Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
блин, зачем такие сложности? создай разрешающее правило. 08.10.01 14:11 Число просмотров: 962
Автор: йцукенг <jcukeng> Статус: Member
|
типа
ipfw add allow ip from any to any via xl0
ipfw add allow iсmp from any to any
и все дела.
думаю, правило добавить быстрее, чем ядро перекомпилять.
:)
правда, я не понял, нафига тебе ФВ в таком случае, если ты все пакеты разрешать собрался?
только для NAT?
|
<sysadmin>
|
FireWall FreeBSD 4.3 08.10.01 11:49
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
Ситуевина:
написал скрипт
fwcmd="/sbin/ipfw"
fakenet="192.168.0.0:255.255.224.0"
ext_if="xl0"
#Flush a current rules
$fwcmd -f flush
$fwcmd add divert natd all from any to any via $ext_if
$fwcmd add pass all from any to any
Запускаю все ок.
divert ip с внешней и allow все внутренние.
после этого смотрю ipfw -a l
и эта сука добавляет в конце свое умолчание
65535 0 0 deny ip from any to any
!!!!
блин как отучить? что я сделал неправильно?
|
|
Никак!ставь нужнае правила раньше и все будет зашибись! 09.10.01 11:13
Автор: Apossum Статус: Незарегистрированный пользователь
|
|
|
FireWall FreeBSD 4.3 08.10.01 12:27
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
если хочешь чтоб по дефолту IPFW пропускал все компили ядро с опцией
options IPFIREWALL_DEFAULT_TO_ACCEPT
а вообще просмотри конфигурацию LINT (а не GENERIC) там много есть полезных опций.
З.Ы. По идее IPFW и должен запрещать все - на то это и файрволл... а потом добавляешь разрешенные коннекты
man ipfw
man rc.firewall
|
| |
FireWall FreeBSD 4.3 08.10.01 13:12
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
> если хочешь чтоб по дефолту IPFW пропускал все компили ядро > с опцией > options IPFIREWALL_DEFAULT_TO_ACCEPT > > а вообще просмотри конфигурацию LINT (а не GENERIC) там > много есть полезных опций.
Я вообще-то уже пересобрал ядро, с такими вот опциями:
options IPFIREWALL
options IPDIVERT
options IPFIREWALL_VERBOSE
maxusers 512
В файле /etc/rc.conf добавьте
gateway_enable=YES
firewall_enable="YES"
firewall_script="/etc/firewall/test_firewall"
natd_enable="YES"
natd_interface="fxp0" #Имя интерфейса, смотрящего к провайдеру
natd_flags="-unregistered_only -dynamic"
В файле /etc/sysctl.conf
net.inet.ip.forwarding=1
> > З.Ы. По идее IPFW и должен запрещать все - на то это и > файрволл... а потом добавляешь разрешенные коннекты > > man ipfw > man rc.firewall читал.
точно надо пересобирать с IPFIREWALL_DEFAULT_TO_ACCEPT???
|
| | |
FireWall FreeBSD 4.3 08.10.01 14:30
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> > З.Ы. По идее IPFW и должен запрещать все - на то это и > > файрволл... а потом добавляешь разрешенные коннекты > > > > man ipfw > > man rc.firewall > читал. > точно надо пересобирать с IPFIREWALL_DEFAULT_TO_ACCEPT??? железно
|
| | |
блин, зачем такие сложности? создай разрешающее правило. 08.10.01 14:11
Автор: йцукенг <jcukeng> Статус: Member
|
типа
ipfw add allow ip from any to any via xl0
ipfw add allow iсmp from any to any
и все дела.
думаю, правило добавить быстрее, чем ядро перекомпилять.
:)
правда, я не понял, нафига тебе ФВ в таком случае, если ты все пакеты разрешать собрался?
только для NAT?
|
| | | |
Не спеши, сначала начало треда почитал бы! 08.10.01 14:20
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
> типа > ipfw add allow ip from any to any via xl0 > ipfw add allow iсmp from any to any > и все дела. > думаю, правило добавить быстрее, чем ядро перекомпилять. > :) > правда, я не понял, нафига тебе ФВ в таком случае, если ты > все пакеты разрешать собрался? > только для NAT?
у меня прописано:
$fwcmd add divert natd all from any to any via $ext_if
$fwcmd add pass all from any to any
при этом
Запускаю все ок.
divert ip с внешней и allow все внутренние.
после этого смотрю ipfw -a l
и эта сука добавляет в конце свое умолчание
65535 0 0 deny ip from any to any
и нифига не ходит.
!!!!
блин как отучить? что я сделал неправильно?
|
| | | | |
говорю же man rc.conf 08.10.01 14:35
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
firewall_enable
(bool) Set to ``YES'' to load firewall rules at startup.
If the kernel was not built with IPFIREWALL, the ipfw ker-
nel module will be loaded. See also ipfilter_enable.
firewall_type
(str) Names the firewall type from the selection in
/etc/rc.firewall, or the file which contains the local
firewall ruleset. Valid selections from /etc/rc.firewall,
are ``open'' - unrestricted IP access; ``closed'' - all IP
services disabled, except via lo0; ``client'' - basic pro-
tection for a workstation; ``simple'' - basic protection
for a LAN. If a filename is specified, the full path must
be given.
иначе рулесы не лоадятся
|
|
|