Проблемка с запуском IPFILTER [Версия для КПК]

Показать полную графическую версию : Проблемка с запуском IPFILTER

glyki

28-11-2007, 11:39

Добрый день
Система FreeBSD 6.1
есть вопос
пересобрал ядро с опциями IPFILTER и IPFILTER_LOG
собралось и установилось без ошибок
в rc.conf прописал
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"
в sysctl.conf прописал
net.inet.ip.forwarding=1
файлами правил дал права 755 (на всяк случай... т.к. уже не знаю что делать)
пишу ipf -Fa -f /etc/ipf.rules система выдает
open device: No such file or directory
User/kernel version check failed
это из за чего может быть? Мне еще раз пересобрать ядро?

glyki

28-11-2007, 12:42

да кстати забыл написать
может мне в rc.conf прописать kern_securelevel="-1"? Только вот пока не знаю чем мне это грозит.

kaEwituS

28-11-2007, 16:27

glyki, в ядре

options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK

/etc/rc.conf

ipfilter_enable="YES" # Запуск межсетевого экрана ipf
ipfilter_rules="/etc/ipf.rules" # Загрузка файла с правилами
ipmon_enable="YES" # Включение протоколирования IP monitor
ipmon_flags="-Ds" # D = запуск в виде даемона
# s = протоколирование в syslog
# v = протоколирование tcp window, ack, seq
# n = отображение имен IP и портов

gateway_enable="YES" # Включение шлюза для локальной сети
ipnat_enable="YES" # Запуск функции ipnat
ipnat_rules="/etc/ipnat.rules" # Определение файла правил для ipnat

glyki

28-11-2007, 18:10

ядро собрано как раз вот так:
options IPFILTER
options IPFILTER_LOG
хотя для работы IPF савсем не обязательно вот это :
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
у меня еще 2 сервака без этого вполне норм работают.

в rc.conf прописано:
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.rules"
gateway_enable="YES"
ipnat_enable="YES"
ipnat_rules="/etc/ipnat.rules"

хотя для работы IPF и мапирования достаточно всего лиш вот это:
gateway_enable="YES"
плюс в sysctl.conf прописать вот так:
net.inet.ip.forwarding=1
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
kern.ipc.somaxconn=1024
опять же из опыта по двум другим сервакам.

Тут гдето в другом месте собака порылась :) тока вот где?

glyki

28-11-2007, 20:00

kaEwituS, спасибо что откликнулся, но помогло внесение строчки в rc.conf kern_securelevel="-1"
Сейчас буду почитать чем мне это грозит :)