Jump to content

"Перезагрузка" ipfw

AdvNik
 Share

Recommended Posts

AdvNik

AdvNik

Posted
Posted

Следующая ситуация:

 

Правлю /etc/rc.firewall и, соответственно, надо его перечитать. Выполняю команду /etc/rc.d/ipwf reload, после этого файл перечитывается (с машины на которой это проделывается изменения "видит")

 

Проблема: на этой машине также запущен natd для преобразования частного диапазона адресов локальной сети. При перезагрузки ipfw сообщается об ошибке, что порты natd уже заняты (что-то в таком роде). И , после этого, пакеты из локалки в мир не уходят (или не возвращаются). Выхожу из этой ситуации перезагрузкой всей машины.

 

Вопрос: Что я делаю не так и как правильно это делать.

 

OS: FreeBSD 5.0 realese

shs

shs

Posted
Posted
Следующая ситуация:

 

Правлю /etc/rc.firewall и, соответственно, надо его перечитать. Выполняю команду /etc/rc.d/ipwf reload, после этого файл перечитывается (с машины на которой это проделывается изменения "видит")

 

Проблема: на этой машине также запущен natd для преобразования частного диапазона адресов локальной сети. При перезагрузки ipfw сообщается об ошибке, что порты natd уже заняты (что-то в таком роде). И , после этого, пакеты из локалки в мир не уходят (или не возвращаются). Выхожу из этой ситуации перезагрузкой всей машины.

 

Вопрос: Что я делаю не так и как правильно это делать.

 

OS: FreeBSD 5.0 realese

может попробовать IPNAT ?

AdvNik

AdvNik

Posted
  • Author
Posted
может попробовать IPNAT ?

 

Выполняю следующие деиствия:

/etc/rc.d/ipfw restart

>Firewall rules loaded, starting divert daemons: natdnatd: Unable to bind divert socket.: Address already in use

 

/etc/rc.d/ipnat restart

 

Пинга с внутрених хостов внешних нет :(

shs

shs

Posted
Posted
может попробовать IPNAT ?

 

Выполняю следующие деиствия:

/etc/rc.d/ipfw restart

>Firewall rules loaded, starting divert daemons: natdnatd: Unable to bind divert socket.: Address already in use

 

/etc/rc.d/ipnat restart

 

Пинга с внутрених хостов внешних нет :(

Ну тогда для начала /usr/share/examples/ipfilter стоит почитать.

AdvNik

AdvNik

Posted
  • Author
Posted

shs, насколько я понимаю ipfilter это просто другой firewall. Т.е. я спрашиваю про одно, а ты мне говоришь совсем про другое. Или я чего-то не понимаю?

shs

shs

Posted
Posted
shs, насколько я понимаю ipfilter это просто другой firewall. Т.е. я спрашиваю про одно, а ты мне говоришь совсем про другое. Или я чего-то не понимаю?

 

Собственно - в чём преимущества при работе в связке ipfilter + ipfw ?

А в том, что они никаким образом не взаимосвязаны друг с другом.

Т.е. используя IPNAT ты имеешь гарантию что любые изменения в ipfw не затронут твой нат.

 

Я лично не любля использовать natd. На то есть много причин.

Вот и подумалось - может и тебе пригодится ???

AdvNik

AdvNik

Posted
  • Author
Posted

shs, спасибо за заботу, может быть когдани-будь руки доидут до того чтобы посмотреть ipfilter and ipnat, но в данный момент для меня актуалны ipfw and natd :)

Dimka

Dimka

Posted
Posted

Да в чем проблема то?

Ну напиши скрипт чтобы он вначале килял нат потом релоадил фаервол потом поднимал нат,

Ну или сам напиши скрипт который реловадит фаервол как тебе надо , онже и так команды понимает

Grumbler

Grumbler

Posted
Posted
Следующая ситуация:

 

Правлю /etc/rc.firewall и, соответственно, надо его перечитать. Выполняю команду /etc/rc.d/ipwf reload, после этого файл перечитывается (с машины на которой это проделывается изменения "видит")

 

Проблема: на этой машине также запущен natd для преобразования частного диапазона адресов локальной сети. При перезагрузки ipfw сообщается об ошибке, что порты natd уже заняты (что-то в таком роде). И , после этого, пакеты из локалки в мир не уходят (или не возвращаются). Выхожу из этой ситуации перезагрузкой всей машины.

 

Вопрос: Что я делаю не так и как правильно это делать.

 

natd - это демон, который слушает некоторый TCP порт (обычно 8668, описан как порт natd в /etc/services) и когда у тебя стартует второй natd (из скрипта), он не может подключиться к этому порту.

Решение: выполнить команду

killall natd ; sleep 5 ; /etc/rc.d/ipwf reload

 

(т.е. "прибить" работающий natd, подождать чтобы он успел завершиться и затем перезапустить правила файрвола и natd)

Хотя я бы исправил /etc/rc.d/ipwf чтобы он посылал сигнал завершения в natd и проверял список процессов.

 

OS: FreeBSD 5.0 realese

 

Напрямую к вопросу не относится, но: эта версия слишком сырая. Или срочно накатывай 5.1 или (лучше) поставить 4.5 и пропатчить ее до RELEND_4_5

AdvNik

AdvNik

Posted
  • Author
Posted
Grumbler, проделал то что ты сказал - natd запустился (ошибок не пишет), но пакеты из "внутрених" хостов всеравно не уходят :( хотя до этой операции и после перезагрузки все "хорошо"

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.