ip добавляется во все таблицы ipfw

[mikl_p]

Всем доброго времени суток.
Сам я не очень разбираюсь во freebsd, а программист уволился((
столкнулся с такой проблемой
При включение абонента в UTM ( пополнение баланса/включить интернет) IP абонента добавляется во все таблицы ipfw (100/101/106/107), в результате происходит полнейшая путаница. Также при перезагрузки сервера freebsd , все ip добавляются во все таблицы.
Лечу пока руками
ipfw table 106 delete 192.168.x.y
но надоело уже ((
Подскажите куда посмотреть/поковырять, чую что где-то строчка есть..но где((

правила ipfw

Код: Выделить всё

#!/bin/sh
fwcmd="/sbin/ipfw"
natcmd="/sbin/natd -n igb2 -m -u -f /etc/natd.conf -p 8778"

${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

################## PIPE
##################

# Безлимитный 10Мб квартиры  настройка каналов
${fwcmd} pipe 8 config bw 10Mbit/s queue 20 mask dst-ip 0xffffffff gred 0.05/20/100/0.7
${fwcmd} pipe 9 config bw 10Mbit/s queue 20 mask src-ip 0xffffffff gred 0.05/20/100/0.7 

# Безлимитный 10Мб квартиры настройка таблиц
${fwcmd} add pipe 8 ip from not me to table\(100\) out via igb1 
${fwcmd} add pipe 9 ip from table\(101\) to not me in via igb1

# Безлимитный 6Мб настройка каналов
${fwcmd} pipe 12 config bw 6Mbit/s queue 20 mask dst-ip 0xffffffff gred 0.05/20/100/0.7
${fwcmd} pipe 13 config bw 6Mbit/s queue 20 mask src-ip 0xffffffff gred 0.05/20/100/0.7 

# Безлимитный 6Мб настройка таблиц
${fwcmd} add pipe 12 ip from not me to table\(106\) out via igb1 
${fwcmd} add pipe 13 ip from table\(107\) to not me in via igb1

# Правила для таблиц тарифа Безлимитный 10Мб квартиры
${fwcmd} add divert natd ip from table\(100\) to any out via igb0
${fwcmd} add divert natd ip from table\(101\) to any out via igb0

# Правила для таблиц тарифа Безлимитный 6Мб
${fwcmd} add divert natd ip from table\(106\) to any out via igb0
${fwcmd} add divert natd ip from table\(107\) to any out via igb0

# Внешний интерфейс
${fwcmd} add divert natd ip from any to 210.118.59.194 in via igb0

${fwcmd} add 0010 allow all from any to any via lo0
${fwcmd} add 0020 deny ip from any to 127.0.0.1/8
${fwcmd} add 0030 deny ip from 127.0.0.1/8 to any
#${fwcmd} add 0040 allow ip from 10.0.0.0/32 to me
${fwcmd} add 0050 allow ip from me to any

${fwcmd} add 0402 deny udp from any to any 80

Правило включение в UTM
table 100 add UIP/32


п.с. мануал к utm почитал, по форуму поискал, похожего трэша не нашел.

[JAO]

Надо бы конфиг RFW глянуть и лог его.

[mikl_p]

JAO спасибо что откликнулись

логи RFW

Код: Выделить всё

Debug : Mar 30 18:32:36 28501150 FWCntl: dont_fork disabled. Don't wait child process ... 
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing command </sbin/ipfw>
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing FW rule&#58; table 100 add 192.168.3.18/32 is done.
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 StreamFirewall&#58; Got 'exec' command...
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; dont_fork disabled. Don't wait child process ... 
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing command </sbin/ipfw>
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing FW rule&#58; table 106 add 192.168.3.18/32 is done.
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 StreamFirewall&#58; Got 'exec' command...
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; dont_fork disabled. Don't wait child process ... 
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing command </sbin/ipfw>
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing FW rule&#58; table 101 add 192.168.3.18/32 is done.
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 StreamFirewall&#58; Got 'exec' command...
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; dont_fork disabled. Don't wait child process ... 
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing command </sbin/ipfw>
?Debug &#58; Mar 30 18&#58;32&#58;36 28501150 FWCntl&#58; Executing FW rule&#58; table 107 add 192.168.3.18/32 is done.

RFW5 тока нашёл

Код: Выделить всё

##
## /netup/utm5/rfw5.cfg
## UTM5 RFW configuration file
##

## =============================================================================
## MAIN PARAMETERS
## =============================================================================

## rfw_name
##  Description: Name of UTM5 rfw by which it is identified when connecting to
##   the UTM5 core. The same value must be set in the 'Name' field in the list
##   of firewalls in UTM_Admin.
##  Possible values&#58; <string>
##  Required field
rfw_name=127.0.0.1

## core_host
##  Description&#58; IP address of the host running UTM5 core.
##  Possible values&#58; <IP address>
##  Required field
core_host=127.0.0.1

## core_port
##  Description&#58; Port where UTM5 core is listening to Stream.
##  Possible values&#58; an integer from 1 to 65534
##  Required field
core_port=12758

## rfw_login
##  Description&#58; Login used to access to the UTM5 core.
##  Required field.
rfw_login=rfw

## rfw_password
##  Description&#58; Password used to access to the UTM5 core.
##  Required field.
rfw_password=rfw

## firewall_type
##  Description&#58; Firewall type. Must conform with the 'Type' parameter of the
##   firewall with the corresponding name.
##  Possible values&#58; local, cisco
##  Default value&#58; local
#firewall_type=cisco

## rfw_ssl_type
##  Description&#58; SSL connection type. If 'none' is set, the connection is
##   unencrypted.
##  Possible values&#58; tls1, ssl3, none
##  Default value&#58; none
#rfw_ssl_type=none

## sync_flags
## Description&#58; Startup synchronization options. Specified actions will be executed at startup.
## Possible value&#58; enable&#58;disable&#58;shaping&#58;dialup&#58;iptraffic&#58;blocks&#58;users
## E.g.&#58;
## enable - Execute 'Internet ON' rules of startup
## disable - Execute 'Internet OFF' rules of startup 
## users - Execute 'User Added' rules of startup
## iptraffic - Execute 'IP-traffic link added' rules of startup
## dialup - Execute 'Dialup link added' rules of startup
## blocks - Execute 'Modified block type' rules of startup
## shaping - Execute 'Setup dynamic shaping' rules of startup
sync_flags=enable

## =============================================================================
## PARAMETERS THAT ARE VALID WHEN firewall_type=local
## =============================================================================

### firewall_path
##  Description&#58; Path to the executable file that performs firewall management.
##  Possible values&#58; <name of an executable file>
##  Required field
firewall_path=/sbin/ipfw

# sudo_path
##  Description&#58; Sudo program path.
##  Possible values&#58; <path to an executable file>
##  Default value&#58; <unset>
#sudo_path=/usr/bin/sudo

## dont_fork
##  Description&#58; If set, firewall rules are applied one-by-one. Recommended when
##   using iptables.
##  Possible values&#58; yes, enable, true
##  Default value&#58; <commands are executed serially>
#dont_fork=yes

## =============================================================================
## PARAMETERS THAT ARE VALID WHEN firewall_type=cisco
## =============================================================================

## cisco_ip
##  Description&#58; IP address the commands are sent to via rsh protocol.
##  Possible values&#58; <IP address>
##  Required field
#cisco_ip=10.0.0.1

## =============================================================================
## LOGGING
## =============================================================================

## log_level
##  Description&#58; Logging level.
##  Possible values&#58; 0, 1, 2, 3
##  Default value&#58; 1
log_level=3

## log_file_main
##  Description&#58; Main logfile path.
##  Possible values&#58; <filename>
##  Default value&#58; STDERR
log_file_main=/netup/utm5/log/rfw.log


## log_file_debug
##  Description&#58; Debug logfile path.
##  Possible values&#58; <filename>
##  Default value&#58; STDERR
log_file_debug=/netup/utm5/log/rfw.log

## log_file_critical
##  Description&#58; Critical logfile path.
##  Possible values&#58; <filename>
##  Default value&#58; STDERR
log_file_critical=/netup/utm5/log/rfw.log

## rotate_logs
##  Description&#58; Enables logfile rotation.
##  Possible values&#58; yes, on, enable
##  Default value&#58; disabled

## max_logfile_count
##  Description&#58; Maximum number of logfiles to retain. Valid if logfile rotation
##   is on.
##  Possible values&#58; a positive integer
##  Default value&#58; not limited

## max_logfile_size
##  Description&#58; Maximum logfile size. When logfile size reaches this limit, a
##   rotation is performed. Valid if logfile rotation is on.
##  Possible values&#58; <size in bytes>
##  Default value&#58; 10485760

## pid_file
##  Description&#58; PID file path.
##  Possible values&#58; <filename>
##  Default value&#58; /var/run/utm5_rfw.pid

## =============================================================================
## MISCELLANEOUS
## =============================================================================

## firewall_flush_cmd
##  Possible values&#58; <filename>
#firewall_flush_cmd=/usr/sbin/iptables -F

## OBSOLETE. NOT RECOMMENDED TO USE
## Description and default values for these parameters are not provided.

## core_timeout
##  Possible values&#58; 5

[JAO]

RFW всё делает правильно, ищите почему у Вас UTM добавляет этот адрес не в одну таблицу, а в несколько. Просмотрите все брандмауэры в базе и их правила.

[mikl_p]

Попутный вопрос.
Может у нас изначально настроено неправильно.
Есть таблицы ipfw, там прописаны таблицы
По задумке програмера , который это настраивал
UTM должен читать правила firewall-а и добавлять в соответствующие таблицы

[JAO]

При такой настройке IP будет добавляться во все таблицы, только если правило применяется ко всем группам, а не к одной. Ищите это в настройках пользователей и групп через админку.

[mikl_p]

Да спасибо. Вчера нашёл как раз свою ошибку.
Пихал всех пользователей в одну группу (102).
Сделал для каждого тарифа - свою группу (98/99/100/101/и т.д).
Всё работает нормально.