Страница 1 из 2

IPFW

СообщениеДобавлено: 21 авг 2009, 19:55
msergey
FreeBSD 6.3-RELEASE - выполняет функции маршрутизатора, крутится пакет Quagga.

cat /etc/rc.conf
Код: Выделить всё
gateway_enable="YES"
keymap="ru.koi8-r"
sshd_enable="YES"
usbd_enable="YES"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
sendmail_enable="NO"
inetd_enable="YES"
ipfilter_enable="YES"
ipfirewall_enable="YES"
ipfirewall_type="open"
fsck_y_enable="YES"
ipnat_enable="YES"


kldstat
Код: Выделить всё
Id Refs Address    Size     Name
 1    7 0xc0400000 7a03cc   kernel
 2    1 0xc0ba1000 5c304    acpi.ko
 3    1 0xc67e2000 2f000    ipl.ko
 4    1 0xc6985000 4000     if_vlan.ko
 5    1 0xc69ec000 d000     ipfw.ko


kldunload ipfw.ko - Почему выполнив выгрузку модуля ipfw, я теряю машину по ip?

Опыта работы с FreeBSD мало, постепенно осваиваю. Всегда работал с Linux, использовал пакет iptables и никогда не встречался с подобными проблемами при выгрузки модуля iptables.

Re: IPFW

СообщениеДобавлено: 21 авг 2009, 21:01
new_user
Ядро стандартное ?
Возможно в ядре другой файрйрвол, который блокирует все пакеты, а именно правила ipfw разрешают прохождение пакетов.
Когда выгружаете, разрешающие правила перестают работать.
Может и глупость конечно, потому что приоритет имеет файрвол который скомпилен.
Физический доступ к серверу есть ?

Re: IPFW

СообщениеДобавлено: 21 авг 2009, 21:11
msergey
стандартное.

нет, файрвол только ipfw.

доступ есть.

Re: IPFW

СообщениеДобавлено: 21 авг 2009, 21:22
new_user
А зачем Вы выгружаете модуль ?

я теряю машину по ip?

То есть рвется ssh сессия или машина вообще становится недоступной по сети ?
Если есть физический доступ нужно смотреть оттуда, что происходит.

Re: IPFW

СообщениеДобавлено: 21 авг 2009, 21:42
msergey
new_user писал(а):А зачем Вы выгружаете модуль ?

я теряю машину по ip?

То есть рвется ssh сессия или машина вообще становится недоступной по сети ?
Если есть физический доступ нужно смотреть оттуда, что происходит.


не доступна по сети.
а вообщем, разве так должно быть?

Re: IPFW

СообщениеДобавлено: 21 авг 2009, 22:02
new_user
Попробуйте сначала правила ipfw обнулить, потом выгрузить.
Когда-то кажется было, что это приводило к kernel panic, но это вроде исправили.

Все-таки, зачем Вы его выгружаете ? )

Re: IPFW

СообщениеДобавлено: 21 авг 2009, 22:03
new_user
Также если есть доступ посмотрите что с настройками сети, проверьте маршрут по умолчанию и т.д., посмотрите, может что-то в логи написал.

Re: IPFW

СообщениеДобавлено: 22 авг 2009, 08:51
msergey
new_user писал(а):Попробуйте сначала правила ipfw обнулить, потом выгрузить.
Когда-то кажется было, что это приводило к kernel panic, но это вроде исправили.

Все-таки, зачем Вы его выгружаете ? )


На моей машине не был включен nat, я добавил в rc.conf - ipnat_enable="YES". И как оказалось, необходимо перезагружать машину для активации.
Мне пришла идея, что можно просто перезагрузить модуль ipfw. К сожалению, я не нашёл такой возможности, а может просто не там искал.
Вот и решил выполнить kldupload, а после kldload. Вот и результат, сделал хуже :(

Re: IPFW

СообщениеДобавлено: 22 авг 2009, 10:07
new_user
ipnat не имеет никакого отношения к ipfw.
для его работы нужен IPFilter (ipf)
если подгружаете модулем, то перегружать скорее всего не нужно, достаточно запустить через /etc/rc.d/ipnat

Re: IPFW

СообщениеДобавлено: 22 авг 2009, 10:45
msergey
new_user писал(а):ipnat не имеет никакого отношения к ipfw.
для его работы нужен IPFilter (ipf)
если подгружаете модулем, то перегружать скорее всего не нужно, достаточно запустить через /etc/rc.d/ipnat


Действительно, не до читал.
ipfw.ko, нужен для ipfw.
ipfilter(ipf, ipnat) - не имеют к нему отношения.

Вообщем вывод один, учить мат.часть внимательней.

Спасибо.