форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос по ipfw"
Сообщение от amlt on 16-Окт-03, 13:11  (MSK)
Пытаюсь настроить ipfw на freebsd 4.8. В мане по ipfw сказано, что если в rc.conf тип файрволла аказать как путь к файлу, то правила будут браться из этого файла. Так и сделал (у меня /etc/ipfw). Потом прочел, что правила надо указывать в rc.firewall. Переписал его. После этого правила из /etc/ipfw игнорируются, а беруться правила из rc.firewall. Так где все-таки надо указывать правила? Или все равно, но у rc.firawall есть приоритет? Может из-за этого не один сетвой сервис (DNS, SSН) не работают (вернее они работают только на машине на которой установлен sshd и named).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос по ipfw"
Сообщение от mazaj on 16-Окт-03, 13:19  (MSK)
>Так где все-таки надо указывать правила? в /etc/defaults/rc.conf "сказано" firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall если ты хочешь "брать" правила из другого файла то в /etc/rc.conf                                                                                                   ^^^^^^^^^^^^ напиши firewall_script="/etc/имя_твоего_фала" >Может из-за этого не один сетвой сервис (DNS, SSН) не работают (вернее >они работают только на машине на которой установлен sshd и named). > вообщето не мешало б почитать что-то вроде http://www.unix.org.ua/orelly/networking/firewall/index.htm а что касается настройки служб, конкретно http://www.unix.org.ua/orelly/networking/firewall/ch08_01.htm
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Вопрос по ipfw"
	Сообщение от amlt on 16-Окт-03, 13:33  (MSK)
	>в /etc/defaults/rc.conf "сказано" > >firewall_script="/etc/rc.firewall" # Which script to run to set up the >firewall > >если ты хочешь "брать" правила из другого файла то в /etc/rc.conf                                                                                                   >напиши firewall_script="/etc/имя_твоего_фала" Тогда вопрос, почему при firewall_script="/etc/rc.firewall правила брались из моего файла, т.е. #ipfw show выводил мои правила? >а что касается настройки служб, конкретно За ссылки спасибо. Вопрос, если на машине с работающим на ней bind имена резолвятся (точно используя bind), то может быть так, что на машинах, у которых тот DNS прописан в настройках, dns не работает из-за неправильной настройки bind? Аналогично с SSH и телнет?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Вопрос по ipfw"
	Сообщение от dawnshade on 16-Окт-03, 13:59  (MSK)
	ИМХО правильней firewall_script="/etc/fw4gateway" типа того и там уже писать. будет меньше проблем с mergmaster
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Вопрос по ipfw"
	Сообщение от mazaj on 16-Окт-03, 14:46  (MSK)
	>Вопрос, если на машине с работающим на ней bind имена резолвятся (точно >используя bind), то может быть так, что на машинах, у которых >тот DNS прописан в настройках, dns не работает из-за неправильной настройки >bind? >Аналогично с SSH и телнет? не понимаю вопрос :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Вопрос по ipfw"
	Сообщение от amlt on 16-Окт-03, 15:03  (MSK)
	>не понимаю вопрос :( Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping amlt), то имя резолвится и пингуется. При этом для этого точно используется bind. А с других нет. Кромене пинга вообще ничего. Тоже самое с SSH и телнет, с машины на которой запущен sshd можно зайти по ssh на нее же, а с другой нет. Первым правилом при этом стоит allow all from any to any.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Вопрос по ipfw"
	Сообщение от mazaj on 16-Окт-03, 15:12  (MSK)
	>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping >amlt), то имя резолвится и пингуется. При этом для этого точно >используется bind. >А с других нет. Кромене пинга вообще ничего. >Тоже самое с SSH и телнет, с машины на которой запущен sshd >можно зайти по ssh на нее же, а с другой нет. > >Первым правилом при этом стоит allow all from any to any. давай больше данных!! 1. какие клиенты (юних или вин)... 2. попробуй telnet [server] 53   что выдает? 3. попробуй telnet [server] 22   что выдает?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Вопрос по ipfw"
	Сообщение от amlt on 17-Окт-03, 10:25  (MSK)
	>1. какие клиенты (юних или вин)... Win >2. попробуй telnet [server] 53   что выдает? >3. попробуй telnet [server] 22   что выдает? Connection then refused
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Вопрос по ipfw"
	Сообщение от mazaj on 17-Окт-03, 10:54  (MSK)
	>>1. какие клиенты (юних или вин)... >Win >>2. попробуй telnet [server] 53   что выдает? >>3. попробуй telnet [server] 22   что выдает? > >Connection then refused Давай сюда инфу! на серваке ipfw sh cat sshd_config на клиенте (Вин2000) ipconfig /all , (Вин98)  ipcfg (помоему так - не помню)...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Вопрос по ipfw"
	Сообщение от amlt on 20-Окт-03, 12:40  (MSK)
	>Давай сюда инфу! > >на серваке >ipfw sh 000001 allow all ip from any to any >cat sshd_config # VersionAddenum FreeBSD-20030201 Port 22 Protocol 2,1 # ListenAddress 0.0.0.0 # ListenAddress   : : # HostKey for protocol version 1 # HostKey  /etc/ssh/ssh_host_key # HostKey for protocol version 2 # HostKey  /etc/ssh/ssh_host_dsa_key # Lifetime and size of ephemeral version 1 server key # KeyRegenerationInterval 3600 # ServerKeyBits 768 # Logging # obsoletes QuietMode and FascistLogging    SysLogFacility  AUTH    LogLevel     INFO #Authentification:    LoginGraceTime 600    PermitRootLogin no # StrictModes  yes # RSAAuthentification yes # AuthorizedKeysFile  .ssh/authorized_keys # rhost authentification should not be used # RhostsAuthentification no # Don't read the user's ~/.rhosts and ~/.shosts files # IgnoreRhosts  yes # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts # RhostsRSAAuthentification  no # similar for protocol version 2 # HostbasedAuthentification  no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentification and Hostbased Authentification # IgnoreUserKnownHosts  no # To disable tunneled clear text passowords change to no here!    PasswordAuthentification  yes    PermitEmptyPasswords  no # Change to no to disable PAM authentification # ChallengeResponseAuthentifications  yes # Kerberos options # KerberosAuthentification  no # KerberosOrLocalPasswd  yes # KerberosTicketCleanUp  yes # AFSTokenPassing  no # Kerberos TGT Passing only works with the AFS kaserver # KerberosTgtPassing  no # X11Forwarding  yes # X11DisplayOffset  10 # X11UseLocalhost  yes # PrintMotd  yes # PrintLastLog  yes    KeepAlive  yes    UseLogin  yes # UsePrivelegeSeparation  yes # PermitUserEnvironment  yes # Compression  yes # MaxStartup  10 # no default banner # banner /some/path # VerifyReverseMapping  no # override default of no subsystems    Subsystem sftp /usr/libexec/sftpserver >на клиенте (Вин2000) ipconfig /all , (Вин98)  ipcfg (помоему так - >не помню)... Windows IP Configuration         Host Name . . . . . . . . . . . . : amlt         Primary Dns Suffix  . . . . . . . :         Node Type . . . . . . . . . . . . : Unknown         IP Routing Enabled. . . . . . . . : No         WINS Proxy Enabled. . . . . . . . : No Ethernet adapter Local Area Connection:         Connection-specific DNS Suffix  . :         Description . . . . . . . . . . . : Intel(R) PRO/100+ Management Adapter         Physical Address. . . . . . . . . : 00-02-B3-B2-53-06         Dhcp Enabled. . . . . . . . . . . : No         IP Address. . . . . . . . . . . . : 192.168.0.2         Subnet Mask . . . . . . . . . . . : 255.255.255.0         Default Gateway . . . . . . . . . : 192.168.0.1         DNS Servers . . . . . . . . . . . : 192.168.0.3
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Вопрос по ipfw"
	Сообщение от mazaj on 20-Окт-03, 12:55  (MSK)
	>        Default Gateway . .  . . . . . : 192.168.0.1 >        DNS Servers . .  . . . . . . . : 192.168.0.3 > прежде чем начать думать.... ДНС правильно указан?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Вопрос по ipfw"
	Сообщение от amlt on 20-Окт-03, 13:00  (MSK)
	>>        Default Gateway . .  . . . . . : 192.168.0.1 >>        DNS Servers . .  . . . . . . . : 192.168.0.3 >> > >прежде чем начать думать.... ДНС правильно указан? Да, это одна и таже машина. 0.3 - алиас.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Вопрос по ipfw"
	Сообщение от mazaj on 20-Окт-03, 13:08  (MSK)
	>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping >amlt), то имя резолвится и пингуется. При этом для этого точно >используется bind. С чего ты взял что точно bind? Ты ж сам себя пингуешь! А имя в rc.conf указываешь. >А с других нет. Кромене пинга вообще ничего. >Тоже самое с SSH и телнет, с машины на которой запущен sshd >можно зайти по ssh на нее же, а с другой нет. Попробуй зайти по АйПи адресу получиться?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Вопрос по ipfw"
	Сообщение от amlt on 20-Окт-03, 14:13  (MSK)
	>>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping >>amlt), то имя резолвится и пингуется. При этом для этого точно >>используется bind. >С чего ты взял что точно bind? Ты ж сам себя пингуешь! >А имя в rc.conf указываешь. В DNS есть запись о машине amlt (win), а в /etc/hosts ее нет. >>А с других нет. Кромене пинга вообще ничего. >>Тоже самое с SSH и телнет, с машины на которой запущен sshd >>можно зайти по ssh на нее же, а с другой нет. > >Попробуй зайти по АйПи адресу получиться? В смысле telnet 192.168.0.1 ? Не работает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Вопрос по ipfw"
	Сообщение от mazaj on 20-Окт-03, 15:06  (MSK)
	>>>Т.е. на машине работает bind. Если сделать пинг по имени (напр. ping >>>amlt), то имя резолвится и пингуется. При этом для этого точно >>>используется bind. >>С чего ты взял что точно bind? Ты ж сам себя пингуешь! >>А имя в rc.conf указываешь. >В DNS есть запись о машине amlt (win), а в /etc/hosts ее >нет. > >>>А с других нет. Кромене пинга вообще ничего. >>>Тоже самое с SSH и телнет, с машины на которой запущен sshd >>>можно зайти по ssh на нее же, а с другой нет. >> >>Попробуй зайти по АйПи адресу получиться? > >В смысле telnet 192.168.0.1 ? Не работает. блин, чувак у тебя похоже ничего не работает  :( купи себе книжку :-D
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Вопрос по ipfw"
	Сообщение от amlt on 22-Окт-03, 10:45  (MSK)
	>блин, чувак у тебя похоже ничего не работает  :( >купи себе книжку :-D Есть. Блин, ладно черт с ним с dns и ssh. Но телнет то должен работать. В книжке написано: а) запустить inetd (в /etc/rc.conf inetd_enable="YES") б) раскомментировать в /etc/inetd.conf строку с телнетом Но если сказать telnet 192,168,0,1 c нее же, то работает. А с клиента нет. #ipfw sh 00010 0 0 allow log logamount 10 ip from 192.168.0.2 to 192.168.0.1 via dc0 00020 0 0 allow log logamount 10 ip from 192.168.0.2 to 192.168.0.3 via dc0 00030 0 0 allow log logamount 10 ip from 192.168.0.1 to 192.168.0.2 via dc0 00040 0 0 allow log logamount 10 ip from 192.168.0.3 to 192.168.0.2 via dc0 01000 0 0 allow ip from any to any 65535 0 0 deny ip from any to any В логе при этом строки: Oct 21 23:20:02 ntamlt /kernel: ipfw: 20 Accept UDP 192.168.0.2:1040 192.168.0.3:53 in via dc0 Oct 21 23:20:02 ntamlt /kernel: ipfw: 40 Accept UDP 192.168.0.3:53 192.168.0.2:1040 out via dc0 Как я понял запрос от днс и ответ от него, который клиент не получает. Oct 21 23:20:27 ntamlt /kernel: ipfw: 10 Accept TCP 192.168.0.2:1042 192.168.0.1:23 in via dc0 Oct 21 23:20:27 ntamlt /kernel: ipfw: 30 Accept TCP 192.168.0.1:23 192.168.0.2:1042 out via dc0 А это запрос и ответ на телнет, но при этом на клиенте: Connecting To 192.168.0.1...Could not open connection to the host, on port 23: Connect failed P.S. По поводу SSH в моем sshd_config ничего криминального нет?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Вопрос по ipfw"
	Сообщение от mazaj on 23-Окт-03, 11:48  (MSK)
	хай ... тока вот появился...  нучто решил проблему?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Вопрос по ipfw"
	Сообщение от amlt on 23-Окт-03, 14:02  (MSK)
	>хай ... тока вот появился...  нучто решил проблему? Если бы :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Вопрос по ipfw"
	Сообщение от Yury Tarasievich on 24-Окт-03, 16:27  (MSK)
	>>хай ... тока вот появился...  нучто решил проблему? > >Если бы :( Короче: - чтобы *вообще* стартовал файрвол, нужно firewall_enable="yes" - тип файрвола *или* полный путь к файлу с командами указывается в параметре firewall_type - тип файрвола "OPEN" означает, что активируются три команды (по дефолту попадают на номера 100, 200, 300), касающиеся localhost, и финальная разрешающая всё команда - править rc.firewall *не* *надо* :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.