forum.opennet.ru - "Исчезают правила в ipfw" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Исчезают правила в ipfw"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Исчезают правила в ipfw"		+/–
Сообщение от mrsg (ok) on 20-Ноя-09, 10:01
Шлюз с FreeBSD 6.1, IPFW, NAT Примерно раз в месяц бухгалтерша жалуется, что не работает клиент банк. Я перезапускаю скрипт с настройками фаервола и все нормуль. После сравнения настроек фаервола до и после, оказалось, что пропадают правила открывающие доступ для клиент банка и для специфичной почты, причем удаляются именно все правила касающиеся этих соединений, а не часть из них. Подскажите в чем дело
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Исчезают правила в ipfw, mrsg, 13:47 , 20-Ноя-09, (1)

Исчезают правила в ipfw, PJ, 16:09 , 20-Ноя-09, (2)

Исчезают правила в ipfw, mrsg, 07:37 , 23-Ноя-09, (3)

Исчезают правила в ipfw, Сергей, 09:14 , 23-Ноя-09, (4)

Исчезают правила в ipfw, PavelR, 10:04 , 23-Ноя-09, (5)

Исчезают правила в ipfw, Pahanivo, 10:26 , 23-Ноя-09, (6)

Исчезают правила в ipfw, mrsg, 10:02 , 30-Ноя-09, (7)

Исчезают правила в ipfw, PavelR, 10:56 , 30-Ноя-09, (8)
Исчезают правила в ipfw, sHaggY_caT, 23:59 , 30-Ноя-09, (9)

Исчезают правила в ipfw, sHaggY_caT, 00:02 , 01-Дек-09, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Исчезают правила в ipfw" +/–

Сообщение от mrsg (ok) on 20-Ноя-09, 13:47

Во какое дело: удаляются именно, правила в которых прописан не ip адрес а доменное имя

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Исчезают правила в ipfw" +/–

Сообщение от PJ (ok) on 20-Ноя-09, 16:09

>Во какое дело: удаляются именно, правила в которых прописан не ip адрес
>а доменное имя
Ну вы же сами себе уже на вопрос ответили - видимо, в момент добавления правила c именем у вас еще не работает DNS

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Исчезают правила в ipfw" +/–

Сообщение от mrsg (ok) on 23-Ноя-09, 07:37

>
>Ну вы же сами себе уже на вопрос ответили - видимо, в
>момент добавления правила c именем у вас еще не работает DNS
>
Нет дело в том, что, когда я перезапускаю скрипт с правилами IPFW, то все нормально, а, когда он постоит какое-то время, то эти правила как-то удаляются

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Исчезают правила в ipfw" +/–

Сообщение от Сергей (??) on 23-Ноя-09, 09:14

У вас наверное динамический DNS, ну тогда понятно, кончается аренда адреса, ip и имя удаляется из базы и DHCP и DNS, затем первый же запрос в i-net, проход по правилам и соответствующих правил нет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Исчезают правила в ipfw" +/–

Сообщение от PavelR (??) on 23-Ноя-09, 10:04

> У вас наверное динамический DNS, ну тогда понятно, кончается аренда адреса,
>ip и имя удаляется из базы и DHCP и DNS, затем
>первый же запрос в i-net, проход по правилам и соответствующих правил
>нет...
А теперь выразите Вашу мысль нормальными словами, пока она выглядит как бред.

PS: когда выполняется скрипт,выставляющий правила ipfw, происходит resolv доменного имени, прописанного в команде, в IP-адрес, и правило добавляется. Дальше правило живет фиксированно (бесконечно долго) с полученным IP-адресом. Вероятно, что происходит перезагрузка сервера, и правила файрволла создаются до запуска сервисов, в т.ч и DNS - соответственно ресолв не удается. Также возможно, что политика файрволла по умолчанию - закрыто всё, ресолв может не удаться и по этому поводу.
Как себя ведет ipfw, если доменное имя ресолвится в несколько IP я не знаю, но могу предположить что оно может взять только один адрес, и кучу правил создавать не будет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Исчезают правила в ipfw" +/–

Сообщение от Pahanivo (ok) on 23-Ноя-09, 10:26

>[оверквотинг удален]
>PS: когда выполняется скрипт,выставляющий правила ipfw, происходит resolv доменного имени, прописанного в
>команде, в IP-адрес, и правило добавляется. Дальше правило живет фиксированно (бесконечно
>долго) с полученным IP-адресом. Вероятно, что происходит перезагрузка сервера, и правила
>файрволла создаются до запуска сервисов, в т.ч и DNS - соответственно
>ресолв не удается. Также возможно, что политика файрволла по умолчанию -
>закрыто всё, ресолв может не удаться и по этому поводу.
>
>Как себя ведет ipfw, если доменное имя ресолвится в несколько IP я
>не знаю, но могу предположить что оно может взять только один
>адрес, и кучу правил создавать не будет.
+1
товаришь создал себе потенциальные грабли
и затем радостно на них наступил!
не надо юзать имена в фареволе без необходимости ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Исчезают правила в ipfw" +/–

Сообщение от mrsg (ok) on 30-Ноя-09, 10:02

Всем спасибо. Действительно дело не в калдунстве, а в перезагрузке шлюза. Теперь скажите как сделать так чтоб днс грузился раньше фаера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Исчезают правила в ipfw" +/–

Сообщение от PavelR (??) on 30-Ноя-09, 10:56

>Всем спасибо. Действительно дело не в калдунстве, а в перезагрузке шлюза. Теперь
>скажите как сделать так чтоб днс грузился раньше фаера.
Файрволл _должен_ грузиться раньше сервисов, и он это делает, потому что так правильно.
Если Вы хотите "сделать по-своему" - делайте.
Вы не отдаете себе отчет в том, что в случае смены записи в днс правило, которое использует это имя - не изменится, поскольку правила используют IP а не доменное имя.
Дальнейшие рассуждения следует вести исходя из этого понимания.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Исчезают правила в ipfw" +/–

Сообщение от sHaggY_caT (ok) on 30-Ноя-09, 23:59

>Всем спасибо. Действительно дело не в калдунстве, а в перезагрузке шлюза. Теперь
Набор правил большой? IP меняются? Может быть, внести /etc/hosts?
Использовать внешний DNS действительно очень плохая идея :(
Вы можете по крону генерировать /etc/hosts bash-скриптом, дергая DNS с помощью того же dig
>скажите как сделать так чтоб днс грузился раньше фаера.
Можно сменить номер в имени стартового сценария, или поправить rc.conf(смотря где прописано, и какая инициализация, из OpenBSD, или старая), но, еще раз, это не есть правильный способ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Исчезают правила в ipfw" +/–

Сообщение от sHaggY_caT (ok) on 01-Дек-09, 00:02

>[оверквотинг удален]
>Использовать внешний DNS действительно очень плохая идея :(
>
>Вы можете по крону генерировать /etc/hosts bash-скриптом, дергая DNS с помощью того
>же dig
>
>>скажите как сделать так чтоб днс грузился раньше фаера.
>
>Можно сменить номер в имени стартового сценария, или поправить rc.conf(смотря где прописано,
>и какая инициализация, из OpenBSD, или старая), но, еще раз, это
>не есть правильный способ
Что-то не могу отредактировать сообщение,
s/Использовать внешний DNS действительно очень плохая идея :( /использовать в пакетном фильтре DNS действительно плохая идея,
Вот так правильно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Исчезают правила в ipfw"		+/–
Сообщение от mrsg (ok) on 20-Ноя-09, 13:47
Во какое дело: удаляются именно, правила в которых прописан не ip адрес а доменное имя
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Исчезают правила в ipfw"		+/–
	Сообщение от PJ (ok) on 20-Ноя-09, 16:09
	>Во какое дело: удаляются именно, правила в которых прописан не ip адрес >а доменное имя Ну вы же сами себе уже на вопрос ответили - видимо, в момент добавления правила c именем у вас еще не работает DNS
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Исчезают правила в ipfw"		+/–
	Сообщение от mrsg (ok) on 23-Ноя-09, 07:37
	> >Ну вы же сами себе уже на вопрос ответили - видимо, в >момент добавления правила c именем у вас еще не работает DNS > Нет дело в том, что, когда я перезапускаю скрипт с правилами IPFW, то все нормально, а, когда он постоит какое-то время, то эти правила как-то удаляются
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Исчезают правила в ipfw"		+/–
	Сообщение от Сергей (??) on 23-Ноя-09, 09:14
	У вас наверное динамический DNS, ну тогда понятно, кончается аренда адреса, ip и имя удаляется из базы и DHCP и DNS, затем первый же запрос в i-net, проход по правилам и соответствующих правил нет...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Исчезают правила в ipfw"		+/–
	Сообщение от PavelR (??) on 23-Ноя-09, 10:04
	> У вас наверное динамический DNS, ну тогда понятно, кончается аренда адреса, >ip и имя удаляется из базы и DHCP и DNS, затем >первый же запрос в i-net, проход по правилам и соответствующих правил >нет... А теперь выразите Вашу мысль нормальными словами, пока она выглядит как бред. PS: когда выполняется скрипт,выставляющий правила ipfw, происходит resolv доменного имени, прописанного в команде, в IP-адрес, и правило добавляется. Дальше правило живет фиксированно (бесконечно долго) с полученным IP-адресом. Вероятно, что происходит перезагрузка сервера, и правила файрволла создаются до запуска сервисов, в т.ч и DNS - соответственно ресолв не удается. Также возможно, что политика файрволла по умолчанию - закрыто всё, ресолв может не удаться и по этому поводу. Как себя ведет ipfw, если доменное имя ресолвится в несколько IP я не знаю, но могу предположить что оно может взять только один адрес, и кучу правил создавать не будет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Исчезают правила в ipfw"		+/–
	Сообщение от Pahanivo (ok) on 23-Ноя-09, 10:26
	>[оверквотинг удален] >PS: когда выполняется скрипт,выставляющий правила ipfw, происходит resolv доменного имени, прописанного в >команде, в IP-адрес, и правило добавляется. Дальше правило живет фиксированно (бесконечно >долго) с полученным IP-адресом. Вероятно, что происходит перезагрузка сервера, и правила >файрволла создаются до запуска сервисов, в т.ч и DNS - соответственно >ресолв не удается. Также возможно, что политика файрволла по умолчанию - >закрыто всё, ресолв может не удаться и по этому поводу. > >Как себя ведет ipfw, если доменное имя ресолвится в несколько IP я >не знаю, но могу предположить что оно может взять только один >адрес, и кучу правил создавать не будет. +1 товаришь создал себе потенциальные грабли и затем радостно на них наступил! не надо юзать имена в фареволе без необходимости ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Исчезают правила в ipfw"		+/–
	Сообщение от mrsg (ok) on 30-Ноя-09, 10:02
	Всем спасибо. Действительно дело не в калдунстве, а в перезагрузке шлюза. Теперь скажите как сделать так чтоб днс грузился раньше фаера.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Исчезают правила в ipfw"		+/–
	Сообщение от PavelR (??) on 30-Ноя-09, 10:56
	>Всем спасибо. Действительно дело не в калдунстве, а в перезагрузке шлюза. Теперь >скажите как сделать так чтоб днс грузился раньше фаера. Файрволл _должен_ грузиться раньше сервисов, и он это делает, потому что так правильно. Если Вы хотите "сделать по-своему" - делайте. Вы не отдаете себе отчет в том, что в случае смены записи в днс правило, которое использует это имя - не изменится, поскольку правила используют IP а не доменное имя. Дальнейшие рассуждения следует вести исходя из этого понимания.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Исчезают правила в ipfw"		+/–
	Сообщение от sHaggY_caT (ok) on 30-Ноя-09, 23:59
	>Всем спасибо. Действительно дело не в калдунстве, а в перезагрузке шлюза. Теперь Набор правил большой? IP меняются? Может быть, внести /etc/hosts? Использовать внешний DNS действительно очень плохая идея :( Вы можете по крону генерировать /etc/hosts bash-скриптом, дергая DNS с помощью того же dig >скажите как сделать так чтоб днс грузился раньше фаера. Можно сменить номер в имени стартового сценария, или поправить rc.conf(смотря где прописано, и какая инициализация, из OpenBSD, или старая), но, еще раз, это не есть правильный способ
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Исчезают правила в ipfw"		+/–
	Сообщение от sHaggY_caT (ok) on 01-Дек-09, 00:02
	>[оверквотинг удален] >Использовать внешний DNS действительно очень плохая идея :( > >Вы можете по крону генерировать /etc/hosts bash-скриптом, дергая DNS с помощью того >же dig > >>скажите как сделать так чтоб днс грузился раньше фаера. > >Можно сменить номер в имени стартового сценария, или поправить rc.conf(смотря где прописано, >и какая инициализация, из OpenBSD, или старая), но, еще раз, это >не есть правильный способ Что-то не могу отредактировать сообщение, s/Использовать внешний DNS действительно очень плохая идея :( /использовать в пакетном фильтре DNS действительно плохая идея, Вот так правильно
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору