Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

Открыть новую тему     Написать ответ в эту тему

articlebot



Administrator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

FreeBSD
 

 
Господа! Общие вопросы по FreeBSD - это не помойка для всех подряд вопросов по данной ОС. Здесь можно задать вопрос, ради которого открывать отдельную тему не имеет смысла, то есть когда вопрос очень простой.
Если же вопрос касается настроек, конфигурированиях и т.д. и т.п. - следует открывать отдельные темы (а сначала воспользоваться фильтром тут и тут).

Официальные ресурсы по FreeBSD

FreeBSD
Офицальное руководство пользователя FreeBSD
Официальные книги  
FTP FreeBSD Fundation
Официальный форум FreeBSD
Полезные ссылки по FreeBSD

FreshPorts - уязвимости, обновления и другая информация по портам
Daemoniada, или За свободный десктоп - ОС FreeBSD, ее устройство и использование в мирных (то есть настольных) целях.  
bsd.opennet.ru - мини-портал информация по FreeBSD и OpenBSD на opennet.ru
Часто Задаваемые Вопросы по FreeBSD 2.X, 3.X и 4.X  - Большой ФАК по FreeBSD  
An Illustrated Guide To Installing FreeBSD - Иллюстрированное Руководство по Установке FreeBSD
news.gamma.ru  
fido7.ru.unix.bsd  
http://pascal.tsu.ru/
http://www.freebsddiary.org/ (англ.)
http://www.onlamp.com/bsd/ (англ.)
http://www.freebsdhowtos.com/ - огромное количество инструкций "как сделать" для операционной системы FreeBSD (англ)
http://flag.blackened.net/freebsd/index.html - инструкции по FreeBSD для ленивых  (англ)  
http://www.lissyara.su/?id=1007 Очень достойный ресурс по FreeBSD (Рус)
http://live.daemony.org/doc/ Ещё один достойный ресурс по FreeBSD (Рус)
 
Также обратите внимание на тему FreeBSD FAQ (Unix FreeBSD FAQ)
 
http://www.citytel.ru/minibsd/minibsd.html - миниатюрная FreeBSD
Поможем проекту *BSD
 

 
Предыдущая часть темы
 

Всего записей: 347 | Зарегистр. 25-05-2001 | Отправлено: 05:58 03-02-2009 | Исправлено: cchameleone, 18:17 01-09-2017
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
Однако.
У меня не стандартный rc.firewall, потому не знаю что там в стоке.
Ну оставить тогда allow from any to any и поднять pfnat на внешнем интерфейсе.

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 17:30 21-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
goletsa
Стандартный можешь глянуть в /usr/share/examples/etc/rc.firewall
У меня тож не стандартный, сам там смотрю.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 17:41 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001
goletsa
Сижу уж очень далеко.  
Стрёмно немного лезть по удалёнке в ядро.
Вечером сяду спокойно, выкину из башки всё лишнее и пересоберу ядро.  
А то народ вокруг крутится.. одна ошибка и беги покупай билет на электричку....

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 17:41 21-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu
Ты пока можешь поднять ядерный нат загрузкой модуля, проверишь как оно работает, если будет все нормуль, то и собирай ядро тогда, если захочешь.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 17:42 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
тоже самое с правилами фаервола.  

Цитата:
 меня не стандартный rc.firewall, потому не знаю что там в стоке.  
я заглянул и пардон, нихрена не понял. Накрутили больно много чего. Садится и вдумчиво разбиратся нужно.  
У меня тоже он не стандартный всегда....  

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 17:43 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
А причем тут ядро? pf как и ipfw можно модулем загрузить.
Хотя конечно удаленно настраивать файрвол, это к дороге (с)народная мудрость.
Сделайте ipfw add 1 allow ip from any to any чтобы исключить все остальные правила.
И попробуйте прописать конфиги что я дал (под себя изменив адреса и интерфейсы) и сделать /etc/rc.d/pf start
Оно должно само загрузить необходимые модули ядра, без пересборки.

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 17:45 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Гм.  
Кто знает.  
Конфиг от 7-й фряхи под фаервол подойдёт?
Мне проще походу перекинуть со старого и подправить.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 17:45 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu

Цитата:
Конфиг от 7-й фряхи под фаервол подойдёт?  
 

Я разнице в синтаксисе не заметил.
Но там несложный шейпер на дамминет с таблицами
Использую версии с 7 по 9

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 17:47 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goletsa
res2001
Так. Стоп.  
Вы не забыли что у меня УЖЕ в ядре фаервол и диверт по старому?
Если подгружать модулями то конфликтов не получу?
 
причём фаервол "не отключаемый"

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 17:48 21-10-2013 | Исправлено: gryu, 17:51 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
Если у вас one-pass то добавление правила что я давал должно выключить все правила после.
Т.е. divert должен будет выключиться. Ну или явно грохните то правило, чтобы не перенаправляло в natd.
Во фре если не ошибаюсь 3 firewall'а. Они вполне могут работать одновременно.

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 17:49 21-10-2013
res2001



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gryu
Не получишь.
Поставь firewall_enable="NO" и включи PF
Проще все же с ядерным натом ну это как хочешь.

Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 17:49 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
res2001

Цитата:
Поставь firewall_enable="NO" и включи PF  
 

Это только после перезагрузки повлияет.
Он не будет грузить rc.firewall.
 

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 17:51 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goletsa
res2001

Цитата:
Поставь firewall_enable="NO"
чуть раньше обсуждалось.
У меня нет в ядре IPFIREWALL_DEFAULT_TO_ACCEPT
Машина при firewall_enable="NO" закрывает все интерфейсы наглухо.
 
 
Добавлено:
P.S.
Склоняюсь к правке rc.firewall и включении существующего фаера.
Помоему это более безопасно будет.  
У меня этот конфиг достаточно прост.  
гм. Только там по ip6 нет ничего, но это по идее не должно повлиять.  

Цитата:
Если у вас one-pass то добавление правила что я давал должно выключить все правила после.  
угу. Ток в дефолтовом варианте я боюсь нетуда воткну..

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 17:53 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
А вы на живую правила меняйте.  
Не трогайте пока файлы ipfw, пока не отладите все.
 
 
 
Добавлено:
gryu

ipfw add 1 allow ip from any to any  

Добавит правило с номером 1 которое будет все разрешать.
 
 
Добавлено:
Плюс я бы на всякий добавил пару правил
ipfw add 2 allow ip from me to any
ipfw add 2 allow ip from any to me
И удалил пока divert
ipfw del 50  
Но только после добавления разрешающих правил.
А то диверт на себя все заворачивает.
 
 
Добавлено:
Это все для тестов естественно.
Потом такие правила лучше убрать, они просто открывают сервер полностью наружу.

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 18:02 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goletsa
Угу. Спасибо.
Попробую.  
Поехал я на базу... продолжу оттуда. А то если ещё задержусь, КПП не выпустит....

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 18:07 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu

Цитата:
гм. Только там по ip6 нет ничего, но это по идее не должно повлиять.  

Я пока все о V6 выпилил из ядра.
 
Закоментив при сборке:
 
#options        INET6                   # IPv6 communications protocols
#options        SCTP                    # Stream Control Transmission Protocol
 
 

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 18:10 21-10-2013 | Исправлено: goletsa, 18:19 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ха! А походу помогло!
Пока собирался, запустил опять по циклу make cleandepend && make depend
Пока НАТ ведёт себя нормально.  
Всё. Я уехал.

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 18:19 21-10-2013
goletsa



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gryu
Что помогло? Прибить divert?

Всего записей: 5776 | Зарегистр. 21-06-2005 | Отправлено: 19:42 21-10-2013
tsypkin



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно посмотреть еще раз ipfw show

Всего записей: 245 | Зарегистр. 23-07-2009 | Отправлено: 19:48 21-10-2013
gryu



дикий гусь
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
goletsa
tsypkin
Я применил все правила http://forum.ru-board.com/topic.cgi?forum=65&topic=3200&start=1480#15
По отдельности не проверял.
 
Код:
ipfw show
00001   554299    456858376 allow ip from any to any
00002        0            0 allow ip from me to any
00002        0            0 allow ip from any to me
00100 81825617   4582234488 allow ip from any to any via lo0
00200        0            0 deny ip from any to 127.0.0.0/8
00300        0            0 deny ip from 127.0.0.0/8 to any
00400        0            0 deny ip from any to ::1
00500        0            0 deny ip from ::1 to any
00600        4          312 allow ipv6-icmp from :: to ff02::/16
00700        0            0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800        1           96 allow ipv6-icmp from fe80::/10 to ff02::/16
00900        0            0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000        0            0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 42066852 117270058903 allow ip from any to any
65535        8          704 deny ip from any to any
 

Всего записей: 12952 | Зарегистр. 15-03-2006 | Отправлено: 19:53 21-10-2013
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110

Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru