https://www.opennet.ru/openforum/vsluhforumID1/95088.html Добрый день.<br>Столкнулся со странным, на мой взгляд, поведением ipfw (FreeBSD 8.4 ядро стандартное),<br>при изменении правил - добавления, правки, для того чтоб они заработали приходится делать рестарт(ifconfig de0 down/up) интерфейса... это болезнь, глюк или так должно быть?<br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#26 Mon, 14 Oct 2013 02:53:01 GMT &gt;&gt;&gt; echo 'net.inet.ip.fw.default_to_accept=1' &gt;&gt; /boot/loader.conf && shutdown -r now <br>&gt;&gt; это не решит проблемы не понимания и неумения состалять правила <br>&gt; понимание и умение есть) <br><br>это утверждение оспорено в постах выше<br>&gt; но ни в одном файрволе не видел подобной <br>&gt; схемы инициализации фаера.<br><br>нууу тут кагбэ ручки виноваты, а не система ....<br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#25 Fri, 11 Oct 2013 12:14:33 GMT &gt;&gt; echo 'net.inet.ip.fw.default_to_accept=1' &gt;&gt; /boot/loader.conf && shutdown -r now <br>&gt; это не решит проблемы не понимания и неумения состалять правила <br><br>понимание и умение есть) но ни в одном файрволе не видел подобной схемы инициализации фаера.<br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#24 Fri, 11 Oct 2013 08:16:42 GMT &gt;&gt; echo 'net.inet.ip.fw.default_to_accept=1' &gt;&gt; /boot/loader.conf && shutdown -r now <br>&gt; это не решит проблемы не понимания и неумения состалять правила <br><br>Не могу не согласиться. <br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#23 Fri, 11 Oct 2013 03:43:54 GMT &gt; echo 'net.inet.ip.fw.default_to_accept=1' &gt;&gt; /boot/loader.conf && shutdown -r now <br><br>это не решит проблемы не понимания и неумения состалять правила<br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#22 Thu, 10 Oct 2013 16:58:11 GMT echo 'net.inet.ip.fw.default_to_accept=1' &gt;&gt; /boot/loader.conf && shutdown -r now<br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#21 Thu, 10 Oct 2013 13:23:14 GMT &gt;[оверквотинг удален]<br>&gt; НЕИЗВЕСТНЫЙ (UNKNOWN) - отключает загрузку правил брандмауэра.<br>&gt; Название файла (filename) - загружает правила из данного файла (полный путь обязателен) <br>&gt; Для "клиент" и "простой" записи ниже, должны быть настроены соответствующим образом.<br>&gt; Поскольку вы закомментировали #firewall_script="/etc/..." <br>&gt; а тип фаера не указали, то загрузка происходит из /etc/defaults/rc.conf <br>&gt; в котором и указано <br>&gt; firewall_type="UNKNOWN" <br>&gt; см. выше =&gt; со всеми вытекающими отсюда.<br>&gt; Короче, в оконцовке, можете поставить себе <br>&gt; firewall_type="CLIENT" <br><br>СПАСИБО!<br> https://www.opennet.ru/openforum/vsluhforumID1/95088.html#20 Thu, 10 Oct 2013 13:19:25 GMT &gt; Но почему для начала работы разрешющих, в которых уже есть интерфейс de0, <br>&gt; необходимо переинициализировать интерфейс?<br><br>А это потому, что система грузанулась без этого сетевого ифейса в фаере!<br>В файлик /etc/rc.firewall загляните.<br>Там и ответ.<br><br>############<br># Define the firewall type in /etc/rc.conf. Valid values are:<br># open - will allow anyone in<br># client - will try to protect just this machine<br># simple - will try to protect a whole network<br># closed - totally disables IP services except via lo0 interface<br># workstation - will try to protect just this machine using statefull<br># firewalling. See below for rc.conf variables used<br># UNKNOWN - disables the loading of firewall rules.<br># filename - will load the rules in the given filename (full path required)<br>#<br># For ``client'' and ``simple'' the entries below should be customized<br># appropriately.<br><br><br>Определяем тип брандмауэра в /etc/rc.conf. Допустимые значения:<br>open (открытый) - позво https://www.opennet.ru/openforum/vsluhforumID1/95088.html#19 Thu, 10 Oct 2013 12:54:31 GMT &gt; Вот смотрите, что происходит: <br>&gt; ядро вы не трогали, следствие =&gt; по дефолту последнее правило 65535 deny <br>&gt; ip from any to any <br>&gt; в ipfw list правил относящихся к вашему интерфейсу de0 НЕТ!<br>&gt; (Подозреваю, что отсюда растут ноги появления строки с lo0 в rc.conf ) <br>&gt; Как и куда пакеты вылетят? В никуда.<br>&gt; Вы добавляете 10 и 11 правила <br>&gt; ipfw add 10 allow all from any to me via de0 <br>&gt; ipfw add 11 allow all from me to any via de0 <br>&gt; UP/DOWN заставляет систему заново переинициализировать сетевой интерфейс.<br><br>Хорошо, правил в изначально загруженном списке_правил, относясищхся к de0 нет, есть запрещающее правило для всего.(сюда же должен попасть и запрет для de0)<br>Но почему для начала работы разрешющих, в которых уже есть интерфейс de0, необходимо переинициализировать интерфейс?<br>из-за того что нет ни одного разрещающего правила для de0 при старте системы, ввод новых разрешающих, требуется положить и поднять de0 или пнуть с консоли пинг во внешку?<br><br><br>&gt; ЗЫ Какой пинг добавлять в конце? Вы что?<br><br>ну эт https://www.opennet.ru/openforum/vsluhforumID1/95088.html#18 Thu, 10 Oct 2013 12:44:32 GMT Вот смотрите, что происходит:<br>ядро вы не трогали, следствие =&gt; по дефолту последнее правило 65535 deny ip from any to any<br>в ipfw list правил относящихся к вашему интерфейсу de0 НЕТ!<br>(Подозреваю, что отсюда растут ноги появления строки с lo0 в rc.conf )<br>Как и куда пакеты вылетят? В никуда.<br>Вы добавляете 10 и 11 правила<br>ipfw add 10 allow all from any to me via de0<br>ipfw add 11 allow all from me to any via de0<br><br>UP/DOWN заставляет систему заново переинициализировать сетевой интерфейс.<br><br>ЗЫ Какой пинг добавлять в конце? Вы что?<br>Я ж вам выше советовал - настрогайте СВОИ правила. И все будет в шоколаде.<br>