IPFW - {ipfw} {cmd} {fwcmd}

[bentus]

Взялся изучить IPFW. Возник вопрос - конфиг правил пишеться  использованием этих параметров -" {ipfw}  {cmd}  {fwcmd} ", подозреваю что это испольняемые файлы которые добавляют правила, если так то какая между ними разница? и есть ли онна вообще?   

Відредаговано 22 лютого, 2013 bentus

[adsh]

Это - макросы для шелл скрипта /etc/rc.firewall, выполняющего загрузку правил ipfw. В стандартном дистрибутиве для простейших случаев задумано несколько стандартных вариантов - см. сорцы /etc/rc.firewall на предмет firewall_type. Я обычно указываю в rc.conf:

 

firewall_enable="YES"
firewall_type="/etc/ipfw.conf"

 

И пишу свои правила в /etc/ipfw.conf.

 

В самом простом случае /etc/rc.firewall можно заменить таким:

 

#!/bin/sh

 

/sbin/ipfw /etc/ipfw.conf

 

и поместить свои правила в /etc/ipfw.conf.

 

Если переопределить в rc.conf firewall_script - вместо rc.firewall будет запускаться он.

 

См. так же краткий обзор правил здесь.

Відредаговано 22 лютого, 2013 adsh

[...sirius]

Взялся изучить IPFW. Возник вопрос - конфиг правил пишеться  использованием этих параметров -" {ipfw}  {cmd}  {fwcmd} ", подозреваю что это испольняемые файлы которые добавляют правила, если так то какая между ними разница? и есть ли онна вообще?   

 

В скриптах будет идти строка, это переменные слева -имя, после равно это их значение 

ipfw=/sbin/ipfw

cmd=/sbin/ipfw

fwcmd=/sbin/ipfw

 

установка значения переменной, дальше идет обращение к ней через $ipfw, $cmd, $fwcmd или ${cmd}, ${ipfw], ${fwcmd } - будет подставлено значение переменной и шелл дальше выполнит команду.

[greyshadow]

Почитайте для начала о программировании на Shell и написании shell скриптов и многое станет понятнее, т.к. rc.firewall не что иное как обыкновенный Shell скрипт

[bentus]

Спасибо. После изучения довольно скудного манна нарыл две статьи Первая  Вторая.  Правда та где описывается как проходит пакет при НАТе, меня немного путает.

 

Опыты ставлю на машине где пере этим установил UBILLING

 

# Networks define
${FwCMD} table 2 add 192.164.0.0/24
${FwCMD} table 9 add 10.192.4.100


#NAT
${FwCMD} nat 1 config log if em0 reset same_ports
${FwCMD} add 60 nat 1 ip from table\(2\) to not table\(9\) via em0
${FwCMD} add 61 nat 1 ip from any to 10.192.4.100 via em0

...

 

em0 смотрит в "инет".   table 2 локалка, 10.192.4.100 - ip em0.

 

насколько я понял. правило 60 говорит всему что приходит из локалки и адресуется не на мой внешний интерфейс, идти в НАТ. после чего отправить на интерфей em0.

Второе правило 61-ое как я понял служит для приёма пакетов что вернулись из инета на em0.  Но разве это же правило не будет применяться и для тех пакетов что приходят з локалки???

 

 

Почитайте для начала о программировании на Shell и написании shell скриптов и многое станет понятнее, т.к. rc.firewall не что иное как обыкновенный Shell скрипт

Спасибо. Я както не додумался, до этого. Сейчас почитаем.

[антоха]

народ, подскажите такие вопросы:

 

1) когда ребутится сервак на дебиане, то сразу после биоса выскакивает желтая коммандная строка shell>

 и пока я не пропишу exit, оно с неё не выходит и сервак не грузится, как вылечить этот баг?

 

2) чтобы открыть доступ в инет прописываю

 

iptables -I FORWARD -s 192.168.x.x  -j ACCEPT

iptables -I FORWARD -d 192.168.x.x  -j ACCEPT

чтобы закрыть

 

iptables -I FORWARD -s 192.168.x.x  -j DROP

как посмотреть для определенного ip-адреса, что написано в iptables (т.е. открыт ему сейчас доступ в инет или закрыт)?