ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Вопросы касающиеся настройки, функционирования виртуальных серверов
Правила форума
1. Один вопрос - одна тема. Не надо задавать в той же теме другие вопросы.
2. Не пишите в чужих темах, если ваша проблема не имеет отношения к обсуждаемой.
3. Давайте полное описание проблемы - имя сайта, имя сервера, учётная запись, способ воспроизведения, скриншот ошибки.
4. Пароли выкладывать в форум - НЕ НАДО
Ответить
Dmitry Yashin

ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

в ipfw не могу добавить правила

Код: Выделить всё

root@v374** ~> cat /var/log/messages
stty: stdin isn't a terminal
Setting hostname: v374**.vds00.test-hf.ru.
ifconfig: ioctl (SIOCDIFADDR): permission denied
ifconfig: up: permission denied
Starting Network: lo0.
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Firewall rules loaded.
Firewall logging enabled.
sysctl: net.inet.ip.fw.verbose: Operation not permitted
Creating and/or trimming log files.
ln: /dev/log: Operation not permitted
Starting syslogd.
Jul 21 22:04:27 v374** syslogd: kernel boot file is /boot/kernel/kernel.vds
ELF ldconfig path: /lib /usr/lib /usr/lib/compat /usr/local/lib
32-bit compatibility ldconfig path: /usr/lib32
Clearing /tmp.
Updating motd:.
Starting cron.
Starting inetd.
Jul 21 22:04:27 v374** inetd[95241]: madvise() failed: Operation not permitted

Sat Jul 21 22:04:27 MSK 2012
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

Код: Выделить всё

net.inet.ip.fw.enable=1
Убей их всех! Бог потом рассортирует...
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

Код: Выделить всё

root@v37424 ~> sysctl -a | grep ip.fw
net.inet.ip.fw.static_count: 14
net.inet.ip.fw.default_to_accept: 1
net.inet.ip.fw.tables_max: 128
net.inet.ip.fw.default_rule: 65535
net.inet.ip.fw.verbose_limit: 0
net.inet.ip.fw.verbose: 0
net.inet.ip.fw.autoinc_step: 100
net.inet.ip.fw.one_pass: 1
net.inet.ip.fw.dyn_keepalive: 1
net.inet.ip.fw.dyn_short_lifetime: 5
net.inet.ip.fw.dyn_udp_lifetime: 10
net.inet.ip.fw.dyn_rst_lifetime: 1
net.inet.ip.fw.dyn_fin_lifetime: 1
net.inet.ip.fw.dyn_syn_lifetime: 20
net.inet.ip.fw.dyn_ack_lifetime: 300
net.inet.ip.fw.dyn_max: 4096
net.inet.ip.fw.dyn_count: 0
net.inet.ip.fw.curr_dyn_buckets: 256
net.inet.ip.fw.dyn_buckets: 256
net.inet.ip.fw.enable: 1
root@v37424 ~> sysctl net.inet.ip.fw.verbose_limit=10
net.inet.ip.fw.verbose_limit: 0
sysctl: net.inet.ip.fw.verbose_limit: Operation not permitted
root@v37424 ~> ipfw show
00100 0 0 allow ip from any to any via lo0
00101 0 0 deny ip from any to 127.0.0.0/8
00102 0 0 deny ip from 127.0.0.0/8 to any
00501 0 0 deny ip from any to any frag
00502 0 0 allow tcp from any to any established
00503 0 0 allow icmp from any to any via igb0
00700 0 0 allow ip from any to any dst-port 53 via igb0
00701 0 0 allow ip from any 53 to any via igb0
00800 0 0 deny tcp from table(80) to me dst-port 80 in via igb0
00801 0 0 allow tcp from any to me dst-port 80 in via igb0
00901 0 0 deny tcp from table(1) to me dst-port 8081 in via igb0
00902 0 0 allow tcp from any to me dst-port 8081 in via igb0
55100 0 0 deny tcp from table(44) to me dst-port 44 in via igb0
65535 0 0 allow ip from any to any
root@v37424 ~> /etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
net.inet6.ip6.fw.enable: 0 -> 0
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Firewall rules loaded.
Firewall logging enabled.
sysctl: net.inet.ip.fw.verbose: Operation not permitted
p.s. почитал я ispsystem походу с ipfw пролетаем ...
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

Код: Выделить всё

manager# ipfw show
65535 56720668 46259560992 allow ip from any to any
manager# ipfw add 1 allow all from any to any
00001 allow ip from any to any
manager# ipfw show
00001      253       87913 allow ip from any to any
65535 56721601 46260222997 allow ip from any to any
manager# 
с соседней виртуалки того же сервера где и ваш аккаунт
Убей их всех! Бог потом рассортирует...
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

и? может я что-то делаю не так, у меня 8-minimal
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

Код: Выделить всё

ipfw show
Убей их всех! Бог потом рассортирует...
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

Код: Выделить всё

root@v37424 ~> ipfw show
00100 0 0 allow ip from any to any via lo0
00101 0 0 deny ip from any to 127.0.0.0/8
00102 0 0 deny ip from 127.0.0.0/8 to any
00501 0 0 deny ip from any to any frag
00502 0 0 allow tcp from any to any established
00503 0 0 allow icmp from any to any via igb0
00700 0 0 allow ip from any to any dst-port 53 via igb0
00701 0 0 allow ip from any 53 to any via igb0
00800 0 0 deny tcp from table(80) to me dst-port 80 in via igb0
00801 0 0 allow tcp from any to me dst-port 80 in via igb0
00901 0 0 deny tcp from table(1) to me dst-port 8081 in via igb0
00902 0 0 allow tcp from any to me dst-port 8081 in via igb0
55100 0 0 deny tcp from table(44) to me dst-port 44 in via igb0
65535 0 0 allow ip from any to any
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

правила на месте
что именно не работает-то?
Убей их всех! Бог потом рассортирует...
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

Код: Выделить всё

root@v37424 ~> /sbin/ipfw -q add 00601 allow udp from me to any out via igb0 keep-state uid root
ipfw: getsockopt(IP_FW_ADD): Operation not permitted
Да и счетчики не растут (: и при запуски системы /etc/rc.d/ipfw не отрабатывает.
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

Код: Выделить всё

root@v37424 ~> ipfw add 1 allow all from any to any
00001 allow ip from any to any
root@v37424 ~> ipfw show
00001 0 0 allow ip from any to any
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

такие сложные конструкции не работают, к сожалению. ограничения виртуализации.

что касается счётчиков - у меня-то растут.
но у меня включения прописано в sysctl.conf
других отличий не вижу.
Убей их всех! Бог потом рассортирует...
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

Код: Выделить всё

manager# grep ip.fw /etc/sysctl.conf
net.inet.ip.fw.enable=1
manager# 
Убей их всех! Бог потом рассортирует...
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

Код: Выделить всё

root@v37424 ~> grep ip.fw /etc/sysctl.conf
net.inet.ip.fw.enable=1
root@v37424 ~> ipfw add 1 allow all from any to any
00001 allow ip from any to any
root@v37424 ~> ipfw show
00001 0 0 allow ip from any to any
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

перезагружал?
Убей их всех! Бог потом рассортирует...
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

так.
дествительно, оно без бубна не работает - там руками надо конфиг пилить, чтоб заработало.
пойду саппорт ispsystem пилить...
Убей их всех! Бог потом рассортирует...
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

проще так же попинать на тему

Код: Выделить всё

inetd[95241]: madvise() failed: Operation not permitted
Dmitry Yashin

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение Dmitry Yashin »

Думаю моя проблема заключается в этом

Код: Выделить всё

lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
root@v37424 ~> ifconfig lo0 inet 127.0.0.1 netmask 255.255.255.0
ifconfig: ioctl (SIOCDIFADDR): permission denied
lissyara
Site Admin
Сообщения: 6416
Зарегистрирован: 2009-09-19, 22:04:41

Re: ipfw: getsockopt(IP_FW_ADD): Operation not permitted

Сообщение lissyara »

нет. не в этом.
напишите в систему тикетов, что для аккаунта такого-то требуется включить файрволл
включим
Убей их всех! Бог потом рассортирует...
Ответить