https://www.opennet.me/openforum/vsluhforumID1/92228.html доброе утро. и сразу к делу: есть сервак под фрюху работает в качестве шлюза в НЕТ для локальки в нем настроенный прозрачный прокси сквид, выход во вне через мак-адреса, в нем также поднят VPN, ipsec с филиалами, встала задачка закрыт магент, поскольку это гнида работала даже у тех у кого нет доступа в НЕТ в сквиде, прописал в ipfw запрет выхода мимо прокси, перенаправил все через сквид таким образом <br>{fwcmd} add deny all from 192.168.0.0/24 to not me in via ${vnut_ip} где vnut_ip имя внутренной сет.карты, и так. Все ок, агент закрылся поскольку посути выход у него везде был мимо прокси, НО проблема в том что пропал пинг, удаленный доступ к другим сервакам которые имеют реальный адрес с той подсети что и данный шлюз, того же провайдера , и VPN туннел с филиалами поднятый на основе ipsec и системой FreeBSD тоже сел. Тепер запутался, что нужно сделать? помогите плиз, как можете, если можно то пожалуйста поподробнее, заранее СПАСИБО.<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#18 Wed, 14 Sep 2011 10:49:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; Очевидно - майлру агент <br>&gt;&gt;&gt;&gt; И зачем его закрывать? Может имелся в ввиду спам-бот?<br>&gt;&gt;&gt; никакой спас-бот , просто руководству не понравилось , да и не моя <br>&gt;&gt;&gt; это забота что и к чему, нам скащали мы выполняем, так <br>&gt;&gt;&gt; если есть идеи то прошу на подиум, спасибо <br>&gt;&gt; mailru="список_ip_адресов_mail.ru_через_запятую" <br>&gt;&gt; {fwcmd} add deny tcp from 192.168.0.0/24 to ${mailru} 2041,2042,443 in via ${vnut_ip} <br>&gt; ага, попробуя, кстати, а потом сам сайт откриватся будет или нет? <br>&gt; ну так увидем после того как вечером сделаю, поскольку сервак шась <br>&gt; неперезагрузить, а есть ли команда перезапуска самого файрвола?<br><br>Можно ведь менять правила через команду ipfw, не обращая вниманиена содержимое стартового скрипта фаервола. а то перезагрузка целиком сервера для применения новых правил - это уж слишком<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#17 Fri, 09 Sep 2011 10:33:03 GMT &gt; Я не использую автонумерацию. Не помещаю несколько правил с одним номером. <br>&gt; Всегда точно знаю номер добавляемого правила. Любой сложный фаерволл состоит из <br>&gt; простых правил. Ну и конечно - обдумывания :) <br><br>"Я никогда не ошибаюсь! Я ничего не пропускаю!! Я всё знаю!!!" - было бы логичным завершением пассажа и знаменовало бы Полную Победу. Да. &lt;/tag&gt;<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#16 Fri, 09 Sep 2011 09:35:17 GMT &gt; Не так то, что ваша методика сработает только в простейших случаях. А <br>&gt; в сложных можно прекрасно залочить ящик, удалив одно правило.<br><br> Я не использую автонумерацию. Не помещаю несколько правил с одним номером. Всегда точно знаю номер добавляемого правила. Любой сложный фаерволл состоит из простых правил. Ну и конечно - обдумывания :)<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#15 Fri, 09 Sep 2011 09:02:18 GMT &gt;&gt; Совершенно не так: <br>&gt; Что не так?<br><br>Не так то, что ваша методика сработает только в простейших случаях. А в сложных можно прекрасно залочить ящик, удалив одно правило. <br><br>Штатный скрипт отключает не правила. Он полностью заменяет рабочую конфигурацию на тестовую, и в случае проблем откатывает на сохраненную целостную рабочую конфигурацию.<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#14 Fri, 09 Sep 2011 08:19:04 GMT &gt; Совершенно не так: <br><br> Что не так ? Сохраняются старые правила, редактируются, применяются, и если нет подтверждения что все ок(или таймайт 30 сек) то возвращаются старые... Я не настолько буен, чтобы редактировать все правила одновременно, а предпочитаю отладку по каждому отдельно и с логгированием, вот и все...<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#13 Fri, 09 Sep 2011 07:58:09 GMT &gt; Если вы его внимательно изучите, то поймете что он именно так <br>&gt; и поступает :) <br><br>Совершенно не так:<br><br># Invoke this script to edit ${firewall_script}. It will call ${EDITOR},<br># or vi(1) if the environment variable is not set, for you to edit<br># ${firewall_script}, ask for confirmation, and then run<br># ${firewall_script}. You can then examine the output of ipfw list and<br># confirm whether you want the new version or not.<br>#<br># If no answer is received in 30 seconds, the previous<br># ${firewall_script} is run, restoring the old rules (this assumes ipfw<br># flush is present in it).<br>#<br># If the new rules are confirmed, they'll replace ${firewall_script} and<br># the previous ones will be copied to ${firewall_script}.{date}. Mail<br># will also be sent to root with a unified diff of the rule change.<br><br><br>&gt; И еще, я работаю с ipfw начиная с FreeBSD-2.2.8 :) <br><br>Поздравляю. А я первый шлюз с файрволлом поднял на 2.1.5. Что дальше? <br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#12 Fri, 09 Sep 2011 03:12:17 GMT <br>&gt; В /usr/share/examples/ipfw лежит штатный скрипт change_rules.sh, который как раз и позволяет <br>&gt; экспериментировать с правилами. А все остальное - от лукавого. Пока не <br>&gt; научитесь.<br><br> Если вы его внимательно изучите, то поймете что он именно так и поступает :) И еще, я работаю с ipfw начиная с FreeBSD-2.2.8 :)<br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#11 Thu, 08 Sep 2011 15:39:48 GMT &gt; Бояться экспериментов с ipfw не надо, достаточно просто явно указывать в <br>&gt; скрипте номер правила, а в конце скрипта просто добавить sleep сколько_надо_секунд <br>&gt; и ipfw del это правило.. Накосячили - правило убьется....<br><br>Это очень плохой совет!<br><br>В /usr/share/examples/ipfw лежит штатный скрипт change_rules.sh, который как раз и позволяет экспериментировать с правилами. А все остальное - от лукавого. Пока не научитесь. <br> https://www.opennet.me/openforum/vsluhforumID1/92228.html#10 Thu, 08 Sep 2011 11:47:42 GMT &gt; Бояться экспериментов с ipfw не надо, достаточно просто явно указывать в <br>&gt; скрипте номер правила, а в конце скрипта просто добавить sleep сколько_надо_секунд <br>&gt; и ipfw del это правило.. Накосячили - правило убьется....<br><br>В некоторых случаях скрипт может до конца и не сработать.<br>Например можно забыть поставить ключик -q в команде ipfw и при работе с удалённой консоли получить с закрытым файерволом много проблем.<br>