IPFW

Обсуждаем OS FreeBSD и сервисы на ней.

IPFW

Сообщение msergey » 21 авг 2009, 19:55

FreeBSD 6.3-RELEASE - выполняет функции маршрутизатора, крутится пакет Quagga.

cat /etc/rc.conf
Код: Выделить всё
gateway_enable="YES"
keymap="ru.koi8-r"
sshd_enable="YES"
usbd_enable="YES"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
sendmail_enable="NO"
inetd_enable="YES"
ipfilter_enable="YES"
ipfirewall_enable="YES"
ipfirewall_type="open"
fsck_y_enable="YES"
ipnat_enable="YES"


kldstat
Код: Выделить всё
Id Refs Address    Size     Name
 1    7 0xc0400000 7a03cc   kernel
 2    1 0xc0ba1000 5c304    acpi.ko
 3    1 0xc67e2000 2f000    ipl.ko
 4    1 0xc6985000 4000     if_vlan.ko
 5    1 0xc69ec000 d000     ipfw.ko


kldunload ipfw.ko - Почему выполнив выгрузку модуля ipfw, я теряю машину по ip?

Опыта работы с FreeBSD мало, постепенно осваиваю. Всегда работал с Linux, использовал пакет iptables и никогда не встречался с подобными проблемами при выгрузки модуля iptables.
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: IPFW

Сообщение new_user » 21 авг 2009, 21:01

Ядро стандартное ?
Возможно в ядре другой файрйрвол, который блокирует все пакеты, а именно правила ipfw разрешают прохождение пакетов.
Когда выгружаете, разрешающие правила перестают работать.
Может и глупость конечно, потому что приоритет имеет файрвол который скомпилен.
Физический доступ к серверу есть ?
new_user
новичок
 
Сообщения: 9
Зарегистрирован: 20 авг 2009, 19:08

Re: IPFW

Сообщение msergey » 21 авг 2009, 21:11

стандартное.

нет, файрвол только ipfw.

доступ есть.
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: IPFW

Сообщение new_user » 21 авг 2009, 21:22

А зачем Вы выгружаете модуль ?

я теряю машину по ip?

То есть рвется ssh сессия или машина вообще становится недоступной по сети ?
Если есть физический доступ нужно смотреть оттуда, что происходит.
new_user
новичок
 
Сообщения: 9
Зарегистрирован: 20 авг 2009, 19:08

Re: IPFW

Сообщение msergey » 21 авг 2009, 21:42

new_user писал(а):А зачем Вы выгружаете модуль ?

я теряю машину по ip?

То есть рвется ssh сессия или машина вообще становится недоступной по сети ?
Если есть физический доступ нужно смотреть оттуда, что происходит.


не доступна по сети.
а вообщем, разве так должно быть?
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: IPFW

Сообщение new_user » 21 авг 2009, 22:02

Попробуйте сначала правила ipfw обнулить, потом выгрузить.
Когда-то кажется было, что это приводило к kernel panic, но это вроде исправили.

Все-таки, зачем Вы его выгружаете ? )
new_user
новичок
 
Сообщения: 9
Зарегистрирован: 20 авг 2009, 19:08

Re: IPFW

Сообщение new_user » 21 авг 2009, 22:03

Также если есть доступ посмотрите что с настройками сети, проверьте маршрут по умолчанию и т.д., посмотрите, может что-то в логи написал.
new_user
новичок
 
Сообщения: 9
Зарегистрирован: 20 авг 2009, 19:08

Re: IPFW

Сообщение msergey » 22 авг 2009, 08:51

new_user писал(а):Попробуйте сначала правила ipfw обнулить, потом выгрузить.
Когда-то кажется было, что это приводило к kernel panic, но это вроде исправили.

Все-таки, зачем Вы его выгружаете ? )


На моей машине не был включен nat, я добавил в rc.conf - ipnat_enable="YES". И как оказалось, необходимо перезагружать машину для активации.
Мне пришла идея, что можно просто перезагрузить модуль ipfw. К сожалению, я не нашёл такой возможности, а может просто не там искал.
Вот и решил выполнить kldupload, а после kldload. Вот и результат, сделал хуже :(
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: IPFW

Сообщение new_user » 22 авг 2009, 10:07

ipnat не имеет никакого отношения к ipfw.
для его работы нужен IPFilter (ipf)
если подгружаете модулем, то перегружать скорее всего не нужно, достаточно запустить через /etc/rc.d/ipnat
new_user
новичок
 
Сообщения: 9
Зарегистрирован: 20 авг 2009, 19:08

Re: IPFW

Сообщение msergey » 22 авг 2009, 10:45

new_user писал(а):ipnat не имеет никакого отношения к ipfw.
для его работы нужен IPFilter (ipf)
если подгружаете модулем, то перегружать скорее всего не нужно, достаточно запустить через /etc/rc.d/ipnat


Действительно, не до читал.
ipfw.ko, нужен для ipfw.
ipfilter(ipf, ipnat) - не имеют к нему отношения.

Вообщем вывод один, учить мат.часть внимательней.

Спасибо.
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23

cron