ipfw startet, obwohl explizit deaktiviert

[steinex]

Ich mal wieder:

Obwohl in der /etc/rc.conf 'firewall_enable="NO"' eingetragen ist, wird beim Booten die Firewall gestartet und ich habe keine Ahnung warum. Das doofe ist, das ich mich jedes mal ausperre, weil ipfw natürlich nur eine einzige Regel hat und die Kiste Headless läuft.

Meine rc.conf:

font8x14="iso-8x14"
font8x16="iso-8x16"
font8x8="iso-8x8"
hostname="kellerkind.lan"
ifconfig_rl1="inet 192.168.0.1  netmask 255.255.255.0"
inetd_enable="YES"
keymap="german.iso"
keyrate="fast"
sshd_enable="YES"
usbd_enable="YES"
update_motd="NO"
ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="default"
gateway_enable="YES"
ppp_nat="NO"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-dynamic"
firewall_enable="NO"
#firewall_script="/etc/rc.firewall"
#firewall_type="open"
named_enable="YES"
dhcpd_enable="YES"
ntpd_enable="YES"

Wenn ich firewall_enable auskommentiere, bringt das übrigens auch keinen Unterschied. Ich habe mal unter /etc und /etc/rc.d nach ipfw gegrept, das einzige was mir auffiel war das in /etc/netstart ipfw aufgerufen wird, netstart aber afaik garnicht beim booten aufgerufen wird. Hat eventuell jemand eine Idee, wo dieses schräge Phänomen herkommen könnte?

Danke und Gruss,
Frank

 

[Kamikaze]

Wahrscheinlich hast du in deiner /boot/loader.conf "ipfw_load=yes" eingetragen.

 

[steinex]

Nein. :-(

 

[Kamikaze]

Dann mach doch mal
# echo "ipfw_load=no" >> /boot/loader.conf

 

[steinex]

Ich habe ipfw nicht als Kernelmodul, sondern fest einkompiliert.

 

[chaos]

Dann wird als Standardoption deny gewählt, wenn man den Kernel nicht mit einer anderen Option verwendet.
Das hab' ich heute auch erfahren.

Abhilfe schaft firewall_type="open" (oder der Verweis auf ein eigenes Firewallskript) in der rc.conf, dann sollte alles durchgelassen werden (bzw das passireen, was man vorgibt).

EDIT:
Die zusätzliche Kerneloption steht in /etc/rc.firewall:

        # Everything else is denied by default, unless the
        # IPFIREWALL_DEFAULT_TO_ACCEPT option is set in your kernel
        # config file.

 

[steinex]

Jo, mir ist auch grad aufgefallen, das ipfw gestartet wird, sobald es im Kernel drin ist, unabhängig davon, ob ipfw in rc.conf deaktiviert ist. Das war ja das, was mich etwas aufs Glatteis geführt hat.

Vielen Dank.