Re: [debian] Wann soll Paketfilter gestartet werden?
On Fri, 12 Apr 2002 15:58:57 +0200
Janto Trappe [EMAIL PROTECTED] wrote:
Hi Janto,
Wenn dein Filter wirklich die IP braucht, kannst Du folgendes
verwenden:
if 'ifconfig | grep devicename`; then
IP=$(/sbin/ifconfig devicename | awk '/addr:/ {print $2}' | sed
s/addr://)
Das benutze ich schon. Leider meldet ifconfig einen Fehler, da ppp0
angeblich noch nicht vorhanden ist. /etc/init.d/ppp wird ja als S14* recht
früh gestartet, so daß mein Script mit S41 eigentlich ein funktionierendes
ifconfig ppp0 ausführenen können sollte. Oder sehe ich das falsch?
--
Joerg Desch [EMAIL PROTECTED]
Key fingerprint = C734 AB05 ED98 9497 499C 5CB5 8911 D9B1 9F71 E853
--
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [debian] Wann soll Paketfilter gestartet werden?
#include hallo.h Joerg Desch wrote on Fri Apr 12, 2002 um 07:25:59AM: gesehen. Leider scheint zu diesem Zeitpunkt das ppp0 Interface noch nicht gestartet zu sein, so daß mein Script die IP (mittels ifconfig ppp0) nicht selbstständig ermitteln kann. Wieso machst du den Aufruf nicht einfach aus einem ip-up.d-Skript? (man pppd) In welchen Runleveln und zu welchem Zeitpunkt soll ich das Script starten? Soll das jetzt vom Runlevel oder von der PPP-Verbindung abhängen? Gruss/Regards, Eduard. -- (wir lernen: plug pay heißt das Teil ist so scheiße, daß nicht einmal wir noch eine Doku schreiben wollen) (Robin S. Socha in dcouln) -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [debian] Wann soll Paketfilter gestartet werden?
* Joerg Desch [EMAIL PROTECTED] [12-04-02 07:25]: Ich habe mir ein kleines Paketfilterscript geschrieben, welches bisher auch gut funktioniert. Das install-script installiert das Startup-Script unter /etc/rcS mit S41*. Das habe ich bei einem anderen Firewall-Paket so gesehen. Leider scheint zu diesem Zeitpunkt das ppp0 Interface noch nicht gestartet zu sein, so daß mein Script die IP (mittels ifconfig ppp0) nicht selbstständig ermitteln kann. In welchen Runleveln und zu welchem Zeitpunkt soll ich das Script starten? Hallo Joerg, die Runlevel solltest Du nach Deinen Vorstellungen gestalten, da kann Dir schlecht jemand reinreden. Mein Skript startet mit Default-Werten z.B. /etc/rc2.d/S20netfilter, und zwar nur im Runlevel 2, weil ich nur in diesem online gehe. Zum Interface-Problem würde ich Dir iptables empfehlen, das funktioniert auch wenn das Interface noch garnicht vorhanden ist. z.B. MODEM=ppp0 IPTABLES=/sbin/iptables PPP_WALL=von-ppp0 $IPTABLES -A $PPP_WALL -i $MODEM -m limit -j LOG --log-prefix BAD PACKET from $MODEM: ^ Die Logs sehen dann etwa so aus: Apr 9 06:59:17 one kernel: BAD PACKET from ppp0:IN=ppp0 OUT= MAC= SRC=62.110.153.193 DST=62.227.102.134 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=47997 DF PROTO=TCP SPT=3667 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 Siehe auch 'man iptables'. Gruss Uwe msg05689/pgp0.pgp Description: PGP signature
Re: [debian] Wann soll Paketfilter gestartet werden?
Hallo erstma ... bin niegelnagelneu hier und wes ni, obsch des jetz richtig machen tu ;o) On Fri, 12 Apr 2002, Joerg Desch wrote: Ich habe mir ein kleines Paketfilterscript geschrieben, welches bisher auch gut funktioniert. Das install-script installiert das Startup-Script unter /etc/rcS mit S41*. Das habe ich bei einem anderen Firewall-Paket so gesehen. Leider scheint zu diesem Zeitpunkt das ppp0 Interface noch nicht gestartet zu sein, so daß mein Script die IP (mittels ifconfig ppp0) nicht selbstständig ermitteln kann. In welchen Runleveln und zu welchem Zeitpunkt soll ich das Script starten? Ich starte auch ein solches script in der /etc/ppp/ip-up. Gruß Sven -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [debian] Wann soll Paketfilter gestartet werden?
On Fri, 12 Apr 2002 07:25:59 +0200, Joerg Desch wrote: Hallo, Ich habe mir ein kleines Paketfilterscript geschrieben, welches bisher auch gut funktioniert. Das install-script installiert das Startup-Script unter /etc/rcS mit S41*. Das habe ich bei einem anderen Firewall-Paket so gesehen. Leider scheint zu diesem Zeitpunkt das ppp0 Interface noch nicht gestartet zu sein, so daß mein Script die IP (mittels ifconfig ppp0) nicht selbstständig ermitteln kann. Brauchst du wirklich die IP des Interfaces? Mein Filter brauch die nicht. Die Regeln sehen etwa so aus: /sbin/iptables -A INPUT -i ppp+ -p tcp --dport 2000:2003 -j REJECT Welche IP ppp0 später mal bekommt ist dann egal. In welchen Runleveln und zu welchem Zeitpunkt soll ich das Script starten? Ich mach das so: ./init.d/firewall ./rc0.d/K15firewall ./rc1.d/K15firewall ./rc2.d/S15firewall ./rc3.d/S15firewall ./rc6.d/K15firewall Reinhard -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [debian] Wann soll Paketfilter gestartet werden?
On Fri, 12 Apr 2002 12:10:04 +0200 Reinhard Foerster [EMAIL PROTECTED] wrote: /sbin/iptables -A INPUT -i ppp+ -p tcp --dport 2000:2003 -j REJECT Welche IP ppp0 später mal bekommt ist dann egal. Ich verwende aber noch ipchains. Da geht das (soweit ich weiß) noch nicht. -- Joerg Desch [EMAIL PROTECTED] Key fingerprint = C734 AB05 ED98 9497 499C 5CB5 8911 D9B1 9F71 E853 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [debian] Wann soll Paketfilter gestartet werden?
Hallo Joerg,
* Joerg Desch [EMAIL PROTECTED] [12-04-02 10:06]:
Soll das jetzt vom Runlevel oder von der PPP-Verbindung abhängen?
Beides. Wenn der Server hochläuft, soll das forwarding und eine offline
Variante des Filters gestartet werden. Wenn pppd dann online geht, wird
der Filter auf online umgestellt.
Wenn dein Filter wirklich die IP braucht, kannst Du folgendes
verwenden:
if 'ifconfig | grep devicename`; then
IP=$(/sbin/ifconfig devicename | awk '/addr:/ {print $2}' | sed s/addr://)
else
IP=10.0.0.1
fi
--
Janto TrappeGermany /* rapelcgrq znvy cersreerq! */
GnuPG-Key: http://www.sylence.de/gpgkey.asc
Key ID: 0x8C53625F
Fingerprint:35D7 8CC0 3DAC 90CD B26F B628 C3AC 1AC5 8C53 625F
msg05734/pgp0.pgp
Description: PGP signature
[debian] Wann soll Paketfilter gestartet werden?
Ich habe mir ein kleines Paketfilterscript geschrieben, welches bisher auch gut funktioniert. Das install-script installiert das Startup-Script unter /etc/rcS mit S41*. Das habe ich bei einem anderen Firewall-Paket so gesehen. Leider scheint zu diesem Zeitpunkt das ppp0 Interface noch nicht gestartet zu sein, so daß mein Script die IP (mittels ifconfig ppp0) nicht selbstständig ermitteln kann. In welchen Runleveln und zu welchem Zeitpunkt soll ich das Script starten? Leider erscheinen die logger-Ausgaben zu diesem Zeitpunkt nicht im logfile, so daß das Debugging etwas hakelig ist. -- Joerg Desch [EMAIL PROTECTED] Key fingerprint = C734 AB05 ED98 9497 499C 5CB5 8911 D9B1 9F71 E853 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
