nixp.ru v3.0

21 октября 2017,
суббота,
06:17:14 MSK

DevOps с компанией «Флант»
neogeisha написала 5 января 2009 года в 19:52 (509 просмотров) Ведет себя как женщина; открыла 53 темы в форуме, оставила 266 комментариев на сайте.

вот разбираюсь с ipfw

нужно для 192.168.2.10 разрешить коннект к 192.168.2.20 по ssh

в следущей конфигурации использовала каждое правило по отдельности, результат 0

объянсите плиз почему не пускает

cat /usr/local/etc/ipfw.rules

#!/bin/sh
/sbin/ipfw -f flush
/sbin/ipfw add check-state
/sbin/ipfw add allow ip from any to any via lo0
/sbin/ipfw add deny ip from any to 127.0.0.0/8
/sbin/ipfw add deny ip from 127.0.0.0/8 to any
/sbin/ipfw add allow tcp from 192.168.2.10 to any 22 via lnc0
/sbin/ipfw add allow tcp from 192.168.2.10 to any via lnc0
/sbin/ipfw add allow tcp from any 22 to any via lnc0
/sbin/ipfw add allow tcp from 192.168.2.10 to any via lnc0
neogeisha

после долгих мучени и чтениий получилось то что хотела со следущими параметрами

/sbin/ipfw add allow tcp from 192.168.2.10  to any 22
/sbin/ipfw add allow tcp from any 22 to 192.168.2.10

на сколько это правильно?

botInca
neogeisha
после долгих мучени и чтениий получилось то что хотела со следущими параметрами

/sbin/ipfw add allow tcp from 192.168.2.10  to any 22
/sbin/ipfw add allow tcp from any 22 to 192.168.2.10

на сколько это правильно?

Это правильно, если Вы отовсюду хотите подключаться по SSH. Есть три замечания\пожелания:

1. Обязательно удостоверьтесь, что работает резольвинг доменных имён в адреса (т. е. разрешен udp:53 трафик до ДНС-сервера и обратно, а также что вообще указан корректный и работающий ДНС-сервер)

2. По возможности минимизируйте динамические правила (ака check-state)

3. Указывайте правилам номера, с шагом 50-100

neogeisha

это правило на сервере бэкапа, там только 1 интерфес

а как отключить сервер времении и клиент времени на сервере?

а то логи засоряет)))

а что значит динамические правила (ака check-state)?

можно поподробнее и на примерах

botInca
neogeisha
это правило на сервере бэкапа, там только 1 интерфес

а как отключить сервер времении и клиент времени на сервере?

а то логи засоряет)))

а что значит динамические правила (ака check-state)?

можно поподробнее и на примерах

Давайте по порядку:

1. Причём тут вообще количество интерфейсов

2. У Вас ntpd или ntpdate? Смотрим в rc.conf’е, останавливаем демон (/etc/rc.d/ntpd stop или /etc/rc.d/ntpdate stop), комментируем нужную строку в rc.conf или изменяем YES на NO

3. Про динамические правила — как Вы думаете, что такое check-state и как оно работает? Конкретно в Вашем примере оно бесполезно и только засоряет конфиг :-)

neogeisha

1 для пояснеия что имеем)

2 спасибо, решила сама, лог не правильно прочитала, это винда к серверу приставала)))

3 аааа, все поняла))

neogeisha

имеем

rl0 — внутренний интерфейс, локальная сеть

rl1 — внешний интерфейс, сеть провайдера

tun0 — pppoe, интернет

хочу чтоб tun0 принимал icmp ответы и отправлял запросы

${FwCMD} 2500 add allow icmp from any to any in recv ${ProvPPPoE} icmptypes 0
${FwCMD} 2600 add allow icmp from any to any out xmit ${ProvPPPoE} icmptypes 8

нипомагает, подскажите плиз что и где не так