articlebot Administrator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору FreeBSD     Господа! Общие вопросы по FreeBSD - это не помойка для всех подряд вопросов по данной ОС. Здесь можно задать вопрос, ради которого открывать отдельную тему не имеет смысла, то есть когда вопрос очень простой. Если же вопрос касается настроек, конфигурированиях и т.д. и т.п. - следует открывать отдельные темы (а сначала воспользоваться фильтром тут и тут). Официальные ресурсы по FreeBSD FreeBSD Офицальное руководство пользователя FreeBSD Официальные книги   FTP FreeBSD Fundation Официальный форум FreeBSD Полезные ссылки по FreeBSD FreshPorts - уязвимости, обновления и другая информация по портам Daemoniada, или За свободный десктоп - ОС FreeBSD, ее устройство и использование в мирных (то есть настольных) целях.   bsd.opennet.ru - мини-портал информация по FreeBSD и OpenBSD на opennet.ru Часто Задаваемые Вопросы по FreeBSD 2.X, 3.X и 4.X  - Большой ФАК по FreeBSD   An Illustrated Guide To Installing FreeBSD - Иллюстрированное Руководство по Установке FreeBSD news.gamma.ru   fido7.ru.unix.bsd   http://pascal.tsu.ru/ http://www.freebsddiary.org/ (англ.) http://www.onlamp.com/bsd/ (англ.) http://www.freebsdhowtos.com/ - огромное количество инструкций "как сделать" для операционной системы FreeBSD (англ) http://flag.blackened.net/freebsd/index.html - инструкции по FreeBSD для ленивых  (англ)   http://www.lissyara.su/?id=1007 Очень достойный ресурс по FreeBSD (Рус) http://live.daemony.org/doc/ Ещё один достойный ресурс по FreeBSD (Рус)   Также обратите внимание на тему FreeBSD FAQ (Unix FreeBSD FAQ)   http://www.citytel.ru/minibsd/minibsd.html - миниатюрная FreeBSD Поможем проекту *BSD     Предыдущая часть темы   Всего записей: 366 | Зарегистр. 25-05-2001 | Отправлено: 05:58 03-02-2009 | Исправлено: cchameleone, 18:17 01-09-2017

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору res2001 Гм.   Я обновляюсь бинарным апдейтом.   Т.е.   # freebsd-update upgrade -r <нужная версия ОС> # freebsd-update install У меня редко что не сходится. Бывает конечно, но не часто. Конфиги да. Приводить в норму потом приходится.   Как я уже упоминал, там при апдейте vi используют....   Поэтому по минимуму там, а потом вручную через ee.   (кстати ee потому что через Putty работаю и PuTTy+ee это вообще шикарно. Буфер как в виндах.....)   Мдя. Только вот что ещё.   Я между ветками не мигрирую.   Т.е. 7.0 -> 7.1 или  7.2 -> 7.4   Но не 7.* -> 8.*   Хотя можно и так. На тестовом серваке я так делал.     P.S. Ядро перед апдейтом возвращаю GENERIC.   Потом пересобираю.     Добавлено: goletsa Цитата: Неа, просто у вас весь трафик с внешнего интерфейса заворачивался в natd. Это плохое решение   Про то что всё через НАТ я в курсе.   хм. а что вы предлагаете? Про pfnat я вас услышал.   Я имею ввиду как изменить правила в фаерволе чтоб правильно было?     Вот моя болванка. Брал когда то где то... потом менял... короче первоначальный источник не помню Подробнее...       Добавлено: res2001 Это делаете? Вы же, как я понял через svn это делаете? Код:  По необходимости, удаляем старые библиотеки:   freebsd /# cd /usr/src && make check-old freebsd /# yes | make delete-old freebsd /# yes | make delete-old-libs   чистим за собой /usr/obj   freebsd /# cd /usr/obj && chflags -R noschg * && rm -rf *   Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 11:57 22-10-2013 | Исправлено: gryu, 12:21 22-10-2013

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gryu Да старые библиотеки чищу. /usr/obj удаляю совсем. Обновляю из исходников по инструкции в хэндбуке. И да, обычно такое происходит при переходе через мажорную версию. Как правило при апгрейде только минорной версии не требуется перекомпиляция мира, поэтому такого не происходит.   Цитата: Я имею ввиду как изменить правила в фаерволе чтоб правильно было?   Надо до диверта поставить разрешающие правила от me и обратно, т.к. me - нат не нужен вовсе.   По болванке - используешь правило check-state, при этом нет ни одного правила с keep-state. check-state можно смело убрать, но лучше добавить keep-state ко всем разрешающим правилам, которые идут после check-state. И да, check-state должен быть после диверта (если добавишь keep-state). В таком виде как у тебя сейчас механизм "сохранения состояния" (check-state/keep-state) не работает. С сохранением состояния фаер работает гораздо быстрее. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 13:15 22-10-2013

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору res2001 А попробуйте на тестовом серваке обновится бинарным апдейтом. Глядишь и проблема рассосётся. Только перед апдейтом веринитесь на женерик. Кстати рекомендация про женерик .... ну вобщем я и так и так пробовал.   В принципе работает. Если у вас в ядре нет ничего "сверх нестандартного". Но пересобираю я в любом случае.       Добавлено: res2001 Цитата: до диверта поставить разрешающие правила от me и обратно это вы про находящиеся внизу разрешающие правила по внутренней сетке? Код: # разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе) ${FwCMD} add allow tcp from any to any via ${LanIn} # разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе) ${FwCMD} add allow udp from any to any via ${LanIn} # разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе) ${FwCMD} add allow icmp from any to any via ${LanIn} я думал об этом. Не помню почему отказался. Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 14:08 22-10-2013

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gryu Цитата: А попробуйте Хотел в последний раз попробовать, но уже после целой недели плясок с бубном вокруг фряхи, мне уже это осточертело и я в итоге опять накатил свежую версию с нуля. В следующий раз попробую. Спсасибо за совет.   Цитата: это вы про находящиеся внизу разрешающие правила по внутренней сетке?   И про эти правила и правила на внешнем интерфейсе к me. Для локалки они будут выглядеть так: ${FwCMD} add allow tcp from any to me in recv ${LanIn}   ${FwCMD} add allow tcp from me to any out xmit ${LanIn}   Для внешнего интерфейса аналогичным образом, только, конечно, надо более конкретизировать их в зависимости от того какие службы у тебя работают на фрихе, остальные отправлять на диверт. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 14:32 22-10-2013

tsypkin Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Код: # разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)   ${FwCMD} add allow tcp from any to any via ${LanIn}   # разрешаем весь udp траффик внутри локалки (на внутреннем интерфейсе)   ${FwCMD} add allow udp from any to any via ${LanIn}   # разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)   ${FwCMD} add allow icmp from any to any via ${LanIn}   я думал об этом. Не помню почему отказался.   Все что идет через локалку на divret не попадает, там прописан только wan-интерфейс. Прописывать имеет смысл дополнительно только ненужный для ната трафик на внешнем интерфейсе. Всего записей: 250 | Зарегистр. 23-07-2009 | Отправлено: 15:27 22-10-2013

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tsypkin эм... да..   что то ступил.   Но тогда я не совсем понял что вы имеете ввиду.   Код: # разрешаем DNS снаружи ${FwCMD} add allow udp from any 53 to any via ${LanOut} # разрешаем DNS входящий снаружи ${FwCMD} add allow udp from any to any 53 via ${LanOut} пускай внутри тоже будет. Мало ли что с DNS Код: # разрешаем UDP (для синхронизации времени - 123 порт) #${FwCMD} add allow udp from any to any 123 via ${LanOut} Я не ставлю сервер синхронизации времени. Клиенты сами синхронизируются. Может это и не совсем правильно Код:   # разрешаем ftp снаружи (пасивный режим) ${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut} # разрешаем некоторые типы ICMP траффика - эхо-запрос, # эхо-ответ и время жизни пакета истекло ${FwCMD} add allow icmp from any to any icmptypes 0,8,11 # открываем снаружи 80 порт - если у нас есть WWW сервер на машине ${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut} # открываем снаружи 25 порт (SMTP) если на машине крутится почта #${FwCMD} add allow tcp from any to ${IpOut} 25 via ${LanOut} # открываем снаружи 22 порт - если надо будет ходить на машину по ssh ${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut} # открываем снаружи 143 порт(если надо смотреть почту снаружи по IMAP) ${FwCMD} add allow tcp from any to ${IpOut} 143 via ${LanOut} # открываем снаружи 110 порт(если надо смотреть почту снаружи по POP) ${FwCMD} add allow tcp from any to ${IpOut} 110 via ${LanOut}     иногда внутри сервера бывают. Даже не по постоянке.   Просто дело в том что возможно вас ввело в заблуждение   Код: natd_flags="-u -s -m" на самом деле   Код: natd_flags="-u -f /etc/natd.conf" и там ещё редиректов куча. Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 16:23 22-10-2013 | Исправлено: gryu, 16:24 22-10-2013

tsypkin Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: эм... да..    что то ступил.   Но тогда я не совсем понял что вы имеете ввиду.     Смысл в том, чтобы прописать сначала то, что не должно попадать в NAT, а потом правило divert. Всего записей: 250 | Зарегистр. 23-07-2009 | Отправлено: 17:00 22-10-2013

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tsypkin идеологически это понятно. Просто тут начинается проблема с тем, чтобы правильно определить ЧТО на НАТ не нужно, а что нужно. Ведь большинство сервисов могут быть и внутри. Тот же почтарь. Ну сейчас он у меня параллельно стоит со шлюзом. Исполняет в том числе роль резервного шлюза. Но как то он умер и пришлось по быстрому поднимать внутри сети почтарь на АльтЛинукс.   Алиас прописал, порты пробросил и работает.   А если вынести до диверта, то правит фаервол придёттся     Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 17:52 22-10-2013

tsypkin Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gryu   Так если у вас ничего кроме шлюза, vpn, squid не будет на нем, поставьте pfsense, там и carp есть все само будет переключаться к тому же. Всего записей: 250 | Зарегистр. 23-07-2009 | Отправлено: 17:54 22-10-2013

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору gryu Цитата: А если вынести до диверта, то правит фаервол придёттся   Ну уж если ты новый сервер поставил, то поменять пару правил в фаере труда не составит С другой стороны, даже если natd обрабатывает пакеты направленные к me, то он все равно не должен так нагружать процессор. Аппарат у тебя вроде вполне подходящий для подобных целей. Была бы убитая машина, то, да, может быть. Уходи от natd на ipfw nat. Смотри man ipfw раздел по NAT. Изменения в правилах минимальны (divert меняешь на nat) ну и инициализировать nat надо вначале (если использовать стандартный rc.firewall то инициализация происходит автоматически), все опции аналогичны natd.   Кстати, да, pfsense неплохая штука, внутри та же FreeBSD, настройка вся с веб морды. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 09:09 23-10-2013

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tsypkin Цитата: поставьте pfsense В качестве офтопа. А не захотел он ставится на мои серваки.   Походу эта сборка сделана под обычные десктопы по принципу "поставил на первый попавшийся комп". А у меня хоть и не новейшие, но серьёзные IBM-овские сервера. Так pfsense даже не загружается. Чего то много чего не находит и крашется. (это я просто пробовал "на посмотреть что за зверь")     Добавлено: Цитата: pfsense неплохая штука, внутри та же FreeBSD pfsense "официальная дочка" FreeBSD. Так же как PCBSD и FreeNAS (но не NAS4Free).   На оф страничке FreeBSD.org ссылки на эти проекты прямо выложены. ... типа как "официальные дети". Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 11:45 23-10-2013

tsypkin Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gryu   Проверил на HP DL360 - нормально встал... Всего записей: 250 | Зарегистр. 23-07-2009 | Отправлено: 13:26 23-10-2013

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tsypkin а у меня он даже на старинный IBM  xSeries 306  8836-5MY не встаёт.   Хотя тот вообще на 478 цокете. Т.е. практически дэсктопная платформа.   Дажн если я SCSI отключаю и ставлю SATA диски. (благо у него три независимых интерфейса. IDE, SATA и SCSI Два последних с аппаратными RAID 0/1 за то и держу) Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 16:53 23-10-2013 | Исправлено: gryu, 16:58 23-10-2013

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gryu Цитата: FreeNAS (но не NAS4Free).   Может наоборот? Это FreeNAS ударился в коммерцию. В Nas4Free ядро и юзерленж бсд с очень небольшими изменениями, последняя версия собрана на базе 9.1-RELEASE Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 18:21 23-10-2013

gryu дикий гусь Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa  в самом низу. FreeBSD-derived Operating System Distributions   FreeBSD is widely used as a building block for other commercial and open-source operating systems. The projects below are widely used and of particular interest to FreeBSD users.       FreeNAS is an open source storage platform based on FreeBSD and supports sharing across Windows, Apple, and UNIX-like systems.       PC-BSD is a FreeBSD derivative with a graphical installer and impressive desktop tools aimed at ease of use for the casual computer user.       pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. Всего записей: 13033 | Зарегистр. 15-03-2006 | Отправлено: 22:34 23-10-2013 | Исправлено: gryu, 22:37 23-10-2013

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору niko7 Нормальный. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 13:47 01-11-2013

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору niko7 А что еще кто-то ставит i386? x86_64 не котируется? Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 15:33 01-11-2013

res2001 Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору goletsa Я ставлю обычно как раз i386, потому что для фряхи использую машинки с небольшим количеством памяти, не больше 4Г. Поэтому смысла ставить х64 нет, имхо. Будет машина с >4Гб оперативки, тогда, ессно только х64. Всего записей: 2580 | Зарегистр. 11-04-2003 | Отправлено: 15:40 01-11-2013

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору res2001 Понятно. У меня всего 2 машинки на i386 остались, которые в 2008-2009 годах собирал. Даже если памяти всего 2ГБ, производительность в некоторых операция выше в x64. ну по крайней мере в моей специфики с mpd5/pppoe Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 16:00 01-11-2013

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111

Компьютерный форум Ru.Board » Операционные системы » UNIX » Общие вопросы по FreeBSD

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование