форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"IPFW конфликтует с железом?"

Сообщение от Kalessin7_2 (ok) on 04-Авг-08, 21:42

Коллеги! Может ли ipfw конфликтовать с железом и если да, то так это можно вылечить? Предыстория такова. Имеется простенький роутер на Фре 7.0 + squid + sarg. Всё по минимуму, статическая адресация, два интерфейса, один смотрит наружу, другой в локалку. В ядро вкомпилены все соответствующие опции, кроме IPFIREWALL_FORWARD (прозрачный прокси не юзается. Машинка - старенький AMD атлон с гигом оперативки и IDE-шным винтом. Работает отлично уже не первый месяц. Возникла идея проапгрейдить это дело. Собрал P4, два гига оперативки, винт SATA. Далее: -ставлю фрю с того же диска -собираю ядро с теми же опциями -переношу конфиг Ipfw со старой тачки на новую. Единственное, что изменяю, так это имена интерфейсов. запускаю. На первом же правиле получаю Invalid_argument Закрываю первое правило, вылетает второе и т.д. Если оформляю загрузку правил не файлом а скриптом, то они вроде как загружаются (вывод ipfw -ad list их показывает) но ни черта не работают. Точнее работают непредсказуемо - у юзеров интернет появляется и пропадает самым замысловатым образом. Если отключить ipfw (в rc.conf вместо firewall_type="/etc/fw.conf" говорю firewall_type="OPEN" то роутер работает, интернет раздаётся, то есть NAT и прочая требуха работоспособна. Вопрос: Почему две тачки с абсолютно одинаковой системой ядром и конфигами ведут себя с точностью до наоборот? Одна работает прекрасно, вторая - не работает вообще. Единственная принципиальная разница между тачками это IDE на старой и SATA на новой. Ну и AMD против Intel конечно. Может ли в этом быть причина вылета ipfw? Подробности: fw.conf add 1000 pass all from any to any via lo0 add 1003 deny tcp from any to x.x.x.x 80 via xl0 add 1005 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0 add 1100 divert natd ip from 192.168.1.0/24{10,101,102,103,106,107,109,11,111,112,114,115,116,13,130,137,15,16,17,18,19,192,193,194,20,222,226,23,249,250,4,40,5,41,51,61,62,63,64,65,67,7,73,74,77,80,82,84,85,86,87,88,41,105} to any out xmit xl0 add 1200 divert natd ip from any to x.x.x.x add 1300 allow ip from any to any via xl0 add 1400 allow all from any to any rc.conf defaultrouter="x.x.x.x" gateway_enable="YES" hostname="Router" ifconfig_xl0="inet x.x.x.x  netmask x.x.x.x" ifconfig_rl1="inet 192.168.1.1 netmask 255.255.255.0" firewall_enable="YES" firewall_type="/etc/fw.conf" natd_enable="YES" squid_enable="YES" sshd_enable="YES" natd_interface="xl0" natd_flags="-f /etc/natd.conf" inetd_enable="YES" usbd_enable="YES" natd.conf same_ports yes use_sockets yes unregistered_only no

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPFW конфликтует с железом?"

Сообщение от Dima (??) on 05-Авг-08, 10:24

Есть разница между 7.0 и остальными версиями фряхи... Небольшая но есть :-) Дайте вывод полностью cat fw.conf и ядра с опциями фаера :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPFW конфликтует с железом?"

Сообщение от Vitaly_loki (??) on 05-Авг-08, 13:33

Странный ты: >в локалку. В ядро вкомпилены все соответствующие опции, кроме IPFIREWALL_FORWARD (прозрачный >прокси не юзается. А дальше: >add 1005 fwd 127.0.0.1,3128 tcp from 192.168.1.0/24 to any 80 via rl0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPFW конфликтует с железом?"
	Сообщение от Kalessin7_2 (??) on 05-Авг-08, 22:48
	2Vitaly_loki >Странный ты: Да это не я странный, это Фря 7.0 как-то странно себя ведёт. Конфиги сняты с рабочей тачки, все пакеты через ipfw ходят так как нужно. Squid стоит в непрозрачном режиме, у клиентов включено принудительное проксирование, при отключении которого выход наружу (для браузеров) пропадает, что мне и нужно. А IPFIREWALL_FORWARD насколь я помню, нужен как раз для поддержки прозрачного прокси. Да и не в этом дело. Вылетают все правила по порядку. 2Dima >Дайте вывод полностью cat fw.conf и ядра с опциями фаера Уже не могу, к сожалению. Начальство затопало ногами, сказало, что платит деньги за результат, а не за научные изыскания :) Снёс 7.0 поставил 6.3 подоткнул конфиги. Работает как часы :) Так в чём же такое принципиальное различие между 7.0 и предыдущими фряхами, в контексте ipfw конечно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPFW конфликтует с железом?"

Сообщение от Pahanivo (ok) on 06-Авг-08, 07:38

>-ставлю фрю с того же диска >-собираю ядро с теми же опциями >-переношу конфиг Ipfw со старой тачки на По пунктам: 1) Зачем снова ставить фрю????????? Искать на опеннете поиском по теме "перенос фри на другой диск" (dump/restore). Все делается за полчаса без напряга и ковыряния конфига. Только сначала смотреть пункт 2. 2) Как ты на ДРУГОМ железе собираешь ядро с опциями для предыдущего??????? Собери GENERIC + опции необходимые для фаревола, после выполни пункт 1. 3) Переношу конфиги - смотри с начала! Что за манера самому себе устраивать геморой? Удачи!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPFW конфликтует с железом?"
	Сообщение от Kalessin7_2 (??) on 06-Авг-08, 23:31
	Отвечу тоже по пунктам: >1) Зачем снова ставить фрю????????? Искать на опеннете поиском по теме "перенос >фри на другой диск" Я не переносил фрю на новый диск. Я её переносил на новый комп, отличный от исходного (хоть тем же sata) а это всё-таки две большие разницы. В таких условиях установка начисто ИМХО лучше, чем перенос, а потом долгая прополка самых нереальных глюков. >2) Как ты на ДРУГОМ железе собираешь ядро с опциями для предыдущего??????? >Собери GENERIC + опции необходимые для фаревола Я имел ввиду только опции фаервола, которые добавляю в ядро после чистой установки. Они одинаковые на обоих тачках: IPFIREWALL IPFIREWALL_VERBOSE IPFIREWALL_VERBOSE_LIMIT=10 IPFIREWALL_DEFAULT_TO_ACCEPT IPDIVERT DUMMYNET 3)Что за манера самому себе устраивать геморой? Стараюсь избегать. Потому и решил проблему в лоб. Снёс 7.0 и поставил 6.3 Всё работает, правила подгрузились из fw.conf пакеты форвардятся, squid рулит юзерами. Но вопрос открыт: что разработчики поменяли в системе, что она теперь давится правилами IPFW взятыми с пердыдущих версий? Если знаете - подскажите или дайте ссылку на ликбез. Сейчас мне это уже не актуально но на будущее пригодится. >Удачи! Пасиб :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IPFW конфликтует с железом?"
	Сообщение от Vitaly_loki (??) on 07-Авг-08, 08:35
	>[оверквотинг удален] >Стараюсь избегать. Потому и решил проблему в лоб. Снёс 7.0 и поставил >6.3 Всё работает, правила подгрузились из fw.conf пакеты форвардятся, squid рулит >юзерами. Но вопрос открыт: что разработчики поменяли в системе, что она >теперь давится правилами IPFW взятыми с пердыдущих версий? Если знаете - >подскажите или дайте ссылку на ликбез. Сейчас мне это уже не >актуально но на будущее пригодится. > >>Удачи! > >Пасиб :) 2Kalessin7_2 Я ведь тебе и говорил выше... Говоришь, пакеты на кальмара форвадятся, а в ядро IPFIREWALL_FORWARD не добавил. Попробуй скомпилить ядро с этой опцией. У тебя в 1005 правиле используется fwd, а в твоем ядре нет такой опции
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IPFW конфликтует с железом?"
	Сообщение от Pahanivo (ok) on 07-Авг-08, 09:00
	>>1) Зачем снова ставить фрю????????? Искать на опеннете поиском по теме "перенос >>фри на другой диск" > >Я не переносил фрю на новый диск. Я её переносил на новый >комп, отличный от исходного (хоть тем же sata) а это всё-таки >две большие разницы. В таких условиях установка начисто ИМХО лучше, чем >перенос, а потом долгая прополка самых нереальных глюков. А чем отличается фря 7 на одном компе от фря 7 на другом? Отвечу сам себе - НИЧЕМ! Весь твой софт (скомпиленный) зависит от системы и ее библиотек - они теже. Девайсы поддерживаются ядром - если скомпилен генерик - то разницы абсолютно никакой. Поэтоу и говрю что надо сначала поставить генерик + твои опции фаревола. Можно спокойно перенести на другую систему или диск. Без разницы куда АБСОЛЮТНО. Единственное нужно корректно указать слайсы для монтирования в /etc/fstab в случае если контроллер диска на другой системе будет отличатся.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IPFW конфликтует с железом?"
	Сообщение от Kalessin7_2 (??) on 07-Авг-08, 12:17
	2Vitaly_loki >>Я ведь тебе и говорил выше... Говоришь, пакеты на кальмара форвадятся, а в ядро IPFIREWALL_FORWARD не добавил. Попробуй скомпилить ядро с этой опцией. У тебя в 1005 правиле используется fwd, а в твоем ядре нет такой опции. Совершенно верно! У меня в ядре нет IPFIREWALL_FORWARD но и без него ipfw корректно форвардит пакеты на 3128 и squid (непрозрачный) работает абсолютно нормально :) Конечно можно добавить, но думаю что ничего не изменится. В 7.0 ipfw выдавал Invalid argument на первом правиле списка и не грузил остальные. Если я комментировал правило, блокорвалось второе и т.д. Сейчас на 6.3 все нормально работает. Фактически глвный вопрос ветки свелся вот к чему: в самом начале ув. Dima упомянул, что есть небольшие отличия между 7.0 и предыдущими фряхами. Вот и хотелось бы узнать, что же это за отличия, хотя бы в части ipfw? 2Pahanivo >>А чем отличается фря 7 на одном компе от фря 7 на другом? Отвечу сам себе - НИЧЕМ... Я тоже так думал, но практика доказывает обратное. Возвращаюсь к первому посту. -два компа AMD-ATA и Intel-SATA -7.0 ставится начисто на неразмеченый винт единственной системой -ядро компилится с одинаковыми опциями -суются одинаковые конфиги и софт в итоге АМД работает, Intel дуркует. Сношу 7.0 на Intel ставлю 6.3 + те же опции ядра + те же конфиги. Работает :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "IPFW конфликтует с железом?"
	Сообщение от Pahanivo (ok) on 08-Авг-08, 17:55
	Не верю! (С) Станиславский
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]