forum.opennet.ru - "ipfw и иксы" (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw и иксы"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw и иксы"
Сообщение от nightmare on 03-Июл-03, 12:56 (MSK)
Вот у меня какая штука. Есть машина с freebsd 4.8, ядро пересобрано с options IPFIREWALL. По дефолту все пакеты deny. Стоят иксы 4.3.0 и KDE 3.1 Машина эта к сети подключена не была, и поэтому правила для ipfw никакие специальные не писал, сейчас ее к сети подключили (оптоволокно). И решил я значится правила написать. открыл 1,53 (путь portsentry слушает), ну и для работы 20,21,22,25,80,110,119,443,6667. В rc.conf написал firewall_enable="YES" firewall_script="/etc/firewall/ipfwrule". При такой конфигурации KDE ( и hackedbox) не хотят запускаться, KDE говорит, что мол, can`t open display :0 ; Cannot connetion to X server :0. Попробовал в правилах открыть иксовые порты (6000-6063) тоже не запускается. Как только закомментрую в rc.conf все связанное с фаеволом запускается спокойно. Подскажите, где копать по этому вопросу?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ipfw и иксы, PJ, 13:05 , 03-Июл-03, (1)
- ipfw и иксы, nightmare, 13:21 , 03-Июл-03, (2)
  - ipfw и иксы, nightmare, 15:28 , 03-Июл-03, (3)
    - ipfw и иксы, PJ, 16:07 , 03-Июл-03, (4)
      - ipfw и иксы, nightmare, 16:30 , 03-Июл-03, (5)
        
        ipfw и иксы, Parish, 19:27 , 03-Июл-03, (6)
        
        ipfw и иксы, nightmare, 11:03 , 04-Июл-03, (7)
        
        ipfw и иксы, PJ, 11:11 , 04-Июл-03, (8)
        
        ipfw и иксы, nightmare, 12:17 , 04-Июл-03, (9)
        
        ipfw и иксы, Parish, 12:32 , 04-Июл-03, (10)
        ipfw и иксы, PJ, 12:53 , 04-Июл-03, (11)
        
        ipfw и иксы, nightmare, 13:26 , 04-Июл-03, (12)
ipfw и иксы, poige, 09:36 , 07-Июл-03, (13)
- ipfw и иксы, nightmare, 09:39 , 07-Июл-03, (14)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw и иксы"

Сообщение от PJ on 03-Июл-03, 13:05  (MSK)

правила  для интерфейса lo0 не забыл?
add allow ip from any to any via lo0

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ipfw и иксы"

Сообщение от nightmare on 03-Июл-03, 13:21  (MSK)

>правила  для интерфейса lo0 не забыл?
>
>add allow ip from any to any via lo0
не забыл.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ipfw и иксы"

Сообщение от nightmare on 03-Июл-03, 15:28  (MSK)

Поставим вопрос несколько иначе. Покажите кто-нить свои рулесы ipfw при которых иксы работают корректно. pass all from any to any не катит :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ipfw и иксы"

Сообщение от PJ on 03-Июл-03, 16:07  (MSK)

>Поставим вопрос несколько иначе. Покажите кто-нить свои рулесы ipfw при которых иксы
>работают корректно. pass all from any to any не катит :)
>
Поставим ответ несколько иначе
firewall_script="/etc/rc.firewall"
firewall_type="CLIENT"
открыть rc.firewall и отредактировать значения
net=
mask=
ip =
для случая CLIENT (написать свои значения)
Х-ы должны работать
ну а потом по образу и подобию сделать свое

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "ipfw и иксы"

Сообщение от nightmare on 03-Июл-03, 16:30  (MSK)

не работают :(
вот вырезка из rc.firewall
[Cc][Ll][Ii][Ee][Nn][Tt])
############
# This is a prototype setup that will protect your system somewhat
# against people from outside your own network.
############
# set these to your network and netmask and ip
net="194.122.15.0"
mask="255.255.255.0"
ip="194.122.15.188"
setup_loopback
# Allow any traffic to or from my own net.
${fwcmd} add pass all from ${ip} to ${net}:${mask}
${fwcmd} add pass all from ${net}:${mask} to ${ip}
# Allow TCP through if setup succeeded
${fwcmd} add pass tcp from any to any established
# Allow IP fragments to pass through
${fwcmd} add pass all from any to any frag
# Allow setup of incoming email
${fwcmd} add pass tcp from any to ${ip} 25 setup
# Allow setup of outgoing TCP connections only
${fwcmd} add pass tcp from ${ip} to any setup
# Disallow setup of all other TCP connections
${fwcmd} add deny tcp from any to any setup
# Allow DNS queries out in the world
${fwcmd} add pass udp from ${ip} to any 53 keep-state
# Allow NTP queries out in the world
${fwcmd} add pass udp from ${ip} to any 123 keep-state
$fwcmd add allow ip from any to any via lo0
$fwcmd add pass all from any 127.0.0.1 to any
$fwcmd add pass all from any to any 127.0.0.1
$fwcmd add pass all from any 10.101.3.211 to any
$fwcmd add pass all from any to any 10.101.3.211
$fwcmd add pass tcp from any 1 to any
$fwcmd add pass tcp from any to any 1
$fwcmd add pass udp from any 1 to any
$fwcmd add pass udp from any to any 1
$fwcmd add pass udp from any 53 to any
$fwcmd add pass udp from any to any 53
$fwcmd add pass tcp from any 20 to any
$fwcmd add pass tcp from any to any 20
$fwcmd add pass tcp from any 21 to any
$fwcmd add pass tcp from any to any 21
$fwcmd add pass tcp from any 22 to any
$fwcmd add pass tcp from any to any 22
$fwcmd add pass tcp from any 80 to any
$fwcmd add pass tcp from any to any 80
$fwcmd add pass tcp from any 110 to any
$fwcmd add pass tcp from any to any 110
$fwcmd add pass tcp from any 119 to any
$fwcmd add pass tcp from any to any 119
$fwcmd add pass udp from any 119 to any
$fwcmd add pass udp from any to any 119
$fwcmd add pass tcp from any 443 to any
$fwcmd add pass tcp from any to any 443
$fwcmd add pass tcp from any 6667 to any
$fwcmd add pass tcp from any to any 6667
интиресно, в чем-же всетаки дело....

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "ipfw и иксы"

Сообщение от Parish on 03-Июл-03, 19:27  (MSK)

add deny log from any to any и изучать

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "ipfw и иксы"

Сообщение от nightmare on 04-Июл-03, 11:03  (MSK)

>add deny log from any to any и изучать
последние правило я добавил, но ни к какому положительному результату все это дело не привело. Я вот думаю, толи у всех в ipfw pass all from any to any, и все замечательно работает, или свои правила, но не стоят иксы ;-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "ipfw и иксы"

Сообщение от PJ on 04-Июл-03, 11:11  (MSK)

>>add deny log from any to any и изучать
>последние правило я добавил, но ни к какому положительному результату все это
>дело не привело. Я вот думаю, толи у всех в ipfw
>pass all from any to any, и все замечательно работает, или
>свои правила, но не стоят иксы ;-)
а скрипт точно до конца отрабатывает?
вывод ipfw show покажи

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "ipfw и иксы"

Сообщение от nightmare on 04-Июл-03, 12:17  (MSK)

>а скрипт точно до конца отрабатывает?
> вывод ipfw show покажи
вот при таком раскладе иксы не запускаются.
00100   0     0 allow ip from any to any via lo0
00200   0     0 deny ip from any to 127.0.0.0/8
00300   0     0 deny ip from 127.0.0.0/8 to any
00400   0     0 allow ip from 194.122.15.188 to 194.122.15.0/24
00500   0     0 allow ip from 194.122.15.0/24 to 194.122.15.188
00600   0     0 allow tcp from any to any established
00700   0     0 allow ip from any to any frag
00800   0     0 allow tcp from any to 194.122.15.188 25 setup
00900   0     0 allow tcp from 194.122.15.188 to any setup
01000   0     0 deny tcp from any to any setup
01100   0     0 allow udp from 194.122.15.188 to any 53 keep-state
01200   0     0 allow udp from 194.122.15.188 to any 123 keep-state
01300   0     0 allow ip from any to any via lo0
01400   0     0 allow tcp from any 1 to any
01500   0     0 allow tcp from any to any 1
01600   0     0 allow udp from any 1 to any
01700   0     0 allow udp from any to any 1
01800   0     0 allow udp from any 53 to any
01900   0     0 allow udp from any to any 53
02000   0     0 allow tcp from any 20 to any
02100   0     0 allow tcp from any to any 20
02200   0     0 allow tcp from any 21 to any
02300   0     0 allow tcp from any to any 21
02400   0     0 allow tcp from any 22 to any
02500   0     0 allow tcp from any to any 22
02600   0     0 allow tcp from any 25 to any
02700   0     0 allow tcp from any to any 25
02800   0     0 allow tcp from any 80 to any
02900   0     0 allow tcp from any to any 80
03000   0     0 allow tcp from any 110 to any
03100   0     0 allow tcp from any to any 110
03200   0     0 allow tcp from any 119 to any
03300   0     0 allow tcp from any to any 119
03400   0     0 allow udp from any 119 to any
03500   0     0 allow udp from any to any 119
03600   0     0 allow tcp from any 443 to any
03700   0     0 allow tcp from any to any 443
03800   0     0 allow tcp from any 6667 to any
03900   0     0 allow tcp from any to any 6667
65535 101 12308 deny ip from any to any

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "ipfw и иксы"

Сообщение от Parish on 04-Июл-03, 12:32  (MSK)

>>add deny log from any to any и изучать
>последние правило я добавил, но ни к какому положительному результату все это
>дело не привело. Я вот думаю, толи у всех в ipfw
>pass all from any to any, и все замечательно работает, или
>свои правила, но не стоят иксы ;-)
поставь его 301ым запусти иксы и изучай логи

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "ipfw и иксы"

Сообщение от PJ on 04-Июл-03, 12:53  (MSK)

>>а скрипт точно до конца отрабатывает?
>> вывод ipfw show покажи
>вот при таком раскладе иксы не запускаются.
>00100   0     0 allow ip from any to any via lo0
^^^^^^^совсем ничего через петлевой интерфейс не бегает? Cчетчики в 0 все время?

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "ipfw и иксы"

Сообщение от nightmare on 04-Июл-03, 13:26  (MSK)

>>>а скрипт точно до конца отрабатывает?
>>> вывод ipfw show покажи
>>вот при таком раскладе иксы не запускаются.
>>00100   0     0 allow ip from any to any via lo0
>^^^^^^^совсем ничего через петлевой интерфейс не бегает? >Cчетчики в 0 все время?
по lo0 все бегает, localhost и пингуется, и нмапится.
Хотя странно получается, когда единственным правилом стоит deny from any to any, иксы работают, а когда что-нить открывать начинаешь уже работать не хотят :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "ipfw и иксы"

Сообщение от poige on 07-Июл-03, 09:36  (MSK)

>Вот у меня какая штука. Есть машина с freebsd 4.8, ядро пересобрано
>с options IPFIREWALL. По дефолту все пакеты deny. Стоят иксы 4.3.0
Риторический вопрос: как может влиять firewall, если даже когда
все было DEFAULT DENY -- X-ы работали?...
[...]
>firewall_script="/etc/firewall/ipfwrule". При такой конфигурации KDE ( и hackedbox) не хотят запускаться, KDE
>говорит, что мол, can`t open display :0 ; Cannot connetion to
>X server :0. Попробовал в правилах открыть иксовые порты (6000-6063) тоже
:0 -- это адрес, но не IP-стека. Для работы с X Window, когда
клиент и сервер на одной и той же системе IP-протокол и не
требуется, хотя, применять его можно. Поэтому, сам firewall тут
не причем.
/poige
--
http://www.i.morning.ru/~poige/

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "ipfw и иксы"

Сообщение от nightmare on 07-Июл-03, 09:39  (MSK)

>Поэтому, сам firewall тут не причем.
хмм...а тогда в чем может быть дело?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw и иксы"
Сообщение от PJ on 03-Июл-03, 13:05 (MSK)
правила для интерфейса lo0 не забыл? add allow ip from any to any via lo0
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ipfw и иксы"
	Сообщение от nightmare on 03-Июл-03, 13:21 (MSK)
	>правила для интерфейса lo0 не забыл? > >add allow ip from any to any via lo0 не забыл.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ipfw и иксы"
	Сообщение от nightmare on 03-Июл-03, 15:28 (MSK)
	Поставим вопрос несколько иначе. Покажите кто-нить свои рулесы ipfw при которых иксы работают корректно. pass all from any to any не катит :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ipfw и иксы"
	Сообщение от PJ on 03-Июл-03, 16:07 (MSK)
	>Поставим вопрос несколько иначе. Покажите кто-нить свои рулесы ipfw при которых иксы >работают корректно. pass all from any to any не катит :) > Поставим ответ несколько иначе firewall_script="/etc/rc.firewall" firewall_type="CLIENT" открыть rc.firewall и отредактировать значения net= mask= ip = для случая CLIENT (написать свои значения) Х-ы должны работать ну а потом по образу и подобию сделать свое
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "ipfw и иксы"
	Сообщение от nightmare on 03-Июл-03, 16:30 (MSK)
	не работают :( вот вырезка из rc.firewall [Cc][Ll][Ii][Ee][Nn][Tt]) ############ # This is a prototype setup that will protect your system somewhat # against people from outside your own network. ############ # set these to your network and netmask and ip net="194.122.15.0" mask="255.255.255.0" ip="194.122.15.188" setup_loopback # Allow any traffic to or from my own net. ${fwcmd} add pass all from ${ip} to ${net}:${mask} ${fwcmd} add pass all from ${net}:${mask} to ${ip} # Allow TCP through if setup succeeded ${fwcmd} add pass tcp from any to any established # Allow IP fragments to pass through ${fwcmd} add pass all from any to any frag # Allow setup of incoming email ${fwcmd} add pass tcp from any to ${ip} 25 setup # Allow setup of outgoing TCP connections only ${fwcmd} add pass tcp from ${ip} to any setup # Disallow setup of all other TCP connections ${fwcmd} add deny tcp from any to any setup # Allow DNS queries out in the world ${fwcmd} add pass udp from ${ip} to any 53 keep-state # Allow NTP queries out in the world ${fwcmd} add pass udp from ${ip} to any 123 keep-state $fwcmd add allow ip from any to any via lo0 $fwcmd add pass all from any 127.0.0.1 to any $fwcmd add pass all from any to any 127.0.0.1 $fwcmd add pass all from any 10.101.3.211 to any $fwcmd add pass all from any to any 10.101.3.211 $fwcmd add pass tcp from any 1 to any $fwcmd add pass tcp from any to any 1 $fwcmd add pass udp from any 1 to any $fwcmd add pass udp from any to any 1 $fwcmd add pass udp from any 53 to any $fwcmd add pass udp from any to any 53 $fwcmd add pass tcp from any 20 to any $fwcmd add pass tcp from any to any 20 $fwcmd add pass tcp from any 21 to any $fwcmd add pass tcp from any to any 21 $fwcmd add pass tcp from any 22 to any $fwcmd add pass tcp from any to any 22 $fwcmd add pass tcp from any 80 to any $fwcmd add pass tcp from any to any 80 $fwcmd add pass tcp from any 110 to any $fwcmd add pass tcp from any to any 110 $fwcmd add pass tcp from any 119 to any $fwcmd add pass tcp from any to any 119 $fwcmd add pass udp from any 119 to any $fwcmd add pass udp from any to any 119 $fwcmd add pass tcp from any 443 to any $fwcmd add pass tcp from any to any 443 $fwcmd add pass tcp from any 6667 to any $fwcmd add pass tcp from any to any 6667 интиресно, в чем-же всетаки дело....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "ipfw и иксы"
	Сообщение от Parish on 03-Июл-03, 19:27 (MSK)
	add deny log from any to any и изучать
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "ipfw и иксы"
	Сообщение от nightmare on 04-Июл-03, 11:03 (MSK)
	>add deny log from any to any и изучать последние правило я добавил, но ни к какому положительному результату все это дело не привело. Я вот думаю, толи у всех в ipfw pass all from any to any, и все замечательно работает, или свои правила, но не стоят иксы ;-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "ipfw и иксы"
	Сообщение от PJ on 04-Июл-03, 11:11 (MSK)
	>>add deny log from any to any и изучать >последние правило я добавил, но ни к какому положительному результату все это >дело не привело. Я вот думаю, толи у всех в ipfw >pass all from any to any, и все замечательно работает, или >свои правила, но не стоят иксы ;-) а скрипт точно до конца отрабатывает? вывод ipfw show покажи
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "ipfw и иксы"
	Сообщение от nightmare on 04-Июл-03, 12:17 (MSK)
	>а скрипт точно до конца отрабатывает? > вывод ipfw show покажи вот при таком раскладе иксы не запускаются. 00100 0 0 allow ip from any to any via lo0 00200 0 0 deny ip from any to 127.0.0.0/8 00300 0 0 deny ip from 127.0.0.0/8 to any 00400 0 0 allow ip from 194.122.15.188 to 194.122.15.0/24 00500 0 0 allow ip from 194.122.15.0/24 to 194.122.15.188 00600 0 0 allow tcp from any to any established 00700 0 0 allow ip from any to any frag 00800 0 0 allow tcp from any to 194.122.15.188 25 setup 00900 0 0 allow tcp from 194.122.15.188 to any setup 01000 0 0 deny tcp from any to any setup 01100 0 0 allow udp from 194.122.15.188 to any 53 keep-state 01200 0 0 allow udp from 194.122.15.188 to any 123 keep-state 01300 0 0 allow ip from any to any via lo0 01400 0 0 allow tcp from any 1 to any 01500 0 0 allow tcp from any to any 1 01600 0 0 allow udp from any 1 to any 01700 0 0 allow udp from any to any 1 01800 0 0 allow udp from any 53 to any 01900 0 0 allow udp from any to any 53 02000 0 0 allow tcp from any 20 to any 02100 0 0 allow tcp from any to any 20 02200 0 0 allow tcp from any 21 to any 02300 0 0 allow tcp from any to any 21 02400 0 0 allow tcp from any 22 to any 02500 0 0 allow tcp from any to any 22 02600 0 0 allow tcp from any 25 to any 02700 0 0 allow tcp from any to any 25 02800 0 0 allow tcp from any 80 to any 02900 0 0 allow tcp from any to any 80 03000 0 0 allow tcp from any 110 to any 03100 0 0 allow tcp from any to any 110 03200 0 0 allow tcp from any 119 to any 03300 0 0 allow tcp from any to any 119 03400 0 0 allow udp from any 119 to any 03500 0 0 allow udp from any to any 119 03600 0 0 allow tcp from any 443 to any 03700 0 0 allow tcp from any to any 443 03800 0 0 allow tcp from any 6667 to any 03900 0 0 allow tcp from any to any 6667 65535 101 12308 deny ip from any to any
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "ipfw и иксы"
	Сообщение от Parish on 04-Июл-03, 12:32 (MSK)
	>>add deny log from any to any и изучать >последние правило я добавил, но ни к какому положительному результату все это >дело не привело. Я вот думаю, толи у всех в ipfw >pass all from any to any, и все замечательно работает, или >свои правила, но не стоят иксы ;-) поставь его 301ым запусти иксы и изучай логи
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "ipfw и иксы"
	Сообщение от PJ on 04-Июл-03, 12:53 (MSK)
	>>а скрипт точно до конца отрабатывает? >> вывод ipfw show покажи >вот при таком раскладе иксы не запускаются. >00100 0 0 allow ip from any to any via lo0 ^^^^^^^совсем ничего через петлевой интерфейс не бегает? Cчетчики в 0 все время?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "ipfw и иксы"
	Сообщение от nightmare on 04-Июл-03, 13:26 (MSK)
	>>>а скрипт точно до конца отрабатывает? >>> вывод ipfw show покажи >>вот при таком раскладе иксы не запускаются. >>00100 0 0 allow ip from any to any via lo0 >^^^^^^^совсем ничего через петлевой интерфейс не бегает? >Cчетчики в 0 все время? по lo0 все бегает, localhost и пингуется, и нмапится. Хотя странно получается, когда единственным правилом стоит deny from any to any, иксы работают, а когда что-нить открывать начинаешь уже работать не хотят :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

13. "ipfw и иксы"
Сообщение от poige on 07-Июл-03, 09:36 (MSK)
>Вот у меня какая штука. Есть машина с freebsd 4.8, ядро пересобрано >с options IPFIREWALL. По дефолту все пакеты deny. Стоят иксы 4.3.0 Риторический вопрос: как может влиять firewall, если даже когда все было DEFAULT DENY -- X-ы работали?... [...] >firewall_script="/etc/firewall/ipfwrule". При такой конфигурации KDE ( и hackedbox) не хотят запускаться, KDE >говорит, что мол, can`t open display :0 ; Cannot connetion to >X server :0. Попробовал в правилах открыть иксовые порты (6000-6063) тоже :0 -- это адрес, но не IP-стека. Для работы с X Window, когда клиент и сервер на одной и той же системе IP-протокол и не требуется, хотя, применять его можно. Поэтому, сам firewall тут не причем. /poige -- http://www.i.morning.ru/~poige/
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "ipfw и иксы"
	Сообщение от nightmare on 07-Июл-03, 09:39 (MSK)
	>Поэтому, сам firewall тут не причем. хмм...а тогда в чем может быть дело?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх