PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : FWBuilder Probleme



nebi
16.11.04, 19:39
Hi,
ich habe das Problem, das ich das fwbuilder script nicht automatisch starten kann. Ich habe wie beschrieben das script in der boot.local eingetragen. Problem ist aber, das die boot.local vor der Netzwerkinitialisierung gestartet wird und das entsprechende ethernet-interface zu dem zeitpkt noch nicht existiert, das script es aber braucht.

Ein anderes (eher verständnis) problem hab ich auch noch. Ich kann nur über einen Proxy ins Internet. Habe dafür einen neuen TCP service definiert source- 0:0 und destination port-range 8181:8181. Für z.B Musicstreams netzintern klappt diese vorgehensweise auch, da er sich auf meinem rechner einen port sucht und behält und ich kann musik hören. Bei der Proxyverbindung, behält er aber nicht den ersten Port, sondern nimmt sich jedesmal nen neuen port auf meinem rechner (32830,32831, 32832, ...). Jedenfalls verlier ich meine verbindung zum proxy, sobald ich das script starte. Ich habe aber "accept ESTABLISHED and RELATED packets before the first rule" aktiviert. Was hab ich da falsch gemacht?

Sytem: Suse9.1
FWbuilder: v2.0.3

sONAr
16.11.04, 21:09
Hallo,

plaziere dein Firewallscript in /etc/ppp/ip-up.d und es wird nach Initialisierung o.g. Sachen ausgeführt.

MfG

[sONAr]

nebi
16.11.04, 21:23
Ich hab das script in /etc/ppp/ip-up.d/ reinkopiert. Klappt leider nicht...

sONAr
16.11.04, 23:08
Hallo!

Erstelle Dir ein kleines Script unter /etc/ppp/ip-up.d, welches das von fwbuilder generierte Script ausführt.

z.B.:



#!/bin/sh
#
/Pfad/zum/fwbuilder/generierten/script/NAME.fw && ping -c 1 www.www.de


edit: da war ein reload zuviel. :-)
MfG

[sONAr]

cane
17.11.04, 08:06
Überprüfe ob das Script ausführbar ist.

cane

nebi
17.11.04, 17:05
So. Hab als erstes überprüft ob ausführbar ist. Jap, ist es. Dann hab ich das script geschrieben und es auch auf voll ausführbar gesetzt. Nichts. Beim systemstart zeigt er nix an, nichtmal nen Fehler. Bei der boot.local kam wenigstens noch ne fehlermeldung... So´n ****** :-)

Das Script:

#!/bin/sh
#
/home/nebi/.fwsettings/fw_wohnheim.fw && ping -c 1 192.168.0.23

sONAr
17.11.04, 18:12
Hallo,

bei mir erscheint folgende Meldung in /var/log/messages wenn ich eine Verbindung aufbaue.
Unter ´KInternet/Protokoll ansehen´ findet man diesen Eintrag auch oder in /var/log/smpppd.



Nov 17 17:51:02 xyz pppd[7293]: Using interface ppp0
Nov 17 17:51:02 xyz pppd[7293]: Connect: ppp0 <--> eth0
.
.
Nov 17 17:51:06 xyz pppd[7293]: local IP address xxx.xxx.xxx.xxx
Nov 17 17:51:06 xyz pppd[7293]: remote IP address xxx.xxx.xxx.xxx
Nov 17 17:51:06 xyz pppd[7293]: Script /etc/ppp/ip-up finished (pid 7310), status = 0x0
Nov 17 17:51:07 xyz /etc/ppp/ip-up.d/fw_ddc: Reloading firewall rules..done
.
.


Überprüfe das mal bei Dir.

MfG

[sONAr]

nebi
17.11.04, 23:22
Hi, da fällt mir auf, das ich eins vergessen hab zu erwähnen. Ich sitze in einem internen privaten wohnheim-netzwerk. Ich gehe über meine ethernetkarte ins internet und benutze kein modem, isdn-karte oder ähnliches.

Deshalb brauch ich auch kein ppp. Darum nimmt er das script in der "etc/ppp/ip-up.d" wohl auch nicht...

Noch ne idee dieses verflixte script automatisch zu starten? :ugly:

cane
18.11.04, 10:30
Noch ne idee dieses verflixte script automatisch zu starten?

Aber sicher:

Verschiebe das Script nach /etc/rc.d/fwbuilder
und erstelle einen Symlink "/etc/rc5.d/S85fwbuilder auf das Script.

Der Ausdruck S85 gibt den Ausführungszeitpunkt an und kann beliebig verändert werden.

Dann startet das Script jedesmal wenn Du in Runlevel 5 arbeitest. Soll das Script auch in anderen Runleveln starten erstellst Du die gleichen Symlinks in den anderen rc"x".d Ordnern.

Über die SUSU findest Du übrigens andere nette Topics zum theme Runlevel...


mfg
cane

nebi
18.11.04, 13:07
Super, jetzt haut es hin.

Also die Zusammenfassung:

-das fwbuilderscript in "/etc/init.d/" kopieren

-einen symbolischen link zu diesem script mit ln -s in "/etc/init.d/rc5.d/" erzeugen

-der name sollte ein Sxxdateiname-format haben. Die Sxx nummer sollte eine nummer höher sein wie "network" (bei mir war network S05 und deshalb "S06fwbuilderscript". unbedingt drauf achten, das das fwbuilder script nach dem netzwerk gestartet wird, sonst greifen die regeln irgendwie nicht (ich hätts ja lieber vorm endgültigen networkstart gehabt).

Am besten ist, wenn das script direkt nach dem netzwerkstart gestartet wird, da dann die mögliche angriffszeit so klein wie möglich ist...

So, bleibt nur noch ein problem :o

sONAr
19.11.04, 00:48
Jedenfalls verlier ich meine verbindung zum proxy, sobald ich das script starte. Ich habe aber "accept ESTABLISHED and RELATED packets before the first rule" aktiviert. Was hab ich da falsch gemacht?


Hallo,

hast Du evtl. diesen unten fett geschriebenen Abschnitt im Firewallscript?



$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# dropping TCP sessions opened prior firewall restart
#
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

#
# Rule 0(lo)


MfG

[sONAr]

nebi
19.11.04, 17:01
Nee, ich wollte damit bloss sagen, das das Scipt dann nicht so will, wie ich es möchte. Das ESTABLISHED RELATED beziehe ich darauf:

Ich kann nicht mit dem Proxy kommunizieren sobald ich im fwbuilder angebe du darfst nur auf port 8181 bei dem proxy anfragen. Damit ich mit dem proxy sprechen kann, muss ich im fwbuilder ANY anstatt 8181 einstellen.

Das komische daran ist ja, das wenn ich auf einen z.B musicstream von nem kumpel will gebe ich im fwbuilder als ziel meinen kumpel an (z.B 192.168.0.123) und dann den Port (z.B 8000). Dann kann ich seine musik hören.

Das gleiche sollte mit dem proxy ablaufen, aber es klappt nicht. Der einzige unterschied zwischen den beiden sachen ist, das beim musicstream der port auf meinem rechner gleich bleibt, sobald die verbindung sich einen ausgesucht hat. Der proxy aber sucht sich bei jedem packet was kommt nen neuen port (ich hab das mal mitgesniffert).