Update von IPTABLES

[quaylar]

@excal :

Zitat:

Dies steht im FW -script,das im gepostet wurde:

iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

Hui - du hast recht - ich war noch bei ipchains wo das MASQ hieß - mein Fehler.

Zitat:

Also red du kein Scheiss, ich wollt im nur helfen, ob die Connection OHNE Firewall geht

Nein - du hast versucht das problem mit MASQ zu lösen - wo kein Prob mit MASQ war.

Zitat:

Das der Fehler im Script der FW liegt, was i selber a! Was ich vergessen hab, war, das er SUSE benutzt!!!!! Bei mir läufts mit der Eingabe,weil RH 7.1!!

Nein - das ist völlig nebensächlich - denn iptables ist bei jeder Distribution gleich - die Syntax ist immer dieselbe.

Zitat:

Sein Problem ist = zu viele Köche verderben den Brei!

Vollkommen richtig - vor allem Köche die versuchen ein 5 Gänge Menü zu kochen wo sie grad mal Schnitzel klopfen können *g*

Zitat:

Der arme Kerl sieht sich NOCH weniger ausse als i! Ausserdem bin ich grad dabei, ne Mini FW zu schreiben, damit wir wenigstens Minimalschutz haben.

Das ist schön - würd mich intressieren wie die aussieht wennst damit fertig bist
Poste doch dann mal das Ergebnis....

Zitat:

Ne 100% FW gibts nur, wenns dein Rechner abdrehst,das will keiner einsehen! mfg Excalibur33

Doch - ich glaub das sieht jeder von uns hier ein.....

--qu

[artemisia]

Zitat:

Ich weiss dass das eine Fallunterscheidung ist die das erste Argument des Firewall-Scripts betrifft.
Abhängig von diesem werden die in den case Abfragen aufgelisteten Kommandos ausgeführt.
Jedoch - müsste doch das gesamte Script in jeder case Abfrage beendet werden oder nicht ?
Wenn er jetzt eingibt "firewall2 start" - gibt er mit echo die Meldungen aus und fängt dann an das Script nach unten hin abzuarbeiten.
Wenn er eingibt "firewall2 stop" - passiert doch genau dasselbe - er flusht die rules - gibt die Meldung aus - und arbeitet das Script weiter ab, ich versteh nicht wie das funktioniert.
Denn wenn er "firewall2 stop" eingibt - muss das Script nach Abarbeiten des "stop case" beendet werden.

nein, die case unterscheidung läuft bis zu ;;
danach verläßt der interpreter den case block. ein extra "break" wie in c ist nicht nötig.

Zitat:

gefragt wird, ob die zeichenkette "x$3" ungleich der zeichenkette "x" ist. das ist nur dann der fall, wenn die variable $3 NICHT leer ist. ???

das konnte ich nicht so schnell korrigieren, wie du den beitrag gelesen hast, natürlich muss es nicht heißen.

Zitat:

Ausserdem : wer sagt dass ich später den Interfacenamen als 3. Argument verwende - kann doch auch als 2. oder 4. nehmen....

eindeutig nein, so wie du das script hier ins forum gestellt hast, wird nur das 3.argument verwendet, ansonsten wird der defaultwert eingestellt.


greetz
artemisia

[quaylar]

Zitat:

nein, die case unterscheidung läuft bis zu ;;
danach verläßt der interpreter den case block. ein extra "break" wie in c ist nicht nötig.

Ja das ist mir schon klar - nach dem ;; verlässt er den case block.
Und fährt fort das Script abzuarbeiten - oder etwa nicht ?

Zitat:

eindeutig nein, so wie du das script hier ins forum gestellt hast, wird nur das 3.argument verwendet, ansonsten wird der defaultwert eingestellt.

Ja ist mir auch klar - Nur setzt dieses Script voraus dass ich in allen nachfolgenden iptables Kommandos das Interface als 3.Argument angebe.
Oder ?
Und wenn ich das nicht tu - sondern zB als 2. oder 4. dann wird IMMER der default Wert geladen ?
btw.: Woher soll das script wissen dass das 3. Argument das Interface ist ?
es wird ja nur Abgefragt ob ein 3. Argument existert - wenn dieses 3. Argument nun irgendwas andres als das Interface angibt wird ein falscher Wert in der Variable INTIF gespeichert oder ?

--qu

[artemisia]

Zitat:

Ja das ist mir schon klar - nach dem ;; verlässt er den case block.
Und fährt fort das Script abzuarbeiten - oder etwa nicht ?

der case block endet mit dem schlüsselwort esac (umgedrehtes case), das hattest du in deinem script vergessen. der programmfluss läuft also jeweils bis zu ;; springt dann aus dem case block und arbeitet hinter esac weiter, wenn es ein dahinter gibt.

Zitat:

Ja ist mir auch klar - Nur setzt dieses Script voraus dass ich in allen nachfolgenden iptables Kommandos das Interface als 3.Argument angebe.
Oder ?

versteh ich nicht ganz, im script oder was meinst du?

Zitat:

nd wenn ich das nicht tu - sondern zB als 2. oder 4. dann wird IMMER der default Wert geladen ?

wenn du einen 4. kommandozeilenparameter benutzt, existiert logischerweiser auch ein dritter. ansonsten hast du recht.


greetz
artemisia

[quaylar]

Zitat:

der case block endet mit dem schlüsselwort esac (umgedrehtes case), das hattest du in deinem script vergessen. der programmfluss läuft also jeweils bis zu ;; springt dann aus dem case block und arbeitet hinter esac weiter, wenn es ein dahinter gibt.

Ja - und jetzt sind wir genau da wo ich hinwollte.
er arbeitet hinter esac weiter - wenn es ein dahinter gibt.
Und in diesem fall (das ist das firewall2 script aus einem der vorigen Postings http://www.onlinetravel.at/firewall2 ) - gibt es eben ein "dahinter".

Nun - und in diesem Fall (wenn du dir das Script ansiehst) - dann wird, so wie ich das verstehe, alles was hinter der "case-esac" Abfrage steht IMMER verarbeitet - egal mit welchem der 4 Paramter ich firewall2 aufrufe.
Und auf das will ich hinaus - denn wenn er "firewall2 stop" eingibt - dann soll ja das ganze Zeug dass hinter dem case Block kommt NICHT mehr abgearbeitet werden. Was aber in diesem Fall geschieht weil ja nirgends eine Anweisung drinn ist dass er das Script nach dem "stop-case" beenden soll.
Verstehst was ich mein ?

Zitat:

versteh ich nicht ganz, im script oder was meinst du?

ja im script....

Zitat:

wenn du einen 4. kommandozeilenparameter benutzt, existiert logischerweiser auch ein dritter. ansonsten hast du recht.

hmm.....gut...dann is mir das klar....

Nur was mir immer noch nicht klar ist, ist worauf sich diese if-else Schleife bezieht....auf die Argumente welchen Scripts oder Befehls bezieht sich diese Abfrage ?
Auf die nachfolgenden iptables Befehle die im Script kommen ?

--qu

[quaylar]

Nachtrag :

Vergiss meine ersten 2 Absätze - ich hab mir das Script nochmal angesehen - das esac kommt erst ganz am Ende - hatte ich übersehen, sorry.
Die case-esac Geschichte ist mir jetzt klar....

Nur das andere noch nicht...

--qu

[artemisia]

die if-else kondition (oder bedingung, keine schleife!) entscheidet nur darüber, welchen wert die variable INTIF enthält. je nachdem, ob du beim aufruf einen 3.kommandozeilenparameter angegeben hast, erhält die variable INTIF diesen wert. d.h überall dort wo etwas in der art $INTIF im weiteren verlauf des scriptes steht, wird entweder der default wert oder der 3.kommandozeilenparameter eingesetzt.

beispiel:


if [ "x$1" != "x" ]; then
GRUSS=$1
else
GRUSS="guten morgen"
fi
echo $GRUSS
echi "Ein zweiter Gruss: $GRUSS"

führst du ein solches script mit dem parameter "gute nacht" aus wird, überall wo $GRUSS steht "gute nacht" eingesetzt. ansonsten enthält gruss
"guten morgen"

ansonsten "gute nacht"

greetz
artemisia

[Ulraich]

Bin jetzt wieder da und hab wies aussieht ja einiges versäumt(hoff ihr habt euch nicht gegenseitig aufgespießt *g*) Naja hab jetzt des mit dem /usr/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT(Internet gestartet, Firewall geladen und nachher das iptables kommando eingegeben) habs ausprobiert funktioniert leider nicht. eth1 ist auf 192.168.0.1. Kann pingen wenn die firewall net an is, wenn i sie starte gehts net und wenn is stop gehts wieder.

[Ulraich]

War ne schlechte idee mit dem /usr/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT, weil wenn i jetzt versuch den Konqueror zu offnen u ne seite laden will schreibt er host not found oder so was in der art, kommt aber nur wenn i die firewall starte oder gestartet u beendet habe wenn ich die firewall überhauptnicht starte gehts internet!!!

[artemisia]

@ulraich

eine frage:

was soll diese regel bewirken?

/usr/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT

greetz
artemisia