|
Название: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 23 Ноября 2009, 00:01:02 v50.28
Сервер с ядром 19x.x.x.1 и сателлитом 19x.x.x.2 (в разных местах города) На сателлите: #cat ipcad.conf capture-ports disable; interface divert port 1 netflow-disable; interface divert port 2 netflow-disable; rsh enable at 127.0.0.1; rsh enable at 19x.x.x.2; rsh root@127.0.0.1 admin; rsh root@19x.x.x.1 admin; rsh ttl = 6; rsh timeout = 30; dumpfile = ipcad.dump; chroot = /tmp; memory_limit = 50m; # rsh localhost help Builtin commands: и т.п. ответ есть #rsh 19x.x.x.2 help # - в консоли идет переход сразу на новую строку с приглашением На основном сервере # rsh 19x.x.x.2 help долго нет ответа Подскажите, пожалуйста, пример настройки rc.firewall , чтобы открыть удаленный доступ по rsh (или ccылку на раздел инстукции...) Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: Efendy от 23 Ноября 2009, 00:43:26 rsh имеет тот же извращенный механизм как и активный фтп - принимат соединение на фиксированный порт, после чего создает на случайном порту и на нем идет обмен данными, так что прописывай:
Код: ${f} add 2070 allow ip from ip_сателлита to anyНазвание: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 23 Ноября 2009, 21:59:43 Добавил
на основном сервере #ipfw add 2070 allow ip from ip_сателлита to any на сателлите #ipfw add 56 allow ip from ip_ядра to me dst-port 544 На основном сервере # rsh ip_сателлита help ip_сателлита: Operation timed out Что я забыл сделать на сателлите или сделал не так? Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: Lexx от 23 Ноября 2009, 22:11:38 pf используется?
по умолчанию он фильтрует tcp опции надо разрешить правилом с allow-opts Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 23 Ноября 2009, 23:00:46 Цитировать pf используется? #cat pf.natset limit states 128000 set optimization aggressive nat pass on rl0 from 10.0.0.0/8 to any -> rl0 Цитировать надо разрешить правилом с allow-opts Не силен я в этом. В какой файл allow-opts прописывается и, если можно, пример с рабочего конфига? Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: VitalVas от 24 Ноября 2009, 12:59:55 pf используется? с етим я стобой бы поспорил, у меня пф работает как нат уже год и проблем з пропусканиям tcp опций вообще невидил, хоть нагрузка там приличная!по умолчанию он фильтрует tcp опции надо разрешить правилом с allow-opts Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 24 Ноября 2009, 22:52:03 Так кто-нибудь приведет рабочий пример или это тайна?
Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: VitalVas от 24 Ноября 2009, 23:02:08 Так кто-нибудь приведет рабочий пример или это тайна? держыКод: set optimization aggressive Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 25 Ноября 2009, 09:44:22 Цитировать set optimization aggressive nat pass on fxp0 from 172.16.0.0/20 to any -> fxp1 nat pass on fxp0 from 172.16.254.0/24 to any -> fxp1 Так указано такое у меня... Что еще может быть? Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: VitalVas от 25 Ноября 2009, 16:58:42 деинсталируй, обнови фрю и порты и заново установи
Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 25 Ноября 2009, 18:18:26 Цитировать деинсталируй, обнови фрю и порты и заново установи Может мне еще и сервер перегрузить? ;)У кого более конкретные предложения есть? Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: Elisium от 25 Ноября 2009, 20:08:00 А тспдампом посмотреть куда и откуда коннектится рсш никак ?
Временно добавь allow ip from any to any в начало правил и посмотри, ТАК можешь приконектиться или нет ? Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 27 Ноября 2009, 21:05:50 Посоветовали добавить в pf.conf строчку
pass proto tcp from IP to (self) port shell allow-opts Кто пояснит, что она означает словами? Я думаю что "пропускать все пакеты tcp с установленными опциями IP c адреса "IP" на меня (?) на порт shell (shell - это что?) IP - это адрес сателлита (self) - этой адрес сервера, на котором ядро А что такое port shell allow-opts ? В гугле нашел только ссылки на http://www.opennet.ru/base/net/pf_faq.txt.html http://www.opennet.ru/base/sec/pf_extended.txt.html http://www.opennet.ru/base/net/pf_optimization.txt.html но там ничего такого нет :-\ Название: Re: Какие строки добавить в rc.firewall для rsh? Отправлено: a_eugene от 28 Ноября 2009, 12:11:23 Получилось, все-таки, так:
pf.conf pass proto tcp from IP_сателита to (self) port shell allow-opts rc.firewall ${f} add 65 allow tcp from IP_сателлита to me 512-1023 Эти строчки добавил на обоих серверах, потом буду разбираться, какие лишние Очень понятная информация на http://www.bog.pp.ru/work/rsh.html |