/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
IPtables & "invalid mask"
Fra : Kim Emax


Dato : 10-12-05 20:02

Hej

Jeg har et lidt irriternede problem, jeg ikke forstår er et problem. Jeg
har et script til at starte firewallen op med, jeg vil så lave en fil
med blacklistede IP adresser og har gjort følgende:

BLACKLIST="/usr/local/firewallblacklist"

for i in $BLACKLIST; do
$IPTABLES -A INPUT -s $i -m limit --limit 5/minute -j LOG
--log-prefix "Blacklisted: "
$IPTABLES -A INPUT -s $i -j DROP
done

når jeg så starter firewallen kommer følgende fejl:
___________________________________________

[root@test010 root]# ./firewall.sh

Broadcast message from root (pts/1) (Sat Dec 10 19:51:55 2005):

tester firewall
The system is going DOWN for reboot in 10 minutes!

// her trykker jeg ctrl+c for at stoppe shutdown

Shutdown cancelled.
iptables v1.2.7a: invalid mask `firewallblacklist' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: invalid mask `firewallblacklist' specified
Try `iptables -h' or 'iptables --help' for more information.
Iptables firewall is up Sat Dec 10 19:51:56 CET 2005.

___________________________________________


firewallblacklist indeholder KUN IP adressen og der er ikke noget space

Jeg har prøvet med og uden "" om path til filen.

Jeg har googlet og fundet noget, godt nok lidt ældre, læsestof om
iptables: http://www.fiveanddime.net/iptables/iptables-1.3.3/iptables.c.html

   if (string_to_number(mask, 0, 32, &bits) == -1)
      exit_error(PARAMETER_PROBLEM,
          "invalid mask `%s' specified", mask);

Men de IPadresser, der er tastet ind er korrekte.

Hvor pokker går det galt?

--
med venlig hilsen
Kim Emax

 
 
Kent Friis (10-12-2005)
Kommentar
Fra : Kent Friis


Dato : 10-12-05 20:07

Den Sat, 10 Dec 2005 20:02:11 +0100 skrev Kim Emax:
> Hej
>
> Jeg har et lidt irriternede problem, jeg ikke forstår er et problem. Jeg
> har et script til at starte firewallen op med, jeg vil så lave en fil
> med blacklistede IP adresser og har gjort følgende:
>
> BLACKLIST="/usr/local/firewallblacklist"

Din variabel indeholder filnavnet. IKKE indholdet af filen.

Du kan bruge fx BLACKLIST="$(cat /usr/...list)"

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Kim Emax (10-12-2005)
Kommentar
Fra : Kim Emax


Dato : 10-12-05 20:54

Kent Friis wrote:

> Din variabel indeholder filnavnet. IKKE indholdet af filen.

selvfølgelig, doh!

> Du kan bruge fx BLACKLIST="$(cat /usr/...list)"

nice, det virker... i hvert fald sådan at jeg med echo kan se det rette
komme ud, men brugerne kommer stadig igennem... Det er lidt svært at
teste, når man ikke har flere forskellige IP adresser at arbejde fra

/Kim

Klaus Ellegaard (10-12-2005)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-12-05 20:14

Kim Emax <newsgroup@emax.dk> writes:

>BLACKLIST="/usr/local/firewallblacklist"

>for i in $BLACKLIST; do

$i vil indeholde "/usr/local/firewallblacklist" - ikke indholdet i
filen.

Det, du gerne vil, er...

for i in `cat $BLACKLIST`; do

Det er nogle forholdsvis kritiske kommandoer at fyre af, så der
bør nok implementeres noget sanity check både på selve filen og
på indholdet af den.

Mvh.
   Klaus.

Kim Emax (10-12-2005)
Kommentar
Fra : Kim Emax


Dato : 10-12-05 20:58

Klaus Ellegaard wrote:

> $i vil indeholde "/usr/local/firewallblacklist" - ikke indholdet i
> filen.
>
> Det, du gerne vil, er...
>
> for i in `cat $BLACKLIST`; do

ja, det skrev Kent også, tanketorsk!

> Det er nogle forholdsvis kritiske kommandoer at fyre af, så der
> bør nok implementeres noget sanity check både på selve filen og
> på indholdet af den.

kun root kan læse filen, jeg indsætter kun IPs manuelt i den og der er
også et check i iptables, som jo gav fejlen før, så det skulle ikke
været et problem. Nu skal jeg bare finde ud af, hvordan de IPs bliver
blokket af firewallen, for det lader stadig ikke til at virke...

/Kim

Kim Emax (19-12-2005)
Kommentar
Fra : Kim Emax


Dato : 19-12-05 16:18

Klaus, et spørgsmål til dette, jeg mener at huske du havde ganske godt
styr på iptables (andre må godt svare

$IPTABLES -A INPUT -s $i -m limit --limit 5/minute -j LOG --log-prefix
"Blacklisted: "
$IPTABLES -A INPUT -s $i -j DROP

Blokerer ikke brugeren, selvom $i har rette værdi, ligesom der heller
ikke findes noget i loggen, hvorfor?

Dette virker:

$IPTABLES -A INPUT -i $WAN_IFACE -s x82.x82.x64.x84/32

Hvor WAN_IFACE er sat til eth0 (WAN_IFACE="eth0")

--
mvh
Kim Emax

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste