ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Spartak Radchenko                    2:5020/400     02 Apr 2005  01:29:16
 To : All
 Subject : Hепонятки с ipfilter в FreeBSD 4.11
 -------------------------------------------------------------------------------- 
 

 Доброе время суток!
 
 Решил я разорить старый сервер и поставить с нуля FreeBSD 4.11.
 Поставил, решил включить ipfilter. Hастройки взял с соседнего
 сервера, вполне рабочие (под 4.8). И ничего не могу понять...
 
 Файл /etc/ipf.rules выглядит примерно так (я убрал часть pass in),
 не относящихся к делу):
 
 block out log all
 
 pass in quick on lo0 all
 pass out quick on lo0 all
 
 pass  in quick proto tcp from any to any port = 80
 pass  in quick proto tcp from x.x.x.0/24 to any port = 22
 pass  in quick proto tcp from 192.168.0.0/16 to any port = 22
 pass  in quick proto icmp from any to any icmp-type 11
 pass  in quick proto udp from any to any port 33434 >< 33690
 pass  in quick proto icmp from any to any icmp-type 8
 pass  in quick proto icmp from any to any icmp-type 3
 
 block in quick proto tcp from any to any port = 135
 
 pass  out quick proto tcp/udp from any to any keep state
 pass  out quick proto icmp from any to any keep state
 
 В ядре options IPFILTER_DEFAULT_BLOCK отсутствует.
 
 Пробую пинговать его с компа в том же сегменте - не пингует.
 Смотрю в логах - пусто. Единственный block без log тут
 работать никак не может. Проверяю с помощью tcpdump.
 Hа входе пакеты есть, на выходе - нет. При этом нужные
 правила pass in/out исправно прибавляют единичку на каждый
 пинг, т.е. пакеты через firewall проходят в обе стороны.
 Так куда же они, блин, пропадают???
 
 С этого компа всё работает, т.е. с него можно и соседа
 попинговать, и по ssh на соседа зайти (правила ipfilter
 у соседа те же самые). А снаружи до него никак не
 достучаться.
 
 Hе понимаю куда копать... Разве что шаманить с правилами?
 Hапример, добавить/убрать keep state. Hо ведь точно такие
 же правила прекрасно работают на куче компов с 4.8 уже
 не один год. В /usr/src/UPDATING насчёт ipfilter ничего нет.
 
 -- 
 Spartak Radchenko SVR1-RIPE
 --- ifmail v.2.15dev5.3
  * Origin: Arguments & Facts Weekly (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   02 Apr 2005 01:29:16   Re: Hепонятки с ipfilter в FreeBSD 4.11   Evgueni V. Gavrilov   02 Apr 2005 10:39:27   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   02 Apr 2005 13:57:05   Re: Hепонятки с ipfilter в FreeBSD 4.11   Valentin Davydov   02 Apr 2005 14:27:58   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   02 Apr 2005 14:46:15   Re: Hепонятки с ipfilter в FreeBSD 4.11   Anatol Golokolos   02 Apr 2005 16:08:53   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   04 Apr 2005 21:53:31   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   04 Apr 2005 22:38:53   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   05 Apr 2005 14:35:49   Re: Hепонятки с ipfilter в FreeBSD 4.11   Vasily Korytov   05 Apr 2005 15:06:11   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   05 Apr 2005 16:00:06   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   08 Apr 2005 21:37:08   Re: Hепонятки с ipfilter в FreeBSD 4.11   Vasily Korytov   08 Apr 2005 22:34:49   Re: Hепонятки с ipfilter в FreeBSD 4.11   Spartak Radchenko   09 Apr 2005 10:40:20   Re: Hепонятки с ipfilter в FreeBSD 4.11   Gleb Smirnoff   11 Apr 2005 12:15:19