[freebsd] regles pf qui ne chargent pas au boot
Le
patpro ~ patrick proniewski
Bonjour,
J'ai un serveur FreeBSD 8.2 qui fonctionne correctement, à part quelques
petits points de détail.
Entre autres choses, si je le reboote, les règles du firewall PF ne sont
pas chargée quand le système démarre.
J'ai pourtant bien ces lignes dans mon /etc/rc.conf :
pf_enable="YES" # Set to YES to enable packet filter (pf)
pflog_enable="YES" # Set to YES to enable packet filter logging
Après reboot, j'ai ça :
# pfctl -s all
No ALTQ support in kernel
ALTQ related functions disabled
FILTER RULES:
INFO:
Status: Enabled for 3 days 01:46:57 Debug: Urgent
State Table Total Rate
current entries 0
searches 43387599 163.3/s
inserts 0 0.0/s
removals 0 0.0/s
Counters
match 43387599 163.3/s
bad-offset 0 0.0/s
fragment 0 0.0/s
OS FINGERPRINTS:
696 fingerprints loaded
Alors que bien sûr, j'ai un paquet de règles dans mon /etc/pf.conf.
Je n'ai rien trouvé dans le dmesg.boot, dans messages, ni ailleurs.
Une idée ?
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
J'ai un serveur FreeBSD 8.2 qui fonctionne correctement, à part quelques
petits points de détail.
Entre autres choses, si je le reboote, les règles du firewall PF ne sont
pas chargée quand le système démarre.
J'ai pourtant bien ces lignes dans mon /etc/rc.conf :
pf_enable="YES" # Set to YES to enable packet filter (pf)
pflog_enable="YES" # Set to YES to enable packet filter logging
Après reboot, j'ai ça :
# pfctl -s all
No ALTQ support in kernel
ALTQ related functions disabled
FILTER RULES:
INFO:
Status: Enabled for 3 days 01:46:57 Debug: Urgent
State Table Total Rate
current entries 0
searches 43387599 163.3/s
inserts 0 0.0/s
removals 0 0.0/s
Counters
match 43387599 163.3/s
bad-offset 0 0.0/s
fragment 0 0.0/s
OS FINGERPRINTS:
696 fingerprints loaded
Alors que bien sûr, j'ai un paquet de règles dans mon /etc/pf.conf.
Je n'ai rien trouvé dans le dmesg.boot, dans messages, ni ailleurs.
Une idée ?
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Poser une question
patpro ~ patrick proniewski
[...]
Ici, ça marche avec juste la ligne suivante en sus :
pf_rules="/etc/pf.conf" # rules definition file for pf
Mais, a priori, c'est le réglage par défaut.
Que se passe-t-il après un restart de pf (via /etc/rc.d/pf) ?
--
Paul Gaborit -
Je l'ai ajouté, mais ça ne change rien. Au redémarrage, pf ne charge
toujours pas les règles, mais il est par contre bien activé.
si je lance manuellement /etc/rc.d/pf, les règles sont chargées
correctement.
Est-il envisageable que l'ensemble des IP de la machine ne soit pas
disponible au moment où pf tente de charger les règles pendant le boot ?
C'est un serveur web qui dispose de 40 adresses IP.
39 sont sur une ligne ipv4_addrs_em0="..." et 1 est sur une ligne
ipv4_addrs_em1="..."
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
patpro ~ patrick proniewski
C'est possible (et même courant si on utilise DHCP par exemple) mais, à
mon avis, sans aucune importance puisqu'on peut même utiliser des
interfaces inexistantes dans les règles. PF charge quand même la règle
et, si l'interface vient à exister, elle sera appliquée.
Belle collection d'IP ! Mais franchement, je ne vois pas en quoi cela
pourrait jouer.
En activant le debug au niveau loud (dans pf.conf), PF sera sûrement
plus causant au boot...
--
Paul Gaborit -
moi non plus, mais c'est la seule machine que j'ai qui présente ce
problème, et en prime c'est la seule qui utilise la syntaxe
ipv4_addrs_em0="..." dans son rc.conf pour les interfaces réseau
hmmm le problème c'est de pouvoir lire ces messages. En fait, le
chargement de PF se fait après la fin de ce que je trouve dans le dmesg.
Il y a un moyen de récupérer ce qui est affiché à la console dans un
fichier de log ?
patpro
--
Je cherche à changer d'air -> http://www.patpro.net/cv
'Lut,
dmesg -a ne résoudrait pas ton problème, des fois ?
--
constitutifs de son identification (nom d'utilisateur, mot de passe de
connexion, adresse e-mail, mot de passe de messagerie).
-+- FAI in : GNU - Mon adresse email est classée secret-défense -+-