>Это когда я из путти пытаюсь обновить правила, путем наступания на соотв
>фийл в миднайт коммандере.
>
>Митт
делать надо из SHELL'а чтобы видеть что происходить и какие ошибки,
чтобы понять твои проблемы надо знать ЧТО и КАК ты написал, тогда
можно подсказать ЧТО сделать для загрузки их автоматом

Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "RE: Говорит вот что - "

Сообщение от kitkat on 04-Мрт-03, 18:50  (MSK)

lavr: - тя меня не понял, это он пишет на консоле
>>sshd[264]: fatal: Write failed: Permission denied
когда я из шела пытаюсь обновить эти правила, т.е. он не может передать процесс применеия этих правил уделенно на экран моего терминала, так как путти сам сидит на 22 порту.
Митт

Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "RE: Говорит вот что - "

Сообщение от СергейКа on 04-Мрт-03, 23:42  (MSK)

>когда я из шела пытаюсь обновить эти правила, т.е. он не может
>передать процесс применеия этих правил уделенно на экран моего терминала, так
>как путти сам сидит на 22 порту.
>
>Митт
Правельно - нечего рубить сук на котором сидишь.
Я делаю проще ipfw add 100, а потом ipfw delete 100 и т.д.

Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "RE: Говорит вот что - "

Сообщение от LinaS on 04-Мрт-03, 18:47  (MSK)

>sshd[264]: fatal: Write failed: Permission denied
>
>Это когда я из путти пытаюсь обновить правила, путем наступания на соотв
>фийл в миднайт коммандере.
>
>Митт
ну я и говорю - используй -q
демонстрирую
linas# cat /usr/local/test.sh
ipfw flush
ipfw add 10 pass ip from any to any
linas#
те вариант без -q
linas# sh /usr/local/test.sh
Are you sure? [yn] yWrite failed: Permission denied
Connection to 172.19.200.20 closed by remote host.
Connection to 172.19.200.20 closed.
дубль два
linas# cat /usr/local/test.sh
ipfw -q flush
ipfw add 10 pass ip from any to any
linas#
те вариант с -q
linas# sh /usr/local/test.sh
00010 allow ip from any to any
linas#
те все ок :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "Я так делал - тоже самое что и в первам случае..."

Сообщение от kitkat on 04-Мрт-03, 18:52  (MSK)

;( И опять надо идти к консоле и загружать оттуда ;(

Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "RE: Я так делал - тоже самое что и в первам случае..."

Сообщение от LinaS on 04-Мрт-03, 19:01  (MSK)

>;( И опять надо идти к консоле и загружать оттуда ;(
ок
тогда навесь эту задачу в cron и подожди
или все правила в твоем скрипте пиши с -q
ipfw -q add ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "RE: Я так делал - тоже самое что и в первам случае..."

Сообщение от pavel on 04-Мрт-03, 21:38  (MSK)

nohup /bin/sh /etc/rc.firewall
Это есть в мане от ipfw

Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "RE: Я так делал - тоже самое что и в первам случае..."

Сообщение от Tin on 04-Мрт-03, 22:02  (MSK)

>>;( И опять надо идти к консоле и загружать оттуда ;(
>
>ок
>тогда навесь эту задачу в cron и подожди
>или все правила в твоем скрипте пиши с -q
>ipfw -q add ...
Проще в /etc/rc.conf
firewall_quiet="YES"
будет то же самое

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Гуру, подтолкните меня, что то заклинило (правила ipfw) ..."
Сообщение от A Clockwork Orange on 04-Мрт-03, 13:42 (MSK)
>Смысл таков, что есть внешний mail server стоит у прова, и надо >дать пользователям доступ только к нему, а руководству к любым почтовым >серверам. У меня стоит FREE BSD c двумы интерфейсами, поднят nat >и ipfw, >пишу > >${mail} - ip-шник мейл сервера >${oip} - ip-шник внешей сетевой карточки >${oif} - внешний интерфейс >Разрешаем соединения только с определенным мейл серваком > >${fwcmd} add 200 pass tcp from any to any established >${fwcmd} add 830 pass tcp from ${oip} to ${mail} 25 out via >${oif} > >Получается что можно управлять только внешним интерфейсом, ибо остальным занимается nat, подкиньте >идею а? > >Митт ${fwcmd} add 200 pass tcp from any to any established ${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in via ${iif} setup ${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in via ${iif} setup ${fwcmd} add 880 deny tcp from any to any 25 in via $(iif)setup
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Гуру, подтолкните меня, что то заклинило (правила ipfw) ..."
	Сообщение от kitkat on 04-Мрт-03, 15:49 (MSK)
	>${fwcmd} add 200 pass tcp from any to any established >${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in >via ${iif} setup >${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in >via ${iif} setup >${fwcmd} add 880 deny tcp from any to any 25 in via >$(iif)setup тишина =( и получаем в логах ipfw Mar 4 15:40:51 /kernel: ipfw: 65000 Deny TCP 192.168.120.3:2082 194.247.134.141:25 out via xl0 Правда у меня есть еще одна строчка в ipfw вида ${fwcmd} add 300 pass all from any to any via ${iif} может в ней дело? Митт
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от kitkat on 04-Мрт-03, 16:00 (MSK)
	;(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от A Clockwork Orange on 04-Мрт-03, 16:39 (MSK)
	>;( Ясен пень Гляди за порядком правил, нам же не виден весь твой фаервол ${fwcmd} add 200 pass tcp from any to any established ${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in via ${iif} setup ${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in via ${iif} setup ${fwcmd} add 890 deny tcp from any to any 25 in via $(iif)setup ${fwcmd} add 900 pass all from any to any via ${iif}
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от LinaS on 04-Мрт-03, 17:18 (MSK)
	>>;( >Ясен пень >Гляди за порядком правил, нам же не виден весь твой фаервол > >${fwcmd} add 200 pass tcp from any to any established >${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in >via ${iif} setup >${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in >via ${iif} setup >${fwcmd} add 890 deny tcp from any to any 25 in via >$(iif)setup >${fwcmd} add 900 pass all from any to any via ${iif} а divert то у тебя где? ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25 in via ${iif} setup ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25 in via ${iif} setup ipfw add 400 deny tcp from any to any 25 via ${iif} setup ipfw add 1000 divert ip from any to any via ${oif} ipfw add 1100 pass tcp from any to any established как то так
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от A Clockwork Orange on 04-Мрт-03, 17:37 (MSK)
	>>>;( >>Ясен пень >>Гляди за порядком правил, нам же не виден весь твой фаервол >> >>${fwcmd} add 200 pass tcp from any to any established >>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in >>via ${iif} setup >>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in >>via ${iif} setup >>${fwcmd} add 890 deny tcp from any to any 25 in via >>$(iif)setup >>${fwcmd} add 900 pass all from any to any via ${iif} > >а divert то у тебя где? > >ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25 >in via ${iif} setup >ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25 >in via ${iif} setup >ipfw add 400 deny tcp from any to any 25 via ${iif} >setup >ipfw add 1000 divert ip from any to any via ${oif} >ipfw add 1100 pass tcp from any to any established > >как то так Лина, как это работает ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от LinaS on 04-Мрт-03, 17:47 (MSK)
	>>а divert то у тебя где? >> >>ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25 >>in via ${iif} setup >>ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25 >>in via ${iif} setup >>ipfw add 400 deny tcp from any to any 25 via ${iif} >>setup >>ipfw add 1000 divert ip from any to any via ${oif} >>ipfw add 1100 pass tcp from any to any established >> >>как то так > >Лина, как это работает ? в смысле? :) все что идет из локалки с частными адресами в инет (если оно разрешено) должно попасть на divert, тк эти адреса не маршрутизируются в инете. С другой стороны, определить ОТ какого адреса идет пакет из локалки в инет можно только ДО divert'a (ДО того, как адрес источника будет заменен на реальный внешнего интерфейса). Потом они все будут иметь один адрес источника. Поэтому разрешать/запрещать соединения из локалки в инет нужно до правила с divert. НО: если их именно разрешить (pass, allow, accept), эти пакеты не попадут к natd и отправятся в интернет в неизмененном виде с адресами источника из немаршрутизируемых диапазонов. skipto решает эту проблему - пакеты "перескакивают" через запрещающее правило, при этом продолжают идти дальше по списку правил. вроде так :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от A Clockwork Orange on 04-Мрт-03, 17:53 (MSK)
	Лин, с чего ты взяла что не попадут. Пакет проходит через внутренний инетрфейс и проверяется. Если пропустить. Идет дальше и на внешним уже дивертится. Если запретить. Откидывается.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от LinaS on 04-Мрт-03, 18:15 (MSK)
	>Лин, с чего ты взяла что не попадут. > >Пакет проходит через внутренний инетрфейс и проверяется. >Если пропустить. >Идет дальше и на внешним уже дивертится. >Если запретить. >Откидывается. может быть ты и прав у меня без skipto не работает, а на внешнем интерфейсе гуляют пакеты с частными адресами возможно если поиграться всякими recv, xmit и прочими, то можно будет добиться желаемого как то еще в мане по ipfw написано, что пакет проходит файрволл 2 раза (если пакет форвардится) - как входящий и как исходящий. В этом ключ. Напиши тогда свой вариант? PS: но divert то нужен ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от A Clockwork Orange on 04-Мрт-03, 18:28 (MSK)
	>>Лин, с чего ты взяла что не попадут. >> >>Пакет проходит через внутренний инетрфейс и проверяется. >>Если пропустить. >>Идет дальше и на внешним уже дивертится. >>Если запретить. >>Откидывается. > >может быть ты и прав >у меня без skipto не работает, а на внешнем интерфейсе гуляют пакеты >с частными адресами >возможно если поиграться всякими recv, xmit и прочими, то можно будет добиться >желаемого как то еще >в мане по ipfw написано, что пакет проходит файрволл 2 раза (если >пакет форвардится) - как входящий и как исходящий. В этом ключ. > >Напиши тогда свой вариант? >PS: но divert то нужен ;) Где то я еще слышал что три раза проверяется пакет. 1. В момент прихода на интерфейс. 2. В момент покидания и прохода на другой. 3. В момент покидания интерфейса.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от LinaS on 04-Мрт-03, 17:54 (MSK)
	>>>;( >>Ясен пень >>Гляди за порядком правил, нам же не виден весь твой фаервол >> >>${fwcmd} add 200 pass tcp from any to any established >>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in >>via ${iif} setup >>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in >>via ${iif} setup >>${fwcmd} add 890 deny tcp from any to any 25 in via >>$(iif)setup >>${fwcmd} add 900 pass all from any to any via ${iif} > >а divert то у тебя где? > >ipfw add 200 skipto 1000 tcp from ${ip руководителей} to any 25 >in via ${iif} setup >ipfw add 300 skipto 1000 tcp from ${ip остальных} to ${mail} 25 >in via ${iif} setup >ipfw add 400 deny tcp from any to any 25 via ${iif} >setup >ipfw add 1000 divert ip from any to any via ${oif} >ipfw add 1100 pass tcp from any to any established > >как то так кстати сорри, divert natd ip from any to any и natd дб запущен
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от kitkat on 04-Мрт-03, 17:44 (MSK)
	>>;( >Ясен пень ^^^^^^^^^^^^^^^^^ Я прошу прощения , а то к чему относится? >Гляди за порядком правил, нам же не виден весь твой фаервол >${fwcmd} add 200 pass tcp from any to any established >${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in >via ${iif} setup >${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in >via ${iif} setup >${fwcmd} add 890 deny tcp from any to any 25 in via >$(iif)setup >${fwcmd} add 900 pass all from any to any via ${iif} Для меня не совсем понятно как эта связка работает ;( Сделал, вообще тишина даже к тому к чему нужно не пробится все режется на правиле 00860 14 672 deny tcp from any to any 25 in recv xl2 setup И в логах ipfw вообще не видно обращений к 25-му порту :( вот чёрт, не знал я что это может столько проблем составить ;( Митт
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Короче все опят свелось к внешнему интерефейсу ;("
	Сообщение от A Clockwork Orange on 04-Мрт-03, 17:47 (MSK)
	>>>;( >>Ясен пень >^^^^^^^^^^^^^^^^^ >Я прошу прощения , а то к чему относится? >>Гляди за порядком правил, нам же не виден весь твой фаервол > >>${fwcmd} add 200 pass tcp from any to any established >>${fwcmd} add 870 pass tcp from ${ip руководителей} to any 25 in >>via ${iif} setup >>${fwcmd} add 880 pass tcp from ${ip любого другого клиента) to ${mail}in >>via ${iif} setup >>${fwcmd} add 890 deny tcp from any to any 25 in via >>$(iif)setup >>${fwcmd} add 900 pass all from any to any via ${iif} > >Для меня не совсем понятно как эта связка работает ;( > >Сделал, вообще тишина даже к тому к чему нужно не пробится все >режется на правиле >00860 14 672 deny tcp from any to any 25 >in recv xl2 setup >И в логах ipfw вообще не видно обращений к 25-му порту >:( > >вот чёрт, не знал я что это может столько проблем составить ;( > > >Митт покажи все правила
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Уффф, вроде как заработало ;) "
	Сообщение от kitkat on 04-Мрт-03, 18:11 (MSK)
	Правда не очень нравится что строчка ${fwcmd} add 900 pass all from any to any via ${iif} в самом конце, вроде как ей место в самом начале, но главное оно заработало, правда физику процесса не поняль совсем ;( Есть тут еще вопрос, я записал все правила в файлик сделал его исполняемым и при изменении запускаю его и новые правила вступают в силу, вот только я это делаю с консоли, а удаленно по ssh не получается, выкидывает терминал, а на серваке пишет ssh fatal error etc... и не доконца подгружает правила, и строчка в rc.conf firewall_type="/etc/myfirewall" почему то отказывается работать ;(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "RE: Уффф, вроде как заработало ;) "
	Сообщение от LinaS on 04-Мрт-03, 18:18 (MSK)
	>Правда не очень нравится что строчка >${fwcmd} add 900 pass all from any to any via ${iif} >в самом конце, вроде как ей место в самом начале, но главное >оно заработало, правда физику процесса не поняль совсем ;( > >Есть тут еще вопрос, я записал все правила в файлик сделал его >исполняемым и при изменении запускаю его и новые правила вступают в >силу, вот только я это делаю с консоли, а удаленно по >ssh не получается, выкидывает терминал, а на серваке пишет ssh fatal об этом в man ipfw написано %) в скриптах используй опцию -q когда делаешь flush >error etc... и не доконца подгружает правила, и строчка в rc.conf >firewall_type="/etc/myfirewall" почему то отказывается работать ;( > отказывается каким образом? что говорит?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "Ну правила я написал как мне советовал молодой человек, т.е."
	Сообщение от kitkat on 04-Мрт-03, 18:41 (MSK)
	${fwcmd} add 100 divert natd all from any to any via ${oif} ${fwcmd} add 200 pass tcp from any to any established ${fwcmd} add 300 pass all from any to any via lo0 ${fwcmd} add 400 deny ip from 127.0.0.0/8 to any ${fwcmd} add deny ip from any to 127.0.0.0/8 ${fwcmd} add 500 deny icmp from any to any frag ${fwcmd} add 600 pass ICMP from any to any ${fwcmd} add 840 pass tcp from 192.168.5.71 to any 25 in via ${iif} setup ${fwcmd} add 850 pass tcp from 192.168.5.70 to ${mail} in via ${iif} setup ${fwcmd} add 860 deny tcp from any to any 25 in via ${iif} setup ${fwcmd} add 870 pass tcp from ${oip} to any 25 out via ${oif} ${fwcmd} add 9000 pass all from any to any via ${iif} ${fwcmd} add 65000 deny log logamount 1000 all from any to any вот такие правила, вроде навыкусывал корректно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "RE: Уффф, вроде как заработало ;) "
	Сообщение от LinaS on 04-Мрт-03, 18:20 (MSK)
	как сделал то покажи всем интересно :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "RE: Уффф, вроде как заработало ;) "
	Сообщение от A Clockwork Orange on 04-Мрт-03, 18:26 (MSK)
	>как сделал то покажи >всем интересно :) Лина, твоя очередь) rc.firewall & так под bash не сработает /bin/sh rc.firewall & И еще вариант с nohup где то тут /bin/sh rc.firewall & Покажи все же свои правила, инетересно
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "RE: Уффф, вроде как заработало ;) "
	Сообщение от lavr on 04-Мрт-03, 18:29 (MSK)
	>>как сделал то покажи >>всем интересно :) > > >Лина, твоя очередь) > >rc.firewall & >так под bash не сработает > > >/bin/sh rc.firewall & > >И еще вариант с nohup где то тут >/bin/sh rc.firewall & > >Покажи все же свои правила, инетересно давай LinaS, показывай :))) ps. ls -la /etc/rc.firewall - это что? с какой стати rc.firewall & должно работать?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "RE: Уффф, вроде как заработало ;) "
	Сообщение от A Clockwork Orange on 04-Мрт-03, 18:34 (MSK)
	>>>как сделал то покажи >>>всем интересно :) >> >> >>Лина, твоя очередь) >> >>rc.firewall & >>так под bash не сработает >> >> >>/bin/sh rc.firewall & >> >>И еще вариант с nohup где то тут >>/bin/sh rc.firewall & >> >>Покажи все же свои правила, инетересно > >давай LinaS, показывай :))) > >ps. ls -la /etc/rc.firewall - это что? с какой стати rc.firewall & > >должно работать? Говорит, что сделал скрипт исолняемым... я предположит что скрипт есть /etc/rc.firewall
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "RE: Уффф, вроде как заработало ;) "
	Сообщение от LinaS on 04-Мрт-03, 18:37 (MSK)
	>>как сделал то покажи >>всем интересно :) > > >Лина, твоя очередь) > >rc.firewall & >так под bash не сработает > так нет, ибо неисполняемый и в начале нет интерпретатора #!/bin/sh или какой хочется у меня: linas@mail:~> cat /etc/rc.conf.local \| grep firewall firewall_enable="YES" firewall_script="/etc/firewall/fw.conf" на rc.conf.local просьба внимания не обращать linas@mail:~> ls -l /etc/firewall/fw.conf -rw-r--r-- 1 root wheel 6194 Feb 13 10:41 /etc/firewall/fw.conf те неисполняемый linas@mail:~> cat /etc/firewall/fw.conf \| grep '#!' linas@mail:~> интерпретатор не задан > >/bin/sh rc.firewall & > >И еще вариант с nohup где то тут >/bin/sh rc.firewall & > я серьезно, смотрите в ман насчет опции -q
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "Говорит вот что - "
	Сообщение от kitkat on 04-Мрт-03, 18:37 (MSK)
	sshd[264]: fatal: Write failed: Permission denied Это когда я из путти пытаюсь обновить правила, путем наступания на соотв фийл в миднайт коммандере. Митт
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "RE: Говорит вот что - "
	Сообщение от lavr on 04-Мрт-03, 18:40 (MSK)
	>sshd[264]: fatal: Write failed: Permission denied > >Это когда я из путти пытаюсь обновить правила, путем наступания на соотв >фийл в миднайт коммандере. > >Митт делать надо из SHELL'а чтобы видеть что происходить и какие ошибки, чтобы понять твои проблемы надо знать ЧТО и КАК ты написал, тогда можно подсказать ЧТО сделать для загрузки их автоматом
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "RE: Говорит вот что - "
	Сообщение от kitkat on 04-Мрт-03, 18:50 (MSK)
	lavr: - тя меня не понял, это он пишет на консоле >>sshd[264]: fatal: Write failed: Permission denied когда я из шела пытаюсь обновить эти правила, т.е. он не может передать процесс применеия этих правил уделенно на экран моего терминала, так как путти сам сидит на 22 порту. Митт
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	30. "RE: Говорит вот что - "
	Сообщение от СергейКа on 04-Мрт-03, 23:42 (MSK)
	>когда я из шела пытаюсь обновить эти правила, т.е. он не может >передать процесс применеия этих правил уделенно на экран моего терминала, так >как путти сам сидит на 22 порту. > >Митт Правельно - нечего рубить сук на котором сидишь. Я делаю проще ipfw add 100, а потом ipfw delete 100 и т.д.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "RE: Говорит вот что - "
	Сообщение от LinaS on 04-Мрт-03, 18:47 (MSK)
	>sshd[264]: fatal: Write failed: Permission denied > >Это когда я из путти пытаюсь обновить правила, путем наступания на соотв >фийл в миднайт коммандере. > >Митт ну я и говорю - используй -q демонстрирую linas# cat /usr/local/test.sh ipfw flush ipfw add 10 pass ip from any to any linas# те вариант без -q linas# sh /usr/local/test.sh Are you sure? [yn] yWrite failed: Permission denied Connection to 172.19.200.20 closed by remote host. Connection to 172.19.200.20 closed. дубль два linas# cat /usr/local/test.sh ipfw -q flush ipfw add 10 pass ip from any to any linas# те вариант с -q linas# sh /usr/local/test.sh 00010 allow ip from any to any linas# те все ок :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	26. "Я так делал - тоже самое что и в первам случае..."
	Сообщение от kitkat on 04-Мрт-03, 18:52 (MSK)
	;( И опять надо идти к консоле и загружать оттуда ;(
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	27. "RE: Я так делал - тоже самое что и в первам случае..."
	Сообщение от LinaS on 04-Мрт-03, 19:01 (MSK)
	>;( И опять надо идти к консоле и загружать оттуда ;( ок тогда навесь эту задачу в cron и подожди или все правила в твоем скрипте пиши с -q ipfw -q add ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	28. "RE: Я так делал - тоже самое что и в первам случае..."
	Сообщение от pavel on 04-Мрт-03, 21:38 (MSK)
	nohup /bin/sh /etc/rc.firewall Это есть в мане от ipfw
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	29. "RE: Я так делал - тоже самое что и в первам случае..."
	Сообщение от Tin on 04-Мрт-03, 22:02 (MSK)
	>>;( И опять надо идти к консоле и загружать оттуда ;( > >ок >тогда навесь эту задачу в cron и подожди >или все правила в твоем скрипте пиши с -q >ipfw -q add ... Проще в /etc/rc.conf firewall_quiet="YES" будет то же самое
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх