Не так давно я задавал тему про долгую загрузку FreeBSD
мне сказали что это из-за FW так вот, можно ли мне посмотреть логи FW какие пакеты куда пошли, какие прошли, какие завернулись? Как это сделать?? Ядро уже откомпилированно с IP_FIREWALL_VERBOSE
man ipfw04.06.04 10:36 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
и ищи там первое совпадение со строкой "RULE FORMAT"
если добавить к правилу действие log, то пакеты соответствующие этому правилу будут записываться в /var/log/messages
Что я сделал:
1. Создал 2 правила
а) для nat - devert
б) и правило denny log ip from any to any
2. после перезагрузил
3. Unix грузился долго и наконец как он загрузился я первым делом удалил правило б
4. Скопировал файл /var/log/security. И вот что в нем ***- пакеты во внутреннюю сеть, их немного, так что я их убрал, все остальное вы видите).
где
#resolv.conf
domain ISP.ru
nameserver DNS-ISP1
nameserver DNS-ISP2
#rc.conf (часть)
sendmail_enable="NONE"
модем я выключил => tun0 не установлися
Jun 4 15:12:00 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49152 ISP-DNS1:53 out via tun0
Jun 4 15:12:06 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49153 ISP-DNS2:53 out via tun0
Jun 4 15:12:11 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49154 ISP-DNS1:53 out via tun0
*** Jun 4 15:12:16 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49155 ISP-DNS2:53 out via tun0
Jun 4 15:12:21 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49156 ISP-DNS1:53 out via tun0
Jun 4 15:12:31 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49157 ISP-DNS2:53 out via tun0
Jun 4 15:12:41 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49158 ISP-DNS1:53 out via tun0
Jun 4 15:13:01 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49159 ISP-DNS2:53 out via tun0
Jun 4 15:13:21 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49160 ISP-DNS1:53 out via tun0
Jun 4 15:13:26 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49161 ISP-DNS2:53 out via tun0
Jun 4 15:13:31 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49162 ISP-DNS1:53 out via tun0
Jun 4 15:13:36 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49163 ISP-DNS2:53 out via tun0
Jun 4 15:13:41 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49164 ISP-DNS1:53 out via tun0
*** Jun 4 15:13:51 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49165 ISP-DNS2:53 out via tun0
Jun 4 15:14:01 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49166 ISP-DNS1:53 out via tun0
Jun 4 15:14:21 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49167 ISP-DNS2:53 out via tun0
*** Jun 4 15:14:42 Unix kernel: ipfw: 200 Deny TCP 10.0.0.1:49152 127.0.0.1:25 out via tun0
Jun 4 15:15:16 Unix last message repeated 7 times
Jun 4 15:15:40 Unix kernel: ipfw: 200 Deny TCP 10.0.0.1:49152 127.0.0.1:25 out via tun0
*** Jun 4 15:15:57 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49168 ISP-DNS1:53 out via tun0
Jun 4 15:16:02 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49169 ISP-DNS2:53 out via tun0
Jun 4 15:16:07 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49170 ISP-DNS1:53 out via tun0
Jun 4 15:16:12 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49171 ISP-DNS2:53 out via tun0
Jun 4 15:16:17 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49172 ISP-DNS1:53 out via tun0
Jun 4 15:16:27 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49173 ISP-DNS2:53 out via tun0
Jun 4 15:16:37 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49174 ISP-DNS1:53 out via tun0
Jun 4 15:16:57 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49175 ISP-DNS2:53 out via tun0
Jun 4 15:17:17 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49176 ISP-DNS1:53 out via tun0
Jun 4 15:17:22 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49177 ISP-DNS2:53 out via tun0
Jun 4 15:17:27 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49178 ISP-DNS1:53 out via tun0
Jun 4 15:17:32 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49179 ISP-DNS2:53 out via tun0
Jun 4 15:17:37 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49180 ISP-DNS1:53 out via tun0
** Jun 4 15:17:47 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49181 ISP-DNS2:53 out via tun0
** Jun 4 15:17:57 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49182 ISP-DNS1:53 out via tun0
** Jun 4 15:18:17 Unix kernel: ipfw: 200 Deny UDP 10.0.0.1:49183 ISP-DNS2:53 out via tun0
Jun 4 15:18:37 Unix kernel: ipfw: 200 Deny TCP 10.0.0.1:49153 127.0.0.1:25 out via tun0
Jun 4 15:19:11 Unix last message repeated 7 times
*** Jun 4 15:19:36 Unix kernel: ipfw: 200 Deny TCP 10.0.0.1:49153 127.0.0.1:25 out via tun0
***
Что мне делать, если мне надо загрузить Unix, когда модем не работает??? Я же не могу ждать
попробуй вот что04.06.04 14:57 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
как насчет добавить правила разрешающее все исходящие соединения? или в задачи хоста входит только NAT?
поправь /etc.rc.conf
sendmail_enable="NO"
и сделай (если есть такой файл)
chmod -x /usr/local/etc/rc.d/sendmail.sh
когда грузится фрюха, в консоль пишутся сообщения (что в данный момент запускается) - загрузка останавливается всегда на одном месте? если да какое последнее сообшения в консоли?
Когда стояло "YES" то останавливалось на "Starting sendmail ...."
Когда "NONE" то останавливается на строчке перед "Starting sendmail", естественно такой строчки не выпадает. Это что - то с mail демоном. он пытается разрешить какое-то имя через DNS-ISP, могу даже предположить что хочет послать письмо для root а локальный адрес разрешает через DNS-ISP
Если нужно отключить Sendmail то...08.07.04 10:24 Автор: Johnny Статус: Незарегистрированный пользователь
> я уже пробывал ставить "NO" - тоже самое > > Когда стояло "YES" то останавливалось на "Starting sendmail > ...." > Когда "NONE" то останавливается на строчке перед "Starting > sendmail", естественно такой строчки не выпадает. Это что - > то с mail демоном. он пытается разрешить какое-то имя через > DNS-ISP, могу даже предположить что хочет послать письмо > для root а локальный адрес разрешает через DNS-ISP
Если у тебя не настоен днс на твоем сервере, или нет доступа к днс который имеет
информацию о зоне с которой работает sendmail - на быструю загрузку нерасчитывай
Лучший вариант настрой у себя днс,
Если тебе нафиг не нужен почтовик сделай так, в /etc/rc.conf внеси строки
sendmail_enable="NO"
mta_start_script=""
sendmail_autbound_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"
# override connection address (for testing)
O ConnectOnlyTo=127.0.0.1
Просто для проверки. Если результат не удовлетворит. Пиши. Будем дальше думать
Поэксперементировать пока не начем. Не на боевом же сервере :(
Зачем ??? pass ip from any to any via lo007.06.04 07:21 Автор: IgorMan2 Статус: Незарегистрированный пользователь
> > /etc/hosts все ип адреса что у тебя на интерефейсах > > Разреши правило типа pass ip from any to any via lo0 > > в /etc/mail/sendmail.cf > найди строчки вида > > # override connection address (for testing) > #O ConnectOnlyTo=0.0.0.0 > > замени > > # override connection address (for testing) > O ConnectOnlyTo=127.0.0.1 > Просто для проверки. Если результат не удовлетворит. Пиши. > Будем дальше думать > Поэксперементировать пока не начем. Не на боевом же сервере > :(
А причем тут правило через lo0 ???? он все равно не сможет разрешить имя host'a
Я прописал в /etc/hosts имя своего компа и его интерфейс.
w.x.y.z unix unix.lalala.ru <- xl0, где lalala.ru - имя в resolv.conf
Всем спасибо!
Вообщето доступ к localhost нужно разрешать, а обращения к...07.06.04 12:29 Автор: TARASA <Taras L. Stadnik> Статус: Member
> > > /etc/hosts все ип адреса что у тебя на > интерефейсах > > > А причем тут правило через lo0 ???? он все равно не сможет > разрешить имя host'a Вообщето доступ к localhost нужно разрешать, а обращения к localhost
как раз и идут по lo0.
> Я прописал в /etc/hosts имя своего компа и его интерфейс. > > w.x.y.z unix unix.lalala.ru <- xl0, где lalala.ru - > имя в resolv.conf w.x.y.z unix unix.lalala.ru - это все что прописывается в /etc/hosts
описанию интерфейса (xl0) там вообще не место ...
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
