The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема с фаерволом после обновления до 8.0-STABLE"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от Suslick email on 27-Апр-10, 16:40 
Доброго времени суток, вобщем суть проблемы:

На сервере стояла FreeBSD 8.0-RELEASE все работало без проблем, возникла необходимость обновиться до 8.0-STABLE

Результат - перестали нормально работать правила фаервола

В системе появился интерфейс

ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536


Подскажите куда копать, теряюсь в догадках

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от rr on 27-Апр-10, 17:43 
https://www.opennet.ru/opennews/art.shtml?num=26344

#  Проведена основательная ревизия кода ipfw и dummynet, в результате которой в ветки HEAD и stable/8 добавлены такие улучшения, как значительное ускорение работы инструкции skipto, поиск заданного правила теперь имеет сложность O(1) или O(log N) вместо O(N), также значительное увеличение производительности могут отметить пользователи конструкций "skipto tablearg" и "pipe tablearg", при большом наборе правил и pipe-ов. В таблицах теперь можно использовать в качестве аргумента опции "ports" и "tos". Атрибут 'log' теперь отправляет пакеты в псевдо-интерфейс "ipfw0" на котором можно запустить tcpdump для формирования дополнительной выборки. Расширено число поддерживаемых планировщиков в dummynet (FIFO, WF2Q+, Deficit Round Robin, Priority и QFQ). Из планов на будущее отмечается реализации параллельной обработки динамических правил ipfw, при выполнении которых в настоящее время используется эксклюзивная блокировка хэша.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от Suslick email on 28-Апр-10, 05:10 
>[оверквотинг удален]
>в ветки HEAD и stable/8 добавлены такие улучшения, как значительное ускорение
>работы инструкции skipto, поиск заданного правила теперь имеет сложность O(1) или
>O(log N) вместо O(N), также значительное увеличение производительности могут отметить пользователи
>конструкций "skipto tablearg" и "pipe tablearg", при большом наборе правил и
>pipe-ов. В таблицах теперь можно использовать в качестве аргумента опции "ports"
>и "tos". Атрибут 'log' теперь отправляет пакеты в псевдо-интерфейс "ipfw0" на
>котором можно запустить tcpdump для формирования дополнительной выборки. Расширено число поддерживаемых
>планировщиков в dummynet (FIFO, WF2Q+, Deficit Round Robin, Priority и QFQ).
>Из планов на будущее отмечается реализации параллельной обработки динамических правил ipfw,
>при выполнении которых в настоящее время используется эксклюзивная блокировка хэша.

Благодарю за информацию

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от QuAzI (??) on 28-Апр-10, 10:54 
Вопрос только, как новость повлияла на то что "перестали нормально работать правила фаервола". Я например вижу только увеличение производительности и смену системы логирования, но сами правила должны работать.
Кстати, а какие именно правила перестали работать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от Hate email(ok) on 28-Апр-10, 11:23 
>Вопрос только, как новость повлияла на то что "перестали нормально работать правила
>фаервола". Я например вижу только увеличение производительности и смену системы логирования,
>но сами правила должны работать.

А почитать /usr/src/UPDATING для STABLE? А вникнуть и подумать? Не судьба?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от Suslick email on 29-Апр-10, 05:22 
>Вопрос только, как новость повлияла на то что "перестали нормально работать правила
>фаервола". Я например вижу только увеличение производительности и смену системы логирования,
>но сами правила должны работать.
>Кстати, а какие именно правила перестали работать?

Все правила если их взять отдельно прекрасно работают, дело в том что через набор правил, который работал на предидущей системе теперь не работает NAT


Вот правила:

ipfw="/sbin/ipfw"

${ipfw} -f flush

${ipfw} add 1 allow gre from any to any

${ipfw} add 40 allow all from any to any via em1
${ipfw} add 41 allow all from any to any via lo0

${ipfw} add 42 deny ip from any to 127.0.0.0/8
${ipfw} add 43 deny ip from 127.0.0.0/8 to any

${ipfw} add 50 fwd 10.3.33.33,3129 tcp from not 10.3.34.252 to not 10.0.0.0/8 80

${ipfw} add 60 divert natd all from any to any in via em0

${ipfw} add 100 check-state

############## Outgoing ################

${ipfw} add 1000 skipto 10000 icmp from any to any keep-state

${ipfw} add 1100 skipto 10000 udp from any to any 123 out via em0 keep-state

${ipfw} add 1200 skipto 10000 udp from any to any 53 out via em0 keep-state
${ipfw} add 1300 skipto 10000 tcp from any to any 53 out via em0 setup keep-state


${ipfw} add 1500 skipto 10000 tcp from 10.0.0.0/8 to any 20 out via em0 setup keep-state
${ipfw} add 1510 skipto 10000 tcp from 10.0.0.0/8 to any 21 out via em0 setup keep-state
${ipfw} add 1520 skipto 10000 udp from 10.0.0.0/8 to any 20 out via em0 keep-state
${ipfw} add 1530 skipto 10000 udp from 10.0.0.0/8 to any 21 out via em0 keep-state
${ipfw} add 1540 skipto 10000 tcp from 10.0.0.0/8 to any 22 out via em0 setup keep-state
${ipfw} add 1550 skipto 10000 tcp from 10.0.0.0/8 to any 23 out via em0 setup keep-state
${ipfw} add 1560 skipto 10000 tcp from 10.0.0.0/8 to any 25 out via em0 setup keep-state
${ipfw} add 1570 skipto 10000 tcp from 10.0.0.0/8 to any 110 out via em0 setup keep-state
${ipfw} add 1580 skipto 10000 tcp from 10.0.0.0/8 to any 143 out via em0 setup keep-state
${ipfw} add 1590 skipto 10000 tcp from 10.0.0.0/8 to any 443 out via em0 setup keep-state
${ipfw} add 1600 skipto 10000 tcp from 10.0.0.0/8 to any 540 out via em0 setup keep-state
${ipfw} add 1610 skipto 10000 tcp from 10.0.0.0/8 to any 1433 out via em0 setup keep-state
${ipfw} add 1620 skipto 10000 udp from 10.0.0.0/8 to any 1434 out via em0 keep-state
${ipfw} add 1630 skipto 10000 tcp from 10.0.0.0/8 to any 1723 out via em0 setup keep-state
${ipfw} add 1640 skipto 10000 tcp from 10.0.0.0/8 to any 2041 out via em0 setup keep-state
${ipfw} add 1650 skipto 10000 tcp from 10.0.0.0/8 to any 2042 out via em0 setup keep-state
${ipfw} add 1660 skipto 10000 tcp from 10.0.0.0/8 to any 2802 out via em0 setup keep-state
${ipfw} add 1670 skipto 10000 tcp from 10.0.0.0/8 to any 3306 out via em0 setup keep-state
${ipfw} add 1680 skipto 10000 tcp from 10.0.0.0/8 to any 4005 out via em0 setup keep-state
${ipfw} add 1690 skipto 10000 tcp from 10.0.0.0/8 to any 5000 out via em0 setup keep-state
${ipfw} add 1700 skipto 10000 tcp from 10.0.0.0/8 to any 5190 out via em0 setup keep-state
${ipfw} add 1710 skipto 10000 tcp from 10.0.0.0/8 to any 5222 out via em0 setup keep-state
${ipfw} add 1720 skipto 10000 tcp from 10.0.0.0/8 to any 6099 out via em0 setup keep-state
${ipfw} add 1730 skipto 10000 tcp from 10.0.0.0/8 to any 6667 out via em0 setup keep-state
${ipfw} add 1740 skipto 10000 tcp from 10.0.0.0/8 to any 7438 out via em0 setup keep-state
${ipfw} add 1750 skipto 10000 tcp from 10.0.0.0/8 to any 8080 out via em0 setup keep-state
${ipfw} add 1760 skipto 10000 tcp from 10.0.0.0/8 to any 8081 out via em0 setup keep-state
${ipfw} add 1770 skipto 10000 tcp from 10.0.0.0/8 to any 8585 out via em0 setup keep-state
${ipfw} add 1780 skipto 10000 tcp from 10.0.0.0/8 to any 28512 out via em0 setup keep-state
${ipfw} add 1790 skipto 10000 tcp from 10.0.0.0/8 to any 28513 out via em0 setup keep-state

${ipfw} add 5555 skipto 10000 tcp from 10.3.34.252 to any out via em0 setup keep-state
${ipfw} add 5556 skipto 10000 udp from 10.3.34.252 to any out via em0 keep-state

############# Incoming ################

${ipfw} add 6215 deny tcp from any to any 113 in via em0

${ipfw} add 6220 deny tcp from any to any 137 in via em0
${ipfw} add 6221 deny tcp from any to any 138 in via em0
${ipfw} add 6222 deny tcp from any to any 139 in via emo
${ipfw} add 6223 deny tcp from any to any 81  in via emo

${ipfw} add 6300 allow icmp from any to 10.3.34.252 in via em0 icmptypes 0,8,11

${ipfw} add 6500 allow tcp from any to 10.3.34.252 80 in via em0 setup

${ipfw} add 6580 allow tcp from any to 10.3.34.252 20 in via em0 setup
${ipfw} add 6590 allow tcp from any to 10.3.34.252 21 in via em0 setup
${ipfw} add 6595 allow udp from any to 10.3.34.252 20 in via em0 setup
${ipfw} add 6600 allow udp from any to 10.3.34.252 21 in via em0 setup

${ipfw} add 7777 allow all from any to any established

###########################################################################################

${ipfw} add 8000 deny log all from any to any

${ipfw} add 10000 divert natd all from not 10.3.34.252 to any out via em0

###########################################################################################


После обновления пакеты не выходят через правило 10000

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от Suslick email on 29-Апр-10, 05:25 
P.S.

em0 - 10.3.34.252 внешний (на него редиректит провайдер)
em1 - 10.3.33.33 локальный

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от rootssl on 13-Май-10, 23:23 
>P.S.
>
>em0 - 10.3.34.252 внешний (на него редиректит провайдер)
>em1 - 10.3.33.33 локальный

закоментируй в конфиге ${ipfw} add 7777 allow all from any to any established и рестарни фаервол, проверь

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Проблема с фаерволом после обновления до 8.0-STABLE"  +/
Сообщение от Alk on 23-Сен-10, 17:26 
>>Вопрос только, как новость повлияла на то что "перестали нормально работать правила
>>фаервола". Я например вижу только увеличение производительности и смену системы логирования,
>>но сами правила должны работать.
>>Кстати, а какие именно правила перестали работать?
>
>Все правила если их взять отдельно прекрасно работают, дело в том что
>через набор правил, который работал на предидущей системе теперь не работает
>NAT
>

...
>
>${ipfw} add 10000 divert natd all from not 10.3.34.252 to any out
>via em0
>
>После обновления пакеты не выходят через правило 10000

Решение проблемы здесь: http://www.freebsd.org/cgi/query-pr.cgi?pr=148827

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру