Страница 1 из 1

IPFW работает?

Добавлено: 2013-10-15, 10:06:39
someVPSuser1
Я написал простой список правил ipfw, он отрабатывает без ошибок, но пакеты ни по одному из правил не ходят.

Код: Выделить всё

#ipfw show
01000 0 0 allow ip from any to any via lo0
01100 0 0 deny ip from 127.0.0.0/8 to any
01200 0 0 deny ip from any to 127.0.0.0/8
01300 0 0 deny ip from ::1 to any
01400 0 0 deny ip from any to ::1
01500 0 0 deny ip from 10.0.0.0/8 to any
01600 0 0 deny ip from any to 10.0.0.0/8
01700 0 0 deny ip from 172.16.0.0/12 to any
01800 0 0 deny ip from any to 172.16.0.0/12
01900 0 0 deny ip from 192.168.0.0/16 to any
01999 0 0 deny ip from any to 192.168.0.0/16
02000 0 0 allow ip from myIP to any
02100 0 0 allow tcp from any to myIP dst-port 22
02200 0 0 allow tcp from any to myIP dst-port 25
02300 0 0 allow tcp from any to myIP dst-port 2525
02400 0 0 allow tcp from any to myIP dst-port 10025
02500 0 0 allow tcp from any to myIP dst-port 465
02600 0 0 allow tcp from any to myIP dst-port 587
02700 0 0 allow tcp from any to myIP dst-port 110
02800 0 0 allow tcp from any to myIP dst-port 10110
02900 0 0 allow tcp from any to myIP dst-port 995
03000 0 0 allow tcp from any to myIP dst-port 10995
03100 0 0 allow tcp from any to myIP dst-port 143
03200 0 0 allow tcp from any to myIP dst-port 10143
03300 0 0 allow tcp from any to myIP dst-port 993
03400 0 0 deny tcp from any to myIP dst-port 80
03500 0 0 allow tcp from any to myIP dst-port 443
05000 0 0 deny ip from any to any
65535 0 0 allow ip from any to any

показывает нули в колонке пакетов (причем в правиле 65535 тоже).
Поиском нашел вот это
viewtopic.php?f=19&t=1193
и возник вопрос о том в каком состоянии ipfw?

Re: IPFW работает?

Добавлено: 2013-10-15, 11:08:34
lissyara
какой сервер?

Re: IPFW работает?

Добавлено: 2013-10-15, 11:17:47
someVPSuser1
vds02

Re: IPFW работает?

Добавлено: 2013-10-16, 10:44:43
lissyara

Код: Выделить всё

sysctl net.inet.ip.fw.enable=1

Re: IPFW работает?

Добавлено: 2013-10-17, 10:37:23
someVPSuser1

Код: Выделить всё

net.inet.ip.fw.enable
меняется в зависимости от установки в rc.conf

keep-state не работает

Код: Выделить всё

# ipfw -q add 03000 allow all from XXXXXXXXX to any via igb0 setup keep-state
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
правда правила не загружаются и без него
из messages

Код: Выделить всё

Line 5: bad command `ipfw'
пробовали и так

Код: Выделить всё

Line 5: bad command `/sbin/ipfw'
Сразу после загрузки

Код: Выделить всё

Flushed all rules.
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
00400 deny ip from any to ::1
00500 deny ip from ::1 to any
00600 allow ipv6-icmp from :: to ff02::/16
00700 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
(левые правила, не мои)

Вручную все загружается, но счетчики опять по нулям.

Re: IPFW работает?

Добавлено: 2013-10-18, 21:30:54
lissyara
что-то не так делаете
у меня после установки значения sysctl в единицу, растёт число пакетов по 65535 правилу

Re: IPFW работает?

Добавлено: 2013-10-23, 11:06:12
someVPSuser1
Оки, пока буду смотреть у себя. Вы, если будут идеи, --- пишите.