|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexandr Goncharov 2:5020/400 13 Mar 2002 11:43:29
To : Maxim Shalnov
Subject : Re: ipfw вопросы
--------------------------------------------------------------------------------
Maxim Shalnov <Maxim.Shalnov@f1807.n5020.z2.fidonet.org> wrote:
MS> Приветствую тебя, All!
MS> FreeBSD 4.3.
MS> NAT, роутер.
MS> Hаписал правила для файрвола, вида примерно такого:
MS> ===== Cut =====
MS> # SMTP
MS> ${fwcmd} add pass tcp from ${fw} to any 25 keep-state
MS> ${fwcmd} add pass tcp from ${net}:${mask} to any 25 keep-state
MS> ... далее другие службы
MS> ===== Cut =====
MS> Политика по умолчанию -- deny.
MS> Так вот, несколько вопросов.
MS> Этот скрипт нормально работает только при старте системы. При попытке
MS> запустить его в процессе работы, он, по ощущениям, запрещает хождения
MS> пакетов везде, кроме локалхоста. Так и надо, или я неправильно делаю что-то?
MS> Опять-таки в процессе работы я не могу добавить правило "на лету". Т.е. я
MS> хочу открыть (закрыть) какой-то порт, даю команду ipfw "бла-бла-бла" (по
MS> примеру вышеприведенных), ipfw говорит, окей, мол, но правило не работает. А
MS> если вставить эту команду в вышеприведенный скрипт (и перепустить машину =8)
MS> то работает. Что делать?
1. Понять, что в скрипте используется ряд переменных, которые зачитываются
из других файлов в процессе старта системы, не этим скриптом.
Следовательно, при запуске этого скрипта на уже работающей системе надо
предварительно установить эти переменные. Или зачитать их из того места,
откуда они читаются при старте.
Hапример - firewall_type в rc.conf
2. При добавлении правил "на лету", не скриптом, надо делать по примеру
вышеприведенных, но вместо переменных (${net} и т.п.) может понадобиться
явно задавать их значения. Или опять же предварительно устанавливать
переменные.
3. После того, как ipfw сказал окей - выполнить команду
ipfw -a list и посмотреть текущую таблицу.
Сравнить ее той, которая ожидалась.
MS> Правильно ли вообще написаны правила для служб (интересует, в частности,
MS> параметр keep-state, взятый из какого-то примера)?
MS> Существуют ли средства для отладки правил ipfw? Т.е. как мне посмотреть,
MS> например, какое правило запрещает/разрешает хождение какого-то пакета?
ipfw -a list
ключик -а показывает счетчики, т.е. - сколько пакетов попало на это правило.
Для keep-state ниже основной таблицы после установки соединения с 25 портом
наружу (в вашем примере) - должны появляться строчки с динамическими
правилами.
MS> Спасибо.
MS> С искренним уважением, Harding?[PTT]?
--
Alexandr V. Goncharov, | Digital Networks, Tomsktelecom
AGV-RIPE, | agv@tomsknet.ru
AGV3-RIPN | phonе: +7(382-2)662510
--- ifmail v.2.15dev5
* Origin: Tomsktelecom - Digital Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
ipfw вопросы |
Maxim Shalnov |
09 Mar 2002 15:24:01 |
 ipfw вопросы |
Alexey Shifrin |
09 Mar 2002 22:24:44 |
|
ipfw вопросы |
Ivan Voytas |
11 Mar 2002 10:40:00 |
 Re: ipfw вопросы |
Alexandr Goncharov |
13 Mar 2002 11:43:29 |
 ipfw вопросы |
Maxim Shalnov |
14 Mar 2002 00:51:57 |
|
|
