---

Hej

Jeg har et lidt irriternede problem, jeg ikke forstår er et problem. Jeg
har et script til at starte firewallen op med, jeg vil så lave en fil
med blacklistede IP adresser og har gjort følgende:

BLACKLIST="/usr/local/firewallblacklist"

for i in $BLACKLIST; do
$IPTABLES -A INPUT -s $i -m limit --limit 5/minute -j LOG
--log-prefix "Blacklisted: "
$IPTABLES -A INPUT -s $i -j DROP
done

når jeg så starter firewallen kommer følgende fejl:
___________________________________________

[root@test010 root]# ./firewall.sh

Broadcast message from root (pts/1) (Sat Dec 10 19:51:55 2005):

tester firewall
The system is going DOWN for reboot in 10 minutes!

// her trykker jeg ctrl+c for at stoppe shutdown

Shutdown cancelled.
iptables v1.2.7a: invalid mask `firewallblacklist' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.7a: invalid mask `firewallblacklist' specified
Try `iptables -h' or 'iptables --help' for more information.
Iptables firewall is up Sat Dec 10 19:51:56 CET 2005.

___________________________________________


firewallblacklist indeholder KUN IP adressen og der er ikke noget space

Jeg har prøvet med og uden "" om path til filen.

Jeg har googlet og fundet noget, godt nok lidt ældre, læsestof om
iptables: http://www.fiveanddime.net/iptables/iptables-1.3.3/iptables.c.html

   if (string_to_number(mask, 0, 32, &bits) == -1)
      exit_error(PARAMETER_PROBLEM,
          "invalid mask `%s' specified", mask);

Men de IPadresser, der er tastet ind er korrekte.

Hvor pokker går det galt?

--
med venlig hilsen
Kim Emax

---

Den Sat, 10 Dec 2005 20:02:11 +0100 skrev Kim Emax:
> Hej
>
> Jeg har et lidt irriternede problem, jeg ikke forstår er et problem. Jeg
> har et script til at starte firewallen op med, jeg vil så lave en fil
> med blacklistede IP adresser og har gjort følgende:
>
> BLACKLIST="/usr/local/firewallblacklist"

Din variabel indeholder filnavnet. IKKE indholdet af filen.

Du kan bruge fx BLACKLIST="$(cat /usr/...list)"

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:

> Din variabel indeholder filnavnet. IKKE indholdet af filen.

selvfølgelig, doh!

> Du kan bruge fx BLACKLIST="$(cat /usr/...list)"

nice, det virker... i hvert fald sådan at jeg med echo kan se det rette
komme ud, men brugerne kommer stadig igennem... Det er lidt svært at
teste, når man ikke har flere forskellige IP adresser at arbejde fra

/Kim

---

Kim Emax <newsgroup@emax.dk> writes:

>BLACKLIST="/usr/local/firewallblacklist"

>for i in $BLACKLIST; do

$i vil indeholde "/usr/local/firewallblacklist" - ikke indholdet i
filen.

Det, du gerne vil, er...

for i in `cat $BLACKLIST`; do

Det er nogle forholdsvis kritiske kommandoer at fyre af, så der
bør nok implementeres noget sanity check både på selve filen og
på indholdet af den.

Mvh.
   Klaus.

---

Klaus Ellegaard wrote:

> $i vil indeholde "/usr/local/firewallblacklist" - ikke indholdet i
> filen.
>
> Det, du gerne vil, er...
>
> for i in `cat $BLACKLIST`; do

ja, det skrev Kent også, tanketorsk!

> Det er nogle forholdsvis kritiske kommandoer at fyre af, så der
> bør nok implementeres noget sanity check både på selve filen og
> på indholdet af den.

kun root kan læse filen, jeg indsætter kun IPs manuelt i den og der er
også et check i iptables, som jo gav fejlen før, så det skulle ikke
været et problem. Nu skal jeg bare finde ud af, hvordan de IPs bliver
blokket af firewallen, for det lader stadig ikke til at virke...

/Kim

---

Klaus, et spørgsmål til dette, jeg mener at huske du havde ganske godt
styr på iptables (andre må godt svare

$IPTABLES -A INPUT -s $i -m limit --limit 5/minute -j LOG --log-prefix
"Blacklisted: "
$IPTABLES -A INPUT -s $i -j DROP

Blokerer ikke brugeren, selvom $i har rette værdi, ligesom der heller
ikke findes noget i loggen, hvorfor?

Dette virker:

$IPTABLES -A INPUT -i $WAN_IFACE -s x82.x82.x64.x84/32

Hvor WAN_IFACE er sat til eth0 (WAN_IFACE="eth0")

--
mvh
Kim Emax