forum.opennet.ru - "Непонятка с ipfw" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Непонятка с ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Непонятка с ipfw"
Сообщение от nightmare on 15-Май-03, 21:02 (MSK)
Вот какая штука. Скомпилил ядро с опциями (система - FreeBSD 4.7) options IPFIREWALL options IPDIVERT options IPFIREWALL_VERBOSE в rc.conf firewall_enable="YES" firewall_script="/etc/firewall/rule" в /etc/firewall/rule #!/bin/sh fwcmd="/sbin/ipfw" ext_if="rl0" $fwcmd - f flush $fwcmd add pass tcp from any 80 to any $fwcmd add pass tcp from any to any 80 по той-же схеме открыты 20,21,22,25,110,119,443,6667 при такой конфигурации пинг не проходит на localhost. правила я не нумеровал, и вот меня терзают смутные сомнения, что в любом случае последним правилом стоит add deny ip from any to any. Как звставить пропускать ipfw пакеты по указанным мной портам? или что-то тут в конфиги неправильно?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Непонятка с ipfw, gennady, 22:15 , 15-Май-03, (1)
- Непонятка с ipfw, nightmare, 00:12 , 16-Май-03, (2)
  - Непонятка с ipfw, GoodWin, 00:40 , 16-Май-03, (3)
    - Непонятка с ipfw, gennady, 00:57 , 16-Май-03, (4)
      - Непонятка с ipfw, nightmare, 01:46 , 16-Май-03, (5)
        
        Непонятка с ipfw, gennady, 01:56 , 16-Май-03, (6)
        
        Непонятка с ipfw, nightmare, 02:00 , 16-Май-03, (7)
        
        Непонятка с ipfw, Yura_hn, 03:46 , 16-Май-03, (8)
        
        Непонятка с ipfw, A Clockwork Orange, 08:50 , 16-Май-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Непонятка с ipfw"

Сообщение от gennady on 15-Май-03, 22:15  (MSK)

>при такой конфигурации пинг не проходит на localhost. правила я не >нумеровал,
>и вот меня терзают смутные сомнения, что в любом случае последним
>правилом стоит add deny ip from any to any. Как звставить
>пропускать ipfw пакеты по указанным мной портам? или что-то тут в
>конфиги неправильно?
Во-первых, посмотри правила:
ipfw -a list
Если последнее правило всех отбрасывает, то причина понятна.
Во-вторых, чтобы пинг проходил нужно разрешить icmp пакеты.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Непонятка с ipfw"

Сообщение от nightmare on 16-Май-03, 00:12  (MSK)

>Во-первых, посмотри правила:
>ipfw -a list
посмотрел, как я и думал почему-то последним правилом стоит запрещение всего и вся. хотя я его не писал. вопрос только в том как его убрать от туда :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Непонятка с ipfw"

Сообщение от GoodWin on 16-Май-03, 00:40  (MSK)

>>Во-первых, посмотри правила:
>>ipfw -a list
>посмотрел, как я и думал почему-то последним правилом стоит запрещение всего и
>вся. хотя я его не писал. вопрос только в том как
>его убрать от туда :)
скомпелить ядро с опцией
options         IPFIREWALL_DEFAULT_TO_ACCEPT
а в rc.conf прописать
firewall_type="OPEN"
Тогда будешь только запрещать :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Непонятка с ipfw"

Сообщение от gennady on 16-Май-03, 00:57  (MSK)

>скомпелить ядро с опцией
>
>options         IPFIREWALL_DEFAULT_TO_ACCEPT
>
>а в rc.conf прописать
>
>firewall_type="OPEN"
>
>Тогда будешь только запрещать :)
Это не есть хорошо. Лучше в конце скрипта, который инициализирует файрвол, дописать правило типа такого:
${ipfw_cmd} add allow icmp from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Непонятка с ipfw"

Сообщение от nightmare on 16-Май-03, 01:46  (MSK)

Видимо я неправильно объяснил суть вопроса. Попробую еще раз. Вообщем почему когда я компилю ядро без DEFAULT_TO_ACCEPT, какими-бы не были рулесы фаервола последний строкой всеравно стоит правило запрещающие все и вся? и как его убрать оттуда? А пинг localhost`а это я так, для примера привел.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Непонятка с ipfw"

Сообщение от gennady on 16-Май-03, 01:56  (MSK)

>Видимо я неправильно объяснил суть вопроса. Попробую еще раз. Вообщем >почему когда
>я компилю ядро без DEFAULT_TO_ACCEPT, какими-бы не были рулесы фаервола >последний
>строкой всеравно стоит правило запрещающие все и вся? и как его
>убрать оттуда? А пинг localhost`а это я так, для примера привел.
>
Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT -чтобы  разрешить пропускать все  пакеты по умолчанию.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Непонятка с ipfw"

Сообщение от nightmare on 16-Май-03, 02:00  (MSK)

>Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT
>-чтобы  разрешить пропускать все  пакеты по умолчанию.
это все понятно. и так конечно проще, но как-то несекюрно :)
сначало нужно все закрыть, а потом открыть только то что нужно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Непонятка с ipfw"

Сообщение от Yura_hn on 16-Май-03, 03:46  (MSK)

>>Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT
>>-чтобы  разрешить пропускать все  пакеты по умолчанию.
>это все понятно. и так конечно проще, но как-то несекюрно :)
>сначало нужно все закрыть, а потом открыть только то что нужно.
У тебя что там чертёж атомной бомбы ? :-)))
Он просматривает все правила до конца и послденим стоит преславутый deny all. Открой все первым закрой все и потом, что нужно открывай. Я вот использую ifp. quick - если правило совпало дальше не смотреть.
______________________________________
пример на ipf
pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 137
pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 138
pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 139
pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 6666
pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 6667
block in on exp0 from 0.0.0.0/0 to any
_______________________________________

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Непонятка с ipfw"

Сообщение от A Clockwork Orange on 16-Май-03, 08:50  (MSK)

>>>Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT
>>>-чтобы  разрешить пропускать все  пакеты по умолчанию.
>>это все понятно. и так конечно проще, но как-то несекюрно :)
>>сначало нужно все закрыть, а потом открыть только то что нужно.
>У тебя что там чертёж атомной бомбы ? :-)))
>Он просматривает все правила до конца и послденим стоит преславутый deny all.
>Открой все первым закрой все и потом, что нужно открывай. Я
>вот использую ifp. quick - если правило совпало дальше не смотреть.
>
>______________________________________
>пример на ipf
>pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port
>= 137
>pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port
>= 138
>pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port
>= 139
>pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port
>= 6666
>pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port
>= 6667
>block in on exp0 from 0.0.0.0/0 to any
>_______________________________________
Ну так в ipfw таже история правилв просматриваются по порядку пока не найдется совпадение

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятка с ipfw"
Сообщение от gennady on 15-Май-03, 22:15 (MSK)
>при такой конфигурации пинг не проходит на localhost. правила я не >нумеровал, >и вот меня терзают смутные сомнения, что в любом случае последним >правилом стоит add deny ip from any to any. Как звставить >пропускать ipfw пакеты по указанным мной портам? или что-то тут в >конфиги неправильно? Во-первых, посмотри правила: ipfw -a list Если последнее правило всех отбрасывает, то причина понятна. Во-вторых, чтобы пинг проходил нужно разрешить icmp пакеты.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Непонятка с ipfw"
	Сообщение от nightmare on 16-Май-03, 00:12 (MSK)
	>Во-первых, посмотри правила: >ipfw -a list посмотрел, как я и думал почему-то последним правилом стоит запрещение всего и вся. хотя я его не писал. вопрос только в том как его убрать от туда :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Непонятка с ipfw"
	Сообщение от GoodWin on 16-Май-03, 00:40 (MSK)
	>>Во-первых, посмотри правила: >>ipfw -a list >посмотрел, как я и думал почему-то последним правилом стоит запрещение всего и >вся. хотя я его не писал. вопрос только в том как >его убрать от туда :) скомпелить ядро с опцией options IPFIREWALL_DEFAULT_TO_ACCEPT а в rc.conf прописать firewall_type="OPEN" Тогда будешь только запрещать :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Непонятка с ipfw"
	Сообщение от gennady on 16-Май-03, 00:57 (MSK)
	>скомпелить ядро с опцией > >options IPFIREWALL_DEFAULT_TO_ACCEPT > >а в rc.conf прописать > >firewall_type="OPEN" > >Тогда будешь только запрещать :) Это не есть хорошо. Лучше в конце скрипта, который инициализирует файрвол, дописать правило типа такого: ${ipfw_cmd} add allow icmp from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Непонятка с ipfw"
	Сообщение от nightmare on 16-Май-03, 01:46 (MSK)
	Видимо я неправильно объяснил суть вопроса. Попробую еще раз. Вообщем почему когда я компилю ядро без DEFAULT_TO_ACCEPT, какими-бы не были рулесы фаервола последний строкой всеравно стоит правило запрещающие все и вся? и как его убрать оттуда? А пинг localhost`а это я так, для примера привел.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Непонятка с ipfw"
	Сообщение от gennady on 16-Май-03, 01:56 (MSK)
	>Видимо я неправильно объяснил суть вопроса. Попробую еще раз. Вообщем >почему когда >я компилю ядро без DEFAULT_TO_ACCEPT, какими-бы не были рулесы фаервола >последний >строкой всеравно стоит правило запрещающие все и вся? и как его >убрать оттуда? А пинг localhost`а это я так, для примера привел. > Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT -чтобы разрешить пропускать все пакеты по умолчанию.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Непонятка с ipfw"
	Сообщение от nightmare on 16-Май-03, 02:00 (MSK)
	>Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT >-чтобы разрешить пропускать все пакеты по умолчанию. это все понятно. и так конечно проще, но как-то несекюрно :) сначало нужно все закрыть, а потом открыть только то что нужно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Непонятка с ipfw"
	Сообщение от Yura_hn on 16-Май-03, 03:46 (MSK)
	>>Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT >>-чтобы разрешить пропускать все пакеты по умолчанию. >это все понятно. и так конечно проще, но как-то несекюрно :) >сначало нужно все закрыть, а потом открыть только то что нужно. У тебя что там чертёж атомной бомбы ? :-))) Он просматривает все правила до конца и послденим стоит преславутый deny all. Открой все первым закрой все и потом, что нужно открывай. Я вот использую ifp. quick - если правило совпало дальше не смотреть. ______________________________________ пример на ipf pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 137 pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 138 pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 139 pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 6666 pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port = 6667 block in on exp0 from 0.0.0.0/0 to any _______________________________________
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Непонятка с ipfw"
	Сообщение от A Clockwork Orange on 16-Май-03, 08:50 (MSK)
	>>>Так имхо, никак. На то она и опция в ядре - IPFIREWALL_DEFAULT_TO_ACCEPT >>>-чтобы разрешить пропускать все пакеты по умолчанию. >>это все понятно. и так конечно проще, но как-то несекюрно :) >>сначало нужно все закрыть, а потом открыть только то что нужно. >У тебя что там чертёж атомной бомбы ? :-))) >Он просматривает все правила до конца и послденим стоит преславутый deny all. >Открой все первым закрой все и потом, что нужно открывай. Я >вот использую ifp. quick - если правило совпало дальше не смотреть. > >______________________________________ >пример на ipf >pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port >= 137 >pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port >= 138 >pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port >= 139 >pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port >= 6666 >pass in quick on exp0 proto tcp/udp from 10.0.0.39 to any port >= 6667 >block in on exp0 from 0.0.0.0/0 to any >_______________________________________ Ну так в ipfw таже история правилв просматриваются по порядку пока не найдется совпадение
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх