免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 8727 | 回复: 12

[FreeBSD] ipfw 配置好后为啥没有远程sh防火墙规则的权限? [复制链接]

论坛徽章:
0
发表于 2015-07-07 21:22 |显示全部楼层
远程root来sh防火墙规则的时候提示:
dev sshd[749]: fatal: Write failed: Permission denied


加入: net.inet.ip.fw.default_to_accept="1" 也不行.

远程编译内核也提示没权限.

是不是规则要加入什么?
我规则已经加入下面的了:

# Allow out FreeBSD root operate
$cmd 00150 allow tcp from me to any out via $oif setup $ks uid root

论坛徽章:
0
发表于 2015-07-07 21:22 |显示全部楼层
远程root sh规则的时候提示上述信息并且会断开.

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-07-08 08:33 |显示全部楼层
sh啥意思?

另外你那句用在远程上,不是找死么?服务器本身是接受的,你弄了个出的,并且还是tcp的setup,你是让服务器连接你呢还是你连接服务器呢?

论坛徽章:
0
发表于 2015-07-15 12:43 |显示全部楼层
lsstarboy 发表于 2015-07-08 08:33
sh啥意思?

另外你那句用在远程上,不是找死么?服务器本身是接受的,你弄了个出的,并且还是tcp的setup ...


sh是载入防火墙脚本啊,比如:
# sh /etc/ipfw.rules

我远程su到root,如何载入防火墙脚本的时候不断开? 应该如何调整? 以下是我防火墙脚本.
  1. #!/bin/sh

  2. # Flush out the list before we begin.
  3. ipfw -q -f flush

  4. # Set rules command prefix
  5. cmd="ipfw -q add"
  6. ks="keep-state"
  7. oif="em0"
  8. odns1="202.96.134.133"
  9. odns2="8.8.8.8"

  10. # Change xl0 to LAN NIC interface name
  11. $cmd 00005 allow all from any to any via xl0

  12. # No restrictions on Loopback Interface
  13. $cmd 00010 allow all from any to any via lo0

  14. # allows the packet through in dynamic rules table
  15. $cmd 00100 check-state

  16. # ------------------ IPFW Rules Priority ------------------
  17. # Allow outbound SSH
  18. $cmd 00110 allow tcp from any to any 22 out via $oif setup $ks
  19. $cmd 00120 allow tcp from any to me 22 in via $oif setup limit src-addr 12

  20. # Allow out FreeBSD root operate
  21. $cmd 00150 allow tcp from me to any out via $oif setup $ks uid root

  22. # ------------------ IPFW Rules System --------------------
  23. # Allow access to public DNS
  24. $cmd 00200 allow tcp from any to $odns1 53 out via $oif setup $ks
  25. $cmd 00210 allow udp from any to $odns1 53 out via $oif $ks
  26. $cmd 00220 allow tcp from any to $odns2 53 out via $oif setup $ks
  27. $cmd 00230 allow udp from any to $odns2 53 out via $oif $ks

  28. # Allow access to ISP's DHCP server for cable/DSL configurations
  29. #$cmd 00300 allow log udp from any to any 67 out via $oif $ks
  30. #$cmd 00310 allow udp from any to x.x.x.x 67 out via $oif $ks
  31. #$cmd 00320 allow udp from any to x.x.x.x 67 in via $oif $ks

  32. # Allow ping
  33. $cmd 00400 allow icmp from any to any out via $oif $ks
  34. $cmd 00410 allow icmp from any to any in via $oif $ks

  35. # Allow NTP
  36. $cmd 00420 allow tcp from any to any 37 out via $oif setup $ks
  37. $cmd 00430 allow udp from any to any 123 out via $oif $ks

  38. # ------------------ IPFW Rules Service -------------------
  39. # Allow HTTP connections
  40. $cmd 00500 allow tcp from any to any 80 out via $oif setup $ks
  41. $cmd 00510 allow tcp from any to me 80 in via $oif setup limit src-addr 24

  42. # Allow HTTPS connections
  43. $cmd 00550 allow tcp from any to any 443 out via $oif setup $ks
  44. $cmd 00560 allow tcp from any to me 443 in via $oif setup limit src-addr 24

  45. # Allow out secure FTP
  46. $cmd 00600 allow tcp from any to any 21 out via $oif setup $ks
  47. $cmd 00610 allow tcp from any to me 21 in via $oif setup limit src-addr 12

  48. # Allow in non-secure Telnet session from public Internet
  49. $cmd 00650 allow tcp from any to me 23 in via $oif setup limit src-addr 12

  50. # Allow outbound email connections
  51. $cmd 00710 allow tcp from any to any 25 out via $oif setup $ks
  52. $cmd 00720 allow tcp from any to any 110 out via $oif setup $ks

  53. # Allow ident
  54. #$cmd 00800 allow tcp from any to any 113 in via $oif setup $ks

  55. # Allow out whois
  56. $cmd 00810 allow tcp from any to any 43 out via $oif setup $ks

  57. # Allow out nntp news (i.e., news groups)
  58. #$cmd 00820 allow tcp from any to any 119 out via $oif setup $ks

  59. # ------------------ IPFW Rules Deny ----------------------
  60. # Deny all Netbios service. 137=name, 138=datagram, 139=session, 81=hosts2
  61. $cmd 00910 deny tcp from any to any 137 in via $oif
  62. $cmd 00920 deny tcp from any to any 138 in via $oif
  63. $cmd 00930 deny tcp from any to any 139 in via $oif
  64. $cmd 00940 deny tcp from any to any 81 in via $oif

  65. # Deny any late arriving packets
  66. $cmd 00950 deny all from any to any frag in via $oif

  67. # Deny ACK packets that did not match the dynamic rule table
  68. $cmd 00960 deny tcp from any to any established in via $oif

  69. # deny and log all other outbound and incoming connections`
  70. $cmd 00991 deny log all from any to any out via $oif
  71. $cmd 00992 deny log all from any to any in via $oif

  72. # Everything else is denied by default
  73. $cmd 00999 deny log all from any to any
复制代码

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-07-15 15:03 |显示全部楼层
回复 4# bleakwind

1、ipfw.rule的开头已经有#!sh了,就不需要再sh /etc/ipfw.rule

2、重载规则不被锁,要么crontab定时重启,要么set 31。

3、你从哪儿抄的规则?
   

论坛徽章:
0
发表于 2015-07-19 09:24 |显示全部楼层
lsstarboy 发表于 2015-07-15 15:03
回复 4# bleakwind

1、ipfw.rule的开头已经有#!sh了,就不需要再sh /etc/ipfw.rule


官方手册

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-07-20 09:00 |显示全部楼层
那只是示例,要根据你自己的具体情况修改。

论坛徽章:
0
发表于 2015-10-19 05:40 |显示全部楼层
本帖最后由 bleakwind 于 2015-10-19 05:42 编辑
lsstarboy 发表于 2015-07-20 09:00
那只是示例,要根据你自己的具体情况修改。


想问下那个规则哪里有不合理的地方?

还有set 31如何设定? 是否下面这样? 还有其他方法吗?

ipfw -q add 00110 set 31 allow tcp from any to any 22 out via em0 setup keep-state
ipfw -q add 00120 set 31 allow tcp from any to me 22 in via em0 setup limit src-addr 12
ipfw -q add 00150 set 31 allow tcp from me to any out via em0 setup keep-state uid root

论坛徽章:
54
2017金鸡报晓
日期:2017-02-08 10:39:42操作系统版块每日发帖之星
日期:2016-03-08 06:20:00操作系统版块每日发帖之星
日期:2016-03-07 06:20:00操作系统版块每日发帖之星
日期:2016-02-22 06:20:00操作系统版块每日发帖之星
日期:2016-01-29 06:20:00操作系统版块每日发帖之星
日期:2016-01-27 06:20:00操作系统版块每日发帖之星
日期:2016-01-20 06:20:00操作系统版块每日发帖之星
日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏
日期:2015-12-21 20:00:24操作系统版块每日发帖之星
日期:2015-12-21 06:20:00IT运维版块每日发帖之星
日期:2015-11-17 06:20:002015亚冠之广州恒大
日期:2015-11-12 10:58:02
发表于 2015-10-19 09:24 |显示全部楼层
建议先学一下协议,再把ipfw的man多读几遍,然后再配防火墙,否则最多只能算是照本宣科。

既使给你说了答案,又有什么用呢?下次遇到仍然是不会,况且你连你的需求都不是很明确。

论坛徽章:
0
发表于 2015-10-19 10:34 |显示全部楼层
lsstarboy 发表于 2015-10-19 09:24
建议先学一下协议,再把ipfw的man多读几遍,然后再配防火墙,否则最多只能算是照本宣科。

既使给你说了答 ...


手册上,包括你的那篇翻译都没有明确set number的应用场合.

我自己试出来了,并为了不重载导致重复规则写了个判断, 不知道对不对:

if [ -z "`ipfw -S list 00110`" ]; then
$cmd 00110 set 31 allow tcp from any to any 22 out via $oif setup $ks
fi
if [ -z "`ipfw -S list 00120`" ]; then
$cmd 00120 set 31 allow tcp from any to me 22 in via $oif setup limit src-addr 12
fi
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP