ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Вопросы касающиеся настройки, функционирования виртуальных серверов
Правила форума
1. Один вопрос - одна тема. Не надо задавать в той же теме другие вопросы.
2. Не пишите в чужих темах, если ваша проблема не имеет отношения к обсуждаемой.
3. Давайте полное описание проблемы - имя сайта, имя сервера, учётная запись, способ воспроизведения, скриншот ошибки.
4. Пароли выкладывать в форум - НЕ НАДО
Dmitry Yashin

ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-21, 22:10:57

в ipfw не могу добавить правила

Код: Выделить всё

root@v374** ~> cat /var/log/messages
stty: stdin isn't a terminal
Setting hostname: v374**.vds00.test-hf.ru.
ifconfig: ioctl (SIOCDIFADDR): permission denied
ifconfig: up: permission denied
Starting Network: lo0.
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Firewall rules loaded.
Firewall logging enabled.
sysctl: net.inet.ip.fw.verbose: Operation not permitted
Creating and/or trimming log files.
ln: /dev/log: Operation not permitted
Starting syslogd.
Jul 21 22:04:27 v374** syslogd: kernel boot file is /boot/kernel/kernel.vds
ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/local/lib
32-bit compatibility ldconfig path: /usr/lib32
Clearing /tmp.
Updating motd:.
Starting cron.
Starting inetd.
Jul 21 22:04:27 v374** inetd[95241]: madvise() failed: Operation not permitted

Sat Jul 21 22:04:27 MSK 2012

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги нашей хостинговой компании

Хостинг HostFood.ru

Тарифы на хостинг, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM), от 189 рублей: https://www.host-food.ru/tariffs/virtualny-server-vps/
Тарифы на выделенные сервера (Dedicated Server), от 1560 рублей: https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах, от 110 рублей: https://www.host-food.ru/domains/
Часто задаваемые вопросы по хостингу: https://www.host-food.ru/faq/
Вопросы по доменам: https://www.host-food.ru/faq/domains.questions/

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 0:49:47

Код: Выделить всё

net.inet.ip.fw.enable=1
Убей их всех! Бог потом рассортирует...

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 10:12:40

Код: Выделить всё

root@v37424 ~> sysctl -a | grep ip.fw
net.inet.ip.fw.static_count: 14
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.enable: 1
root@v37424 ~> sysctl net.inet.ip.fw.verbose_limit=10
net.inet.ip.fw.verbose_limit: 0
sysctl: net.inet.ip.fw.verbose_limit: Operation not permitted
root@v37424 ~> ipfw show
00100 0 0 allow ip from any to any via lo0
00101 0 0 deny ip from any to 127.0.0.0/8
00102 0 0 deny ip from 127.0.0.0/8 to any
00501 0 0 deny ip from any to any frag
00502 0 0 allow tcp from any to any established
00503 0 0 allow icmp from any to any via igb0
00700 0 0 allow ip from any to any dst-port 53 via igb0
00701 0 0 allow ip from any 53 to any via igb0
00800 0 0 deny tcp from table(80) to me dst-port 80 in via igb0
00801 0 0 allow tcp from any to me dst-port 80 in via igb0
00901 0 0 deny tcp from table(1) to me dst-port 8081 in via igb0
00902 0 0 allow tcp from any to me dst-port 8081 in via igb0
55100 0 0 deny tcp from table(44) to me dst-port 44 in via igb0
65535 0 0 allow ip from any to any
root@v37424 ~> /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 0 -> 0
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Firewall rules loaded.
Firewall logging enabled.
sysctl: net.inet.ip.fw.verbose: Operation not permitted
p.s. почитал я ispsystem походу с ipfw пролетаем ...

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 11:40:02

Код: Выделить всё

manager# ipfw show
65535 56720668 46259560992 allow ip from any to any
manager# ipfw add 1 allow all from any to any
00001 allow ip from any to any
manager# ipfw show
00001      253       87913 allow ip from any to any
65535 56721601 46260222997 allow ip from any to any
manager# 
с соседней виртуалки того же сервера где и ваш аккаунт
Убей их всех! Бог потом рассортирует...

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 11:49:59

и? может я что-то делаю не так, у меня 8-minimal

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 12:00:07

Код: Выделить всё

ipfw show
Убей их всех! Бог потом рассортирует...

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 12:06:09

Код: Выделить всё

root@v37424 ~> ipfw show
00100 0 0 allow ip from any to any via lo0
00101 0 0 deny ip from any to 127.0.0.0/8
00102 0 0 deny ip from 127.0.0.0/8 to any
00501 0 0 deny ip from any to any frag
00502 0 0 allow tcp from any to any established
00503 0 0 allow icmp from any to any via igb0
00700 0 0 allow ip from any to any dst-port 53 via igb0
00701 0 0 allow ip from any 53 to any via igb0
00800 0 0 deny tcp from table(80) to me dst-port 80 in via igb0
00801 0 0 allow tcp from any to me dst-port 80 in via igb0
00901 0 0 deny tcp from table(1) to me dst-port 8081 in via igb0
00902 0 0 allow tcp from any to me dst-port 8081 in via igb0
55100 0 0 deny tcp from table(44) to me dst-port 44 in via igb0
65535 0 0 allow ip from any to any

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 12:08:23

правила на месте
что именно не работает-то?
Убей их всех! Бог потом рассортирует...

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 12:12:54

Код: Выделить всё

root@v37424 ~> /sbin/ipfw -q add 00601 allow udp from me to any out via igb0 keep-state uid root
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Да и счетчики не растут (: и при запуски системы /etc/rc.d/ipfw не отрабатывает.

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 12:15:27

Код: Выделить всё

root@v37424 ~> ipfw add 1 allow all from any to any
00001 allow ip from any to any
root@v37424 ~> ipfw show
00001 0 0 allow ip from any to any

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 12:15:43

такие сложные конструкции не работают, к сожалению. ограничения виртуализации.

что касается счётчиков - у меня-то растут.
но у меня включения прописано в sysctl.conf
других отличий не вижу.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 12:16:23

Код: Выделить всё

manager# grep ip.fw /etc/sysctl.conf
net.inet.ip.fw.enable=1
manager# 
Убей их всех! Бог потом рассортирует...

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 12:25:47

Код: Выделить всё

root@v37424 ~> grep ip.fw /etc/sysctl.conf
net.inet.ip.fw.enable=1
root@v37424 ~> ipfw add 1 allow all from any to any
00001 allow ip from any to any
root@v37424 ~> ipfw show
00001 0 0 allow ip from any to any

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 12:36:34

перезагружал?
Убей их всех! Бог потом рассортирует...


Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-22, 12:55:09

так.
дествительно, оно без бубна не работает - там руками надо конфиг пилить, чтоб заработало.
пойду саппорт ispsystem пилить...
Убей их всех! Бог потом рассортирует...

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-22, 13:44:42

проще так же попинать на тему

Код: Выделить всё

inetd[95241]: madvise() failed: Operation not permitted

Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin » 2012-07-23, 9:38:57

Думаю моя проблема заключается в этом

Код: Выделить всё

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
root@v37424 ~> ifconfig lo0 inet 127.0.0.1 netmask 255.255.255.0
ifconfig: ioctl (SIOCDIFADDR): permission denied

Аватара пользователя
lissyara
Site Admin
Сообщения: 6022
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara » 2012-07-23, 10:24:27

нет. не в этом.
напишите в систему тикетов, что для аккаунта такого-то требуется включить файрволл
включим
Убей их всех! Бог потом рассортирует...