ipfw и telnet (не отрабатывает скрипт)

FreeBSD, NetBSD, OpenBSD, DragonFly и т. д.

Модератор: arachnid

Ответить
Аватара пользователя
VIRUS_T
Сообщения: 84

ipfw и telnet

Сообщение VIRUS_T »

Есть машинка на FreeBSD 9.0. На ней запускается некий python скрипт, который циклом заходит на несколько сетевых устройств и забирает некие данные в файлик.
До запуска ipfw работал, после запуска ipfw он отрабатывает только один цикл и висит, то есть почему-то фаерволл блокирует пакетики телнета.
Правила такие:

Код: Выделить всё

${FwCMD} -f flush
${FwCMD}  add allow ip from any to any  via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD}  add allow ip from me to any keep-state

${FwCMD} add allow tcp from  ${LocalNetT} to ${IpOffice} 22 via vlan10
${FwCMD}  add allow tcp from  ${LocalNetT} to ${IpOffice} 22 via vlan10

${FwCMD}  add allow icmp from any to me

${FwCMD}  add deny all from any to any

В чем может быть дело?
Заранее спасибо.

Код: Выделить всё

${FwCMD} add allow all from any to me 23
${FwCMD} add allow all from me 23 to any


так тоже не работает.
МУСИ ПУСИ OPENSUSE
Спасибо сказали:
Аватара пользователя
arachnid
Модератор
Сообщения: 1099
ОС: freeBSD

Re: ipfw и telnet

Сообщение arachnid »

давайте сюда вывод ipfw -d show до запуска и после. ну и вывод бы ifconfig тоже
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Спасибо сказали:
Аватара пользователя
VIRUS_T
Сообщения: 84

Re: ipfw и telnet

Сообщение VIRUS_T »

Код: Выделить всё

 ifconfig
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
        ether 00:90:27:9b:a2:f6
        inet 192.168.2.153 netmask 0xffffff00 broadcast 192.168.2.255
        inet6 fe80::290:27ff:fe9b:a2f6%fxp0 prefixlen 64 scopeid 0x3
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
vlan10: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:90:27:9b:a2:f6
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 10 parent interface: fxp0
vlan11: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:90:27:9b:a2:f6
        inet 192.168.1.179 netmask 0xffffffc0 broadcast 192.168.1.255
        inet6 fe80::290:27ff:fe9b:a2f6%vlan101 prefixlen 64 scopeid 0x8
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 11 parent interface: fxp0


до

Код: Выделить всё

 ipfw -d show
00100 692 1242060 allow ip from any to any via lo0
00200   0       0 deny ip from any to 127.0.0.0/8
00300   0       0 deny ip from 127.0.0.0/8 to any
00400 353   33966 allow ip from me to any keep-state

**************************************

02000   0       0 allow icmp from any to me
02100  88    8777 deny ip from any to any
65535 388   54470 deny ip from any to any
## Dynamic rules (17):

после

Код: Выделить всё

ipfw -d show
00100  634  66742 allow ip from any to any via lo0
00200    0      0 deny ip from any to 127.0.0.0/8
00300    0      0 deny ip from 127.0.0.0/8 to any
00400 4035 217677 allow ip from me to any keep-state
00500    0      0 allow ip from any to me dst-port 23
00600    0      0 allow ip from me 23 to any

02200    1     84 allow icmp from any to me
02300   51   4927 deny ip from any to any
65535   49   3538 deny ip from any to any
## Dynamic rules (217):

Все явно лишнее убрал.
МУСИ ПУСИ OPENSUSE
Спасибо сказали:
Аватара пользователя
Shura
Сообщения: 1537
Статус: Оказывается и без KDE есть жизнь
ОС: FreeBSD 8.0-RC2

Re: ipfw и telnet

Сообщение Shura »

Не нравятся что-то мне вот эти 2 правила:
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
Rock'n'roll мертв © БГ
Спасибо сказали:
Аватара пользователя
arachnid
Модератор
Сообщения: 1099
ОС: freeBSD

Re: ipfw и telnet

Сообщение arachnid »

2Shura - это два стандартных правила - перед ними есть правило, разрешающее трафик на интерфейсе lo0. а на остальных интерфейсах локальному трафику делать нечего :)

2Virus - из того, что вижу сразу - а что так странно настроенны VLAN - один ip висит на родительстком интерфейсе, один VLAN пуст, второй настроен. багов точно нет?

да, я же просил с динамическими правилами - что бы понять, что получается при их срабатывании.
просто странно, что один запрос проходит, а остальные блокируются.

так же рекомендую обратить внимание, что под правило 500 и 600 ничего не подпадает - все либо работает на уровне 400 правила, либо валиться дальше
-= freeBSD stable, fluxbox =-
"если ты будешь со мной спорить, я тебя запишу в книжечку!" (с) Ежик
Спасибо сказали:
Ответить