---

Hej Ng

Jeg har mit firewall script i crontab filen så det bliver loadet en gang
hver time, da mine brugere har et webinterface hvor de kan whiteliste
ipadresser der må logge på via ssh...

Men når mit iptables script bliver loadet igennem crontab så bliver det ik
rigtig aktiveret, dvs at scriptet kører, men de ipadresser jeg smider ind
med denne

iptables -a input -i eth0 -s 33.44.55.66 --dport 2254 -j accept

hvor ipadressen så er en variabel som skifter for hver brugers hjemmemappe
og ip fil, bliver ikke indlæst, det kan jeg se ved at tilføje en ip i en af
filerne og så se det indlæste med iptables-save, men hvis jeg kører scriptet
manuelt virker alt som det skal...

Er der nogen der ved hvorfor og om der er en grund til hvorfor det ik virker
igennem crontab ?

Mvh Jacob

---

Den Thu, 9 Mar 2006 19:48:22 +0100 skrev Jacob d'Andrade:
> Hej Ng
>
> Jeg har mit firewall script i crontab filen så det bliver loadet en gang
> hver time, da mine brugere har et webinterface hvor de kan whiteliste
> ipadresser der må logge på via ssh...
>
> Men når mit iptables script bliver loadet igennem crontab så bliver det ik
> rigtig aktiveret, dvs at scriptet kører, men de ipadresser jeg smider ind
> med denne
>
> iptables -a input -i eth0 -s 33.44.55.66 --dport 2254 -j accept
>
> hvor ipadressen så er en variabel som skifter for hver brugers hjemmemappe
> og ip fil, bliver ikke indlæst, det kan jeg se ved at tilføje en ip i en af
> filerne og så se det indlæste med iptables-save, men hvis jeg kører scriptet
> manuelt virker alt som det skal...
>
> Er der nogen der ved hvorfor og om der er en grund til hvorfor det ik virker
> igennem crontab ?

Får du ikke en mail fra cron om hvad der er galt?

Ellers check at du sætter PATH så den kan finde iptables (cron har
ofte en meget kort PATH).

Hvis det ikke løser det, bliver du nok nødt til at poste hele scriptet.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:441078fc$0$15786$14726298@news.sunsite.dk...
> Den Thu, 9 Mar 2006 19:48:22 +0100 skrev Jacob d'Andrade:
>> Hej Ng
>>
>> Jeg har mit firewall script i crontab filen så det bliver loadet en gang
>> hver time, da mine brugere har et webinterface hvor de kan whiteliste
>> ipadresser der må logge på via ssh...
>>
>> Men når mit iptables script bliver loadet igennem crontab så bliver det
>> ik
>> rigtig aktiveret, dvs at scriptet kører, men de ipadresser jeg smider ind
>> med denne
>>
>> iptables -a input -i eth0 -s 33.44.55.66 --dport 2254 -j accept
>>
>> hvor ipadressen så er en variabel som skifter for hver brugers
>> hjemmemappe
>> og ip fil, bliver ikke indlæst, det kan jeg se ved at tilføje en ip i en
>> af
>> filerne og så se det indlæste med iptables-save, men hvis jeg kører
>> scriptet
>> manuelt virker alt som det skal...
>>
>> Er der nogen der ved hvorfor og om der er en grund til hvorfor det ik
>> virker
>> igennem crontab ?
>
> Får du ikke en mail fra cron om hvad der er galt?
Nope

>
> Ellers check at du sætter PATH så den kan finde iptables (cron har
> ofte en meget kort PATH).

Jæbs, det var skam det, lavede en variabel til /sbin/iptables og brugte den
istedet, og så funkere det

Takker

Jacob

---

Jacob d'Andrade wrote:
>
> Hej Ng
>
> Jeg har mit firewall script i crontab filen så det bliver loadet en gang
> hver time, da mine brugere har et webinterface hvor de kan whiteliste
> ipadresser der må logge på via ssh...
>
> Men når mit iptables script bliver loadet igennem crontab så bliver det ik
> rigtig aktiveret, dvs at scriptet kører, men de ipadresser jeg smider ind
> med denne

For det første vil jeg sige, at vil man lave den slags dynamiske
regler i sin firewall, så bør man udnytte iptables mulighed for
at lave brugerdefinerede kæder.

Lav en statisk konfiguration og gem den som /etc/sysconfig/iptables
(eller hvad det nu hedder på din distribution). Den statiske
konfiguration opretter en tom kæde til de dynamiske regler. Pakker
som falder igennem denne kæde havner så i f.eks. din INPUT kæde,
hvor den næste regel så kan lave en passende ACCEPT eller REJECT
(afhængig af om du er ved at lave en whitelist eller en blacklist).

Når reglerne skal nulstilles skal der bare kaldes en ganske simpel
"iptables -F kædenavn" for at fjerne alle regler fra din egen kæde.

>
> iptables -a input -i eth0 -s 33.44.55.66 --dport 2254 -j accept

Argumenterne til iptables er case sensitive.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

---

Jacob D\'Andrade skrev:
> Er der nogen der ved hvorfor og om der er en grund til hvorfor det ik virker
> igennem crontab ?

Kan det være fordi, at brugeren som crontab kører igennem ikke har adgang?

Har du prøvet med sudo?

Har du prøvet af lave en chmod 777 på dit script? Hvis det bliver genereret af PHP (jeg går ud fra, at det er det, som du bruger) ejes det jo af www-data. Derved burde cron ikke have adgang automatisk.

Prøv med sudo eller chmod og skriv tilbage :)


--
Med venlig hilsen
Kasper Johansen

---

Kasper skrev:
> Prøv med sudo eller chmod og skriv tilbage :)

Min hjemmelavede Usenet-klient havde vidst ikke downloadet alle beskederne ;)

Der var jo allerede svaret på spørgsmålet - Doh! :)