26 Ответ от edg

  • edg
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 21-06-2013
  • Сообщений: 26

Re: ipfw не пускает на ftp сервер за файрволлом

ankor пишет:
edg пишет:

ipfw2 (+ipv6) initialized, divert loadable, nat loadable, rule-based forwarding disabled, default to deny, logging disabled

я так понимаю собака зарыта здесь rule-based forwarding disabled

включить не пересобирая ядра можно как то?

Вы-бы написали какая у вас версия FreeBSD.
Для 7.х и 8.х ядро обязательно пересобирать с  IPFIREWALL_FORWARD, так как работает только в ядре.
Для 9.х , достаточно загрузить модулем

Версия 9.1

Ядро уже пересобирается

27 Ответ от ankor

  • ankor
  • ankor
  • Наш человек!
  • Неактивен
  • Зарегистрирован: 07-11-2009
  • Сообщений: 531
  • User Karma: 22

Re: ipfw не пускает на ftp сервер за файрволлом

Так у вас ядро не соберётся, нету такой опции в ядре 9.1

28 Ответ от edg

  • edg
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 21-06-2013
  • Сообщений: 26

Re: ipfw не пускает на ftp сервер за файрволлом

О как!
Прервал сборку. Расскажите, пожалуйста, как подключить модулем.

29 Ответ от ankor (24-06-2013 13:33:20 отредактировано ankor)

  • ankor
  • ankor
  • Наш человек!
  • Неактивен
  • Зарегистрирован: 07-11-2009
  • Сообщений: 531
  • User Karma: 22

Re: ipfw не пускает на ftp сервер за файрволлом

Я чего-то не понял? Достаточно загрузить ipfw модулем и форвардинг должен работать из коробки.
Проверить, чего там:
#sysctl -a | grep forwarding
или установить через sysctl.

З.Ы. kldstat покажет какие модули загружены.

30 Ответ от edg (24-06-2013 13:35:47 отредактировано edg)

  • edg
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 21-06-2013
  • Сообщений: 26

Re: ipfw не пускает на ftp сервер за файрволлом

Не работает правило ipfw для отправки на squid

${fw} add fwd 127.0.0.1,3128 tcp from 192.168.99.0/24 to any 80 via ${ifnet}

Оно даже не загружается

# sysctl -a | grep forwarding
net.inet.ip.forwarding: 1
net.inet.ip.fastforwarding: 0
net.inet6.ip6.forwarding: 0

31 Ответ от ankor (24-06-2013 13:49:55 отредактировано ankor)

  • ankor
  • ankor
  • Наш человек!
  • Неактивен
  • Зарегистрирован: 07-11-2009
  • Сообщений: 531
  • User Karma: 22

Re: ipfw не пускает на ftp сервер за файрволлом

http://skeletor.org.ua/?p=577
Что-бы не повторяться, примеры в основном для старых версий FreeBSD,
а синтакис поменялся и много нового в ipfw.
А форвадинг у вас включён.

32 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,110
  • User Karma: 32

Re: ipfw не пускает на ftp сервер за файрволлом

net.inet.ip.forwarding

это отвечает за то будет ли одна сеть видеть вторую сеть, если у вас две сетевые, но никаким макаром к ipfw не имеет.

Добавлено: 24-06-2013 19:44:32

ankor пишет:

Так у вас ядро не соберётся, нету такой опции в ядре 9.1

вот не знаю

https://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+9.1-RELEASE&arch=default&format=html пишет:

To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD.

33 Ответ от edg

  • edg
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 21-06-2013
  • Сообщений: 26

Re: ipfw не пускает на ftp сервер за файрволлом

Ну что, господа, разрешу ваш спор.

Нашел материал на эту тему http://itadept.ru/freebsd-squid/

Пересобрал ядро с опцией IPFIREWALL_FORWARD.  Собралось без ошибок.

# grep ipfw /var/run/dmesg.boot
ipfw2 (+ipv6) initialized, divert loadable, nat loadable, default to deny, logging disabled

Как видим  rule-based forwarding disabled пропало.

Правило fwd в show ipfw появилось и пакеты через него пошли.
Squid заработал, логи пишутся, правда в инет никого не пускает  smile , но тут надо правила самого сквида проверять.

Добавлено: 25-06-2013 09:06:13

Спасибо за помощь!!!
Буду копать дальше.

34 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 2,110
  • User Karma: 32

Re: ipfw не пускает на ftp сервер за файрволлом

edg пишет:

Ну что, господа, разрешу ваш спор.

так спора нет. Выше привел с man что включать надо в ядро. Поэтому спор еще вчера и погас smile

35 Ответ от ankor

  • ankor
  • ankor
  • Наш человек!
  • Неактивен
  • Зарегистрирован: 07-11-2009
  • Сообщений: 531
  • User Karma: 22

Re: ipfw не пускает на ftp сервер за файрволлом

crash пишет:
ankor пишет:

Так у вас ядро не соберётся, нету такой опции в ядре 9.1

вот не знаю

https://www.freebsd.org/cgi/man.cgi?query=ipfw&apropos=0&sektion=0&manpath=FreeBSD+9.1-RELEASE&arch=default&format=html пишет:

To enable fwd a custom kernel needs to be compiled with the option options IPFIREWALL_FORWARD.

Не было этой опции я ядре 9.1 одно время, в рассылках было,
похоже по просьбе трудяшихся вернули обратно, а я это как-то просмотрел.