FreeBSD 5.3 ipfw правило по умолчанию |
[исправить] |
В прежних версиях FreeBSD изменить правило по умолчанию
65535 deny ip from any to any на
allow ip from any to any
можно было включением в ядро опции
IPFIREWALL_DEFAULT_TO_ACCEPT.
В версии 5.3 это не работает. Даже собрав ядро с этой опцией, получаем правило по умолчанию
deny ip from any to any.
Если сборка производится удаленно - сюрприз может оказаться довольно неприятным.
|
|
|
Ключи: firewall, delete, makefile, kernel, compile, policy, rule, ipfw, freebsd, ip, ipf, fault
/ Лицензия: CC-BY
|
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Пакетные фильтры и фаерволы / Пакетный фильтр в FreeBSD: ipfw, IP-Filter |
1.1, butcher (ok), 09:30, 14/06/2005 [ответить]
| +/– |
Что-то сомнительно это, я сам эту опцию никогда не пробовал, но по исходникам могу сказать, что никаких сюрпризов быть не должно:
default_rule.cmd[0].opcode =
#ifdef IPFIREWALL_DEFAULT_TO_ACCEPT
1 ? O_ACCEPT :
#endif
O_DENY;
| |
1.2, butcher (ok), 09:33, 14/06/2005 [ответить]
| +/– |
ЗЫ. Если заранее (пере перезагрузкой) позаботится о настройке файрвола, то никаких сюрпризов и не будет. | |
1.3, 4ij (?), 14:40, 14/06/2005 [ответить]
| +/– |
Soberi yadro s options IPFIREWALL i v /etc/rc.conf ukaji firewall_type="open" i budet tebe allow ip from any to any i surprizov tak i u menya ne bilo!!! | |
1.4, Аноним (4), 18:20, 01/09/2005 [ответить]
| +/– |
> В версии 5.3 это не работает. Даже собрав ядро с
> этой опцией, получаем правило по умолчанию
> deny ip from any to any.
наглая ложь | |
1.6, kvn (?), 11:51, 26/10/2005 [ответить]
| +/– |
Уже не один сервер собрал,
"options IPFIREWALL_DEFAULT_TO_ACCEPT"
Работает на ура!
Мне хватает такого в ядре
#### For Firewall
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=50
options IPFIREWALL_DEFAULT_TO_ACCEPT | |
|