Возник вопросец (к беэсдэшникам скорее…)

Дано:машина с двумя сетевухами.

В правильном ли порядке я запускаю службы:
1. Поднимаю два сетевых интерфейса (в инет и внутрь).
2. Стартую natd
3. Стартую routed
4. Ну и ipfw.

Или что-то в таком порядке запуска надо местами поменять? [Ответ]

по логике файрвол должен стартовать первым [Ответ]

Сообщение от dalex:
по логике файрвол должен стартовать первым

С какого перепугу?
Всегда после запуска сетевых интерфейсов, и уж точно после nat.
Что он фильтровать будет, если не будет сети? [Ответ]

не знаю как в бзде но в нормальных системах firewall запускается до того как поднимается сеть, не вижу причин чтобы в бсд было как то по другому

routed по хорошему вообще не запускается, ибо нафиг он не нужен [Ответ]

Сообщение от :
С какого перепугу?
Всегда после запуска сетевых интерфейсов, и уж точно после nat.
Что он фильтровать будет, если не будет сети?

Тебе виднее.
При старте файрвола после сети есть некоторый промежуток при котором сеть вообще не защищена получается. [Ответ]

Сообщение от zic:
routed по хорошему вообще не запускается, ибо нафиг он не нужен

Так может быть человеку нужен.

Сообщение от dalex:
При старте файрвола после сети есть некоторый промежуток при котором сеть вообще не защищена получается.

Не исключаю, но это же всего секунда... Нет у меня уверенности, что хоть один пакет здесь проскочит. Вообще я не силён в администрировании, поэтому, может и ошибаюсь, поправьте, если так.
А вообще, так как использую Gentoo, порядок запуска всего этого я не определял, всё автоматом - потому iptables после net.eth0 Как менять порядок - в голову не приходило, да и незачем.

Сообщение от distantX:
Или что-то в таком порядке запуска надо местами поменять?

А как это в бсд делается?
P.S. IMHO, если работает, ничего не меняй, и забей. [Ответ]

Сообщение от :
Так может быть человеку нужен.

если он задает такие вопросы то врятли [Ответ]

Все ж я думаю надо так:
1. Оба сетевых интерфейса.
2. routed
3. natd
4. ipfw.

На счет routed нужен/не нужен - в точу. Я раньше роутинг делал строкой в конфиге: route add net бла-бла… Сейчас решил попробовать по-другому.

Ось у меня - Mac OSX 10.3. Тут можно в загузочном скрипте указывать типа: "запускать эту службу X если служба Y уже успешно запущена" (если кому интересно). Есть папка SartupItems - указанные в ней сервисы стартуют при включении. Что-то можно запустить через inetd/xinetd. В 10.4 еще появился launchd - демон запуска/останова. Но не уверен, что можно умудриться запустить ipfw вперед интерфейсов ))))) [Ответ]

distantX
А что тогда спрашивал если сам все решил. В линуксе iptables загружается раньше чем сеть. [Ответ]

Сообщение от :
На счет routed нужен/не нужен - в точу. Я раньше роутинг делал строкой в конфиге: route add net бла-бла… Сейчас решил попробовать по-другому.

Ну и откуда твой routed информацию получает о маршрутах из Великого Космоса ? [Ответ]

Сообщение от dalex:
В линуксе iptables загружается раньше чем сеть.

Откуда информация? Какой линукс? Пробовал OpenSUSE, Mandriva, MOPS, Gentoo - везде после сети. [Ответ]

Сообщение от zic:
Ну и откуда твой routed информацию получает о маршрутах из Великого Космоса ?

Говорят, если реально присутсвует два интерфейса, то можно скомандовать routed -q и не указывать что откуда и куда должно идти. Кстати, вполне возможно эта моя затея с routed дурацкая.

PS. Огромное спасибо всем отвечающим. И если кажется, что я сам все наперед решил, то напрасно. Реально помогли обмозговать. [Ответ]

Сообщение от :
Говорят, если реально присутсвует два интерфейса, то можно скомандовать routed -q и не указывать что откуда и куда должно идти. Кстати, вполне возможно эта моя затея с routed дурацкая.

PS. Огромное спасибо всем отвечающим. И если кажется, что я сам все наперед решил, то напрасно. Реально помогли обмозговать.

Очень похоже. Автору статьи следует убиться о стену.

Если в твоем случае есть два сегмента 192.168.0.0/24 и 10.0.0.0/24 и ты хочешь чтобы пользователи из первого сегмента могли ходить во второй и наоборот то достаточно просто добавить в rc.conf gateway_enable=YES
никаких маршрутов прописывать не надо

динамическая маршрутизация имеет смысл при наличии более одного маршрутизатора (реально обычно значительно больше двух), которые обмениваются между собой информацией о состоянии кучи альтернативных маршрутов(линков физических или логических) которые могут использоваться для доставки пакетов

Сообщение от :
Откуда информация?

/etc/network/if-pre-up.d/
/etc/rc5.d/

Сообщение от :
Какой линукс? Пробовал OpenSUSE, Mandriva, MOPS, Gentoo - везде после сети.

RedHat, Debian(фактически привязано к ifup)

Поднимать iptables до сети теоретически более правильный подход, был более лучшего мнения о Дженте.

С практической точки зрения разницы большой нет.


ЗЫЖ: во очередной раз убедился что кривой перевод на русский в частности бздишного хендбука это зло ,"многоадрессность" блин [Ответ]

Сообщение от zic:
Какой линукс? Пробовал OpenSUSE, Mandriva, MOPS, Gentoo - везде после сети.

Упс! Сильно извиняюсь. Перепутал с локальным сетевым интерфейсом 127.0.0.1 - ему-то файрволл вообще не нужен.
А так iptables запускается перед сетевым интерфейсом.
В кого я такой рассеянный?..
P.S. И всё-таки нет в этом разницы. Советую топикстартеру оставить всё как есть, коли работает. Соблюдайте принцип - всё работает, ничего не трогай. [Ответ]

1. какого ... спрашивать вопрос, если сам для себя ответил на него и других слушать не умеешь?
2. какого ... орать "надо так!" не добавляя ИМХО, а потом пищать "ой, перепутал, да и сам я ни...я не знаю но думаю што так правильно"?

повбывав бы....

а в Генте кстати всё правильно, не хуже чем во Фре... [Ответ]

Mark5

Спокойнее пожалуйста.

Я бы поспорил насчет правильности дженты или фри , но уже надоело [Ответ]

Сообщение от zic:
но уже надоело

Правильно. Всем надоело. Не надо мусорить в теме. [Ответ]

zic, спрашивал уже (или нет?) но не помню (склероз) - а с твоей точки зрения какой(ие) дистр(ы) Линукса правильнее всех?

не с целью подЪоба а в плане развития себя как линуксовода спрашиваю чесслово [Ответ]

по поводу "спокойней" - я спокоен как удав но задолбало уже когда говорят лажу с бетонной уверенностью. а потом читает это чел и думает "о блин линукс отстой то какой а я то думал он безопасней чем ..."

что в генте что во фре по умолчанию (если не поковырять граблями) стартует сначала файрволл потом уже поднимается фейс (в т.ч. и локальный), а при шатдауне и рестарте - сначала глушится фейсы а потом (в саааамом конце) - файер. ибо даже если по логике подумать так ДОЛЖНО быть. [Ответ]

Сообщение от :
Упс! Сильно извиняюсь. Перепутал с локальным сетевым интерфейсом 127.0.0.1 - ему-то файрволл вообще не нужен.

Это что за чушь? [Ответ]

Вроде разобрался и настроил.

Я отобрал у MacOS X управление файрволом и сделал все «руками». Есть некоторые сомнения относительно моей таблицы правил файрвола. Пока оставлю так и послежу за логами.

Вот что вышло:

1. Прописал оба интерфейса через стандартное гуевое меню настроек.

2. Поставил галку, разрешающую Интернет Шаринг (ХЗ как это корректно запустить через терминал, но без нее подсеть на втором интерфейсе мертвая).

3. выставил sysctl переменную net.inet.ip.forwarding в 1, но не напрямую, а через флаг
IPFORWARDING=-YES-
в файле /etc/hostconfig. Тут дело вкуса, способов ее задать - масса. Извиняйте, что я выбрал именно этот - если кому опять покажусь неумеющим слушать.

4.Создал конфиг для nat

5. Создал конфиг для ipfw. Чтоб он заработал обязательно надо убить дефолтный /Library/Preferences/SystemConfiguration/com.apple.firewall.plist

6. Создал сервис запуска/перезапуска который это врубает. В таком порядке все и стартует.

Вот такая вот Макось получилась ))))
Я согласен с тем, что это немного муторно, но вполне кофигурабельно. К тому же ни доп. платное ПО, ни MacOS X Server ни к чему. [Ответ]