Страница 1 из 1
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-21, 22:10:57
Dmitry Yashin
в ipfw не могу добавить правила
Код: Выделить всё
root@v374** ~> cat /var/log/messages
stty: stdin isn't a terminal
Setting hostname: v374**.vds00.test-hf.ru.
ifconfig: ioctl (SIOCDIFADDR): permission denied
ifconfig: up: permission denied
Starting Network: lo0.
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Firewall rules loaded.
Firewall logging enabled.
sysctl: net.inet.ip.fw.verbose: Operation not permitted
Creating and/or trimming log files.
ln: /dev/log: Operation not permitted
Starting syslogd.
Jul 21 22:04:27 v374** syslogd: kernel boot file is /boot/kernel/kernel.vds
ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/local/lib
32-bit compatibility ldconfig path: /usr/lib32
Clearing /tmp.
Updating motd:.
Starting cron.
Starting inetd.
Jul 21 22:04:27 v374** inetd[95241]: madvise() failed: Operation not permitted
Sat Jul 21 22:04:27 MSK 2012
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 0:49:47
lissyara
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 10:12:40
Dmitry Yashin
Код: Выделить всё
root@v37424 ~> sysctl -a | grep ip.fw
net.inet.ip.fw.static_count: 14
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.enable: 1
root@v37424 ~> sysctl net.inet.ip.fw.verbose_limit=10
net.inet.ip.fw.verbose_limit: 0
sysctl: net.inet.ip.fw.verbose_limit: Operation not permitted
root@v37424 ~> ipfw show
00100 0 0 allow ip from any to any via lo0
00101 0 0 deny ip from any to 127.0.0.0/8
00102 0 0 deny ip from 127.0.0.0/8 to any
00501 0 0 deny ip from any to any frag
00502 0 0 allow tcp from any to any established
00503 0 0 allow icmp from any to any via igb0
00700 0 0 allow ip from any to any dst-port 53 via igb0
00701 0 0 allow ip from any 53 to any via igb0
00800 0 0 deny tcp from table(80) to me dst-port 80 in via igb0
00801 0 0 allow tcp from any to me dst-port 80 in via igb0
00901 0 0 deny tcp from table(1) to me dst-port 8081 in via igb0
00902 0 0 allow tcp from any to me dst-port 8081 in via igb0
55100 0 0 deny tcp from table(44) to me dst-port 44 in via igb0
65535 0 0 allow ip from any to any
root@v37424 ~> /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 0 -> 0
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Firewall rules loaded.
Firewall logging enabled.
sysctl: net.inet.ip.fw.verbose: Operation not permitted
p.s. почитал я ispsystem походу с ipfw пролетаем ...
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 11:40:02
lissyara
Код: Выделить всё
manager# ipfw show
65535 56720668 46259560992 allow ip from any to any
manager# ipfw add 1 allow all from any to any
00001 allow ip from any to any
manager# ipfw show
00001 253 87913 allow ip from any to any
65535 56721601 46260222997 allow ip from any to any
manager#
с соседней виртуалки того же сервера где и ваш аккаунт
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 11:49:59
Dmitry Yashin
и? может я что-то делаю не так, у меня 8-minimal
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:00:07
lissyara
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:06:09
Dmitry Yashin
Код: Выделить всё
root@v37424 ~> ipfw show
00100 0 0 allow ip from any to any via lo0
00101 0 0 deny ip from any to 127.0.0.0/8
00102 0 0 deny ip from 127.0.0.0/8 to any
00501 0 0 deny ip from any to any frag
00502 0 0 allow tcp from any to any established
00503 0 0 allow icmp from any to any via igb0
00700 0 0 allow ip from any to any dst-port 53 via igb0
00701 0 0 allow ip from any 53 to any via igb0
00800 0 0 deny tcp from table(80) to me dst-port 80 in via igb0
00801 0 0 allow tcp from any to me dst-port 80 in via igb0
00901 0 0 deny tcp from table(1) to me dst-port 8081 in via igb0
00902 0 0 allow tcp from any to me dst-port 8081 in via igb0
55100 0 0 deny tcp from table(44) to me dst-port 44 in via igb0
65535 0 0 allow ip from any to any
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:08:23
lissyara
правила на месте
что именно не работает-то?
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:12:54
Dmitry Yashin
Код: Выделить всё
root@v37424 ~> /sbin/ipfw -q add 00601 allow udp from me to any out via igb0 keep-state uid root
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Да и счетчики не растут (: и при запуски системы /etc/rc.d/ipfw не отрабатывает.
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:15:27
Dmitry Yashin
Код: Выделить всё
root@v37424 ~> ipfw add 1 allow all from any to any
00001 allow ip from any to any
root@v37424 ~> ipfw show
00001 0 0 allow ip from any to any
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:15:43
lissyara
такие сложные конструкции не работают, к сожалению. ограничения виртуализации.
что касается счётчиков - у меня-то растут.
но у меня включения прописано в sysctl.conf
других отличий не вижу.
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:16:23
lissyara
Код: Выделить всё
manager# grep ip.fw /etc/sysctl.conf
net.inet.ip.fw.enable=1
manager#
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:25:47
Dmitry Yashin
Код: Выделить всё
root@v37424 ~> grep ip.fw /etc/sysctl.conf
net.inet.ip.fw.enable=1
root@v37424 ~> ipfw add 1 allow all from any to any
00001 allow ip from any to any
root@v37424 ~> ipfw show
00001 0 0 allow ip from any to any
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:36:34
lissyara
перезагружал?
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:52:10
Dmitry Yashin
ага
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 12:55:09
lissyara
так.
дествительно, оно без бубна не работает - там руками надо конфиг пилить, чтоб заработало.
пойду саппорт ispsystem пилить...
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-22, 13:44:42
Dmitry Yashin
проще так же попинать на тему
Код: Выделить всё
inetd[95241]: madvise() failed: Operation not permitted
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-23, 9:38:57
Dmitry Yashin
Думаю моя проблема заключается в этом
Код: Выделить всё
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
root@v37424 ~> ifconfig lo0 inet 127.0.0.1 netmask 255.255.255.0
ifconfig: ioctl (SIOCDIFADDR): permission denied
Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Добавлено: 2012-07-23, 10:24:27
lissyara
нет. не в этом.
напишите в систему тикетов, что для аккаунта такого-то требуется включить файрволл
включим