ip-up.local wird nicht ausgefuehrt.
Hallo zusammen, habe schon die ganze nacht das problem, das meine ip-up.local (750 root.root) nicht mehr ausgefuerht wird. ip-up wird ausgefuehrt. in ip-up.local habe ich direkt am anfang und am ende ein echo eingebaut. daher bin ich mir recht sicher, das es nicht ausgefuehrt wird. :( im netz habe ich gelesen, das es evtl. windows zeichen drin sein koennen, sind aber nicht. ich habe keine idee mehr wo dran es liegen koennte. bin auch mehr mals das ip-up skript durchgegangen. aber ohne erfolg. mfg bjoern wiegner
On Monday 16 September 2002 02:03, Björn Wiegner wrote: [...]
habe schon die ganze nacht das problem, das meine ip-up.local (750 root.root) nicht mehr ausgefuerht wird.
ip-up wird ausgefuehrt. in ip-up.local habe ich direkt am anfang und am ende ein echo eingebaut.
daher bin ich mir recht sicher, das es nicht ausgefuehrt wird. :( im netz habe ich gelesen, das es evtl. windows zeichen drin sein koennen, sind aber nicht.
ich habe keine idee mehr wo dran es liegen koennte. bin auch mehr mals das ip-up skript durchgegangen. aber ohne erfolg. [...] Hast Du dein ip-up script geändert? Was steht in deinem ip-up.local Script? Welche Rechte und ownership hat das ip-up Script?
Tschüss, Thomas
* Björn Wiegner schrieb am 16.Sep.2002:
habe schon die ganze nacht das problem, das meine ip-up.local (750 root.root) nicht mehr ausgefuerht wird.
ip-up wird ausgefuehrt. in ip-up.local habe ich direkt am anfang und am ende ein echo eingebaut.
Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet. Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux heute:
[...] Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet.
--- schnipp (SuSE 8.0, Aus "/etc/ppp/ip-up" Zeile 115 ff) # call ip-up.local if it exists and is executable: if test -x /etc/ppp/ip-up.local ; then /etc/ppp/ip-up.local "$@" | logger -p security.notice -t ip-up.local > /dev/null & fi --- schnapp MfG Henning Hucke -- "Ich weiß nicht mit welchen Waffen sich die Menschen im 3. Weltkrieg bekaempfen, aber im 4. werden es Keulen sein." (Albert Einstein)
* Henning Hucke schrieb am 16.Sep.2002:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux heute:
[...] Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet.
--- schnipp (SuSE 8.0, Aus "/etc/ppp/ip-up" Zeile 115 ff) # call ip-up.local if it exists and is executable: if test -x /etc/ppp/ip-up.local ; then /etc/ppp/ip-up.local "$@" | logger -p security.notice -t ip-up.local > /dev/null & fi --- schnapp
Ja, schön. Und was willst Du damit sagen? Bernd -- Was ist quoten? Quoten ist das Zitieren aus einer mail, der man antwortet. Und wie macht man es richtig? Zitate werden mit "> " gekennzeichnet. Nicht mehr als nötig zitieren. Vor den Abschnitten das Zitat, auf das man sich bezieht, mit einer Zeile Abstand oben und unten. |Zufallssignatur 12
Hallo, mein beitrag findet ja doch Beachtung. Danke schon mal. Vieleicht auch mal ein wenig Hintergrund infos. Ich bin dabei, meine eigene FW zu schreiben (in ip-up.local), um die SFW2 nicht mehr nutzen zu muessen. Nachdem ich also erstmal alle wichtigen Sachen in der ip-up.local geaendert habe. (mit vi, und nicht via Windows !) Habe ich die SFW2 ueber Yast2 rausgenommen. Ab da hatte ich dann das Problem, auch eine neue einrichtung der SFW2 mit Yast2 hat es leider nicht behoben. @Thomas:
Hast Du dein ip-up script geändert? Manuell nicht. Nur wie oben beschrieben mit Yast.
Was steht in deinem ip-up.local Script? Die haenge ich einfach mal an. (hoffentlich mache ich mir damit keine Feinde.
Welche Rechte und ownership hat das ip-up Script? -rwxr--r-- 1 root root 7902 Sep 17 01:11 ip-up
@Bernd:
Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet. Ich selbst habe nichts umgelenkt, aber wenn ich das richtig interpretiere uebernimmt "logger" das. Vorher hats ja auch geklappt. und ich habe auch schon von Anfang an, meine echo Zeilen im ip-up.local Skript gehabt. Und vorher hats ja geklapt.
@Henning Verstehe dein Beitrag nicht. *Achselzuck* @ALL: Hier mal ein Ausschnitt aus meiner messages: pppd[11843]: Plugin /usr/lib/pppd/2.4.1/pppoe.so loaded. pppd[11843]: PPPoE Plugin Initialized pppd[11843]: Plugin pppoe.so loaded. pppd[11843]: PPPoE Plugin Initialized pppd[11843]: Plugin passwordfd.so loaded. pppd[11843]: pppd 2.4.1 started by root, uid 0 pppd[11843]: Using interface ppp0 pppd[11843]: Couldn't increase MTU to 1500. pppd[11843]: Setting MTU to 1492. pppd[11843]: Couldn't increase MRU to 1500 pppd[11843]: local IP address 192.168.99.1 pppd[11843]: remote IP address 192.168.99.99 pppd[11843]: Starting link pppd[11843]: Sending PADI pppd[11843]: HOST_UNIQ successful match pppd[11843]: HOST_UNIQ successful match pppd[11843]: Got connection: b3 pppd[11843]: Connecting PPPoE socket: 00:90:1a:10:26:5b b300 eth0 0x8086708 pppd[11843]: Connect: ppp0 <--> eth0 pppd[11843]: Couldn't increase MTU to 1500. pppd[11843]: Setting MTU to 1492. pppd[11843]: Couldn't increase MRU to 1500 pppd[11843]: Setting MTU to 1492. pppd[11843]: Local IP address changed to 80.143.178.151 pppd[11843]: Remote IP address changed to 217.5.98.137 pppd[11843]: Open TCP 80.143.178.151:3401 -> 192.67.198.54:21 modify_resolvconf: Service pppd modified /etc/resolv.conf. See info block in this file SuSEfirewall2: Firewall rules successfully set from /etc/sysconfig/SuSEfirewall2 pppd[11843]: Script /etc/ppp/ip-up finished (pid 11857), status = 0x0 PS: auch wenn ich mir nachher mit "iptables -vL" die Regeln anschaue, entspricht das nicht meinem Skript. Auch ein Zeichen das die ip-up.local nicht ausgefuehrt wird. mfg Bjoern
Huch ... :) Also hier das Skript. ---------------------------------------------------------------------------- ------------- #!/Bin/bash # # /etc/ppp/ip-up.local # #### # # Eintrag in Logfile um zu ueberpruefen ob der Skript abgearbeitet wird. # #### echo "Start ip-up.local" > /var/log/messages #### # # Parameter von pppd # #### # Interface-name DEV_INET=$1 # local-IP-address IP_INET=$4 # remote-IP-address IP_GATEWAY=$5 #### # # Einige weitere Variablen, die praktisch sein koennen bzw. die # benoetigt werden # #### # Das Device auf LAN-Seite DEV_LAN=eth1 IP_LAN=192.168.0.250 # Loopback Device. DEV_LOOP=lo IP_LOOP=127.0.0.1 # Kürzel für alle IP-Adressen ANY=0.0.0.0/0 # Kürzel für alle IP-Adressen im eigenen LAN LOC_NET=192.168.0.0/24 # Das aktuelle Datum und die Uhrzeit DATE=$(date) # Vollen Pfad von iptables IPTABLES=/usr/sbin/iptables #### # # Hier beginnt das eigentliche Masquerading- und Firewallskript # #### # IP-Forwarding im Kernel zunächst deaktivieren - wird am Schluss des Skriptes # wieder aktiviert echo 0 > /proc/sys/net/ipv4/ip_forward # Benoetigte Module laden modprobe ip_tables &> /dev/null modprobe ip_conntrack &> /dev/null modprobe ip_conntrack_ftp &> /dev/null modprobe ipt_state &> /dev/null modprobe iptable_nat &> /dev/null modprobe ipt_REJECT &> /dev/null modprobe ipt_MASQUERADE &> /dev/null # Alle alten Regeln löschen, anschließend die Default-Policy setzen $IPTABLES -F $IPTABLES -X $IPTABLES -F -t filter $IPTABLES -F -t nat $IPTABLES -F -t mangle $IPTABLES -t filter -X $IPTABLES -t nat -X $IPTABLES -t mangle -X # Wenn keine andere Regel greift, alles verwerfen $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT DROP # PRE- und POST-Routing in der nat-Tabelle erlauben $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT # # # Zunächst alle "illegalen" Pakete blocken - trotz der Default-Policy "DROP" # sinnvoll, einzeln aufzulisten, um sie korrekt zu "REJECT"en und auch # mitzuloggen. # # # Ersteinmal alles löschen, was generell kaputt ist oder # Angriffsversuche darstellen könnte. $IPTABLES -N invalid $IPTABLES -A INPUT -m state --state INVALID -i ! $DEV_LOOP -j invalid $IPTABLES -A FORWARD -m state --state INVALID -j invalid $IPTABLES -A INPUT -m unclean -i ! $DEV_LOOP -j invalid $IPTABLES -A invalid -m limit -j LOG --log-prefix "invalid " $IPTABLES -A invalid -j REJECT # # Scan-Pakete: log and drop # # Blocke sog. XMAS-Pakete $IPTABLES -N xmas $IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j xmas $IPTABLES -A FORWARD -p tcp --tcp-flags ALL ALL -j xmas $IPTABLES -A xmas -m limit -j LOG --log-level info --log-prefix "xmas-scan " $IPTABLES -A xmas -j REJECT # Blocke NULL Pakete $IPTABLES -N null_scan $IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -j NULL_SCAN $IPTABLES -A FORWARD -p tcp --tcp-flags ALL NONE -j NULL_SCAN $IPTABLES -A null_scan -m limit -j LOG --log-level info --log-prefix \ "null-scan " $IPTABLES -A null_scan -j REJECT # Spoofed packets: log and drop $IPTABLES -N spoofing $IPTABLES -A INPUT -i $DEV_LAN -s ! $LOC_NET -j spoofing $IPTABLES -A FORWARD -i $DEV_LAN -s ! $LOC_NET -j spoofing $IPTABLES -A FORWARD -i $DEV_INET -s 192.168.0.0/16 -j spoofing $IPTABLES -A FORWARD -i $DEV_INET -s 172.16.0.0/12 -j spoofing $IPTABLES -A FORWARD -i $DEV_INET -s 10.0.0.0/8 -j spoofing $IPTABLES -A spoofing -m limit -j LOG --log-level info --log-prefix "spoofing " $IPTABLES -A spoofing -j REJECT # icmp handling - ICMP-Pakete werden erlaubt, bis auf type 5 (redirect) $IPTABLES -N icmp_allow $IPTABLES -N icmp_reject $IPTABLES -A INPUT -p icmp --icmp-type ! 5 -j icmp_allow $IPTABLES -A INPUT -i $DEV_INET -p icmp --icmp-type 5 -m limit -j icmp_reject $IPTABLES -A icmp_allow -j ACCEPT $IPTABLES -A icmp_reject -m limit -j LOG --log-prefix "icmp_rej " $IPTABLES -A icmp_reject -j REJECT --reject-with icmp-host-unreachable # # # Freischalten, was auf dem *Router* benötigt wird # # # Bereits bestehende Verbindungen werden immer akzeptiert: das spart # das expizite freischalten der INPUT-Pakete bei erlaubten Verbindungen # ein $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Verbindungen zum loopback-Device - Das ist NOTWENDIG $IPTABLES -N lo_accept $IPTABLES -A INPUT -i $DEV_LOOP -m state --state NEW -j lo_accept $IPTABLES -A OUTPUT -o $DEV_LOOP -m state --state NEW -j lo_accept $IPTABLES -A lo_accept -j ACCEPT # Pings vom Gateway erlauben $IPTABLES -N icmp_gate $IPTABLES -A OUTPUT -p icmp -j icmp_gate $IPTABLES -A icmp_gate -j ACCEPT # Erlaube www/ftp vom Gateway (z. B. beim Update übers Inet) $IPTABLES -N www_gate $IPTABLES -A OUTPUT -p tcp --dport 21 -s $IP_INET -m state --state NEW -o $DEV_INET -j www_gate $IPTABLES -A OUTPUT -p tcp --dport 80 -s $IP_INET -m state --state NEW -o $DEV_INET -j www_gate $IPTABLES -A www_gate -j ACCEPT # timeserver: erlaubt das Holen der aktuellen Zeit aus dem Inet $IPTABLES -N ntp_gate $IPTABLES -A OUTPUT -p udp --dport 123 -s $IP_INET -m state --state NEW -o $DEV_INET -j ntp_gate $IPTABLES -A ntp_gate -j ACCEPT # DHCP erlauben $IPTABLES -N dhcp_gate $IPTABLES -A OUTPUT -p udp -o $DEV_LAN -m state --state NEW --dport 67 -j dhcp_gate $IPTABLES -A INPUT -p udp -i $DEV_LAN -m state --state NEW -s $LOC_NET --dport 67 -d $IP_LAN -j dhcp_gate $IPTABLES -A dhcp_gate -j ACCEPT # DNS erlauben $IPTABLES -N dns_gate $IPTABLES -A OUTPUT -p udp -o $DEV_INET --dport 53 -m state --state NEW -j dns_gate $IPTABLES -A dns_gate -j ACCEPT # ssh-Verbindungen erlauben (aus dem lokalen Netz, vom Gateway nach aussen): # Bei gewünschten Verbindungen von aussen an das Gateway entpsrechende Zeile # mit aktivieren! $IPTABLES -N ssh_gate $IPTABLES -A OUTPUT -p tcp -m state --state NEW --dport 22 -j ssh_gate $IPTABLES -A INPUT -p tcp -m state --state NEW -s $LOC_NET --dport 22 -d $IP_LAN -j ssh_gate #$IPTABLES -A INPUT -p tcp -m state --state NEW -d $IP_INET --dport 22 -j ssh_gate $IPTABLES -A ssh_gate -j ACCEPT # Smtp-Verbindungen vom Gateway nach aussen (und ins LAN) erlauben $IPTABLES -N smtp_gate $IPTABLES -A OUTPUT -p tcp -o $DEV_INET -m state --state NEW --dport 25 -j smtp_gate $IPTABLES -A OUTPUT -p tcp -o $DEV_LAN -m state --state NEW --dport 25 -d $LOC_NET -j smtp_gate $IPTABLES -A smtp_gate -j ACCEPT # Pop3-Verbindungen vom Gateway nach aussen erlauben $IPTABLES -N pop3_gate $IPTABLES -A OUTPUT -p tcp -o $DEV_INET -m state --state NEW --dport 110 -j pop3_gate $IPTABLES -A pop3_gate -j ACCEPT # http - Zugriffe von außen erlauben $IPTABLES -N http_gate $IPTABLES -A INPUT -p tcp -m state --state NEW -d $IP_INET --dport 80 -j http_gate $IPTABLES -A http_gate -j ACCEPT # https - Zugriffe von außen erlauben $IPTABLES -N https_gate $IPTABLES -A INPUT -p tcp -m state --state NEW -d $IP_INET --dport 443 -j https_gate $IPTABLES -A https_gate -j ACCEPT # E-Donkey-Regeln #$IPTABLES -A PREROUTING -t nat -d $DEV_INET -p tcp --dport 4661 -j DNAT --to-destination 192.168.0.1:4661 #$IPTABLES -A PREROUTING -t nat -d $DEV_INET -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.1:4662 #$IPTABLES -A PREROUTING -t nat -d $DEV_INET -p tcp --dport 4663 -j DNAT --to-destination 192.168.0.1:4663 #$IPTABLES -A PREROUTING -t nat -d $DEV_INET -p udp --sport 4665 -j DNAT --to-destination 192.168.0.1:4665 # # # Freischalten, was auf den *Clients* benötigt wird # # # Bereits bestehende Verbindungen werden immer akzeptiert: das spart # das expizite freischalten der INPUT-Pakete bei erlaubten Verbindungen # ein $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # NAT/Masquerading ist notwendig $IPTABLES -t nat -A POSTROUTING -o $DEV_INET -s $LOC_NET -j SNAT \ --to-source $IP_INET # Das bekannte MTU/MSS-Spielchen bei ADSL und PPPoE $IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS \ --clamp-mss-to-pmtu # E-Donkey-Regeln $IPTABLES -A PREROUTING -t nat -d $DEV_INET -p tcp --dport 4661 -j DNAT --to-destination 192.168.0.1:4661 $IPTABLES -A PREROUTING -t nat -d $DEV_INET -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.1:4662 $IPTABLES -A PREROUTING -t nat -d $DEV_INET -p tcp --dport 4663 -j DNAT --to-destination 192.168.0.1:4663 $IPTABLES -A PREROUTING -t nat -d $DEV_INET -p udp --sport 4665 -j DNAT --to-destination 192.168.0.1:4665 # Einige Dienste, die man 100%ig nicht nach draussen lassen will, besonders # wichtig bei Windowskisten, die sonst so ziemlich alles nach aussen pusten, # was nur irgendwie gefährlich ist. "It's not a bug, itÄs a feature" - ja ja. # Für weitere Details zu den Ports: siehe /etc/services $IPTABLES -A INPUT -p tcp -m multiport --sport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A INPUT -p udp -m multiport --sport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A INPUT -p tcp -m multiport --dport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A INPUT -p udp -m multiport --dport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A FORWARD -p tcp -m multiport --sport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A FORWARD -p udp -m multiport --sport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A FORWARD -p tcp -m multiport --dport 135,138,67,68,69,111,161,1433 -j REJECT $IPTABLES -A FORWARD -p udp -m multiport --dport 135,138,67,68,69,111,161,1433 -j REJECT # E-Donkey-Regeln #$IPTABLES -A PREROUTING -t nat -s $ANY -p tcp --dport 4661 -j DNAT --to-destination 192.168.0.1:4661 #$IPTABLES -A PREROUTING -t nat -s $ANY -p tcp --dport 4662 -j DNAT --to-destination 192.168.0.1:4662 #$IPTABLES -A PREROUTING -t nat -s $ANY -p tcp --dport 4663 -j DNAT --to-destination 192.168.0.1:4663 #$IPTABLES -A PREROUTING -t nat -s $ANY -p udp --sport 4665 -j DNAT --to-destination 192.168.0.1:4665 # Für's lokale LAN alles weitere erlauben. Sicherer ist es, wie oben beim # Gateway jeden einzelnen Dienst freizuschalten. Das ist aber sehr # zeitaufwendig und da die Rechner nicht direkt von aussen erreichbar sind, # auch nicht wirklich notwendig $IPTABLES -N locnet_out $IPTABLES -A INPUT -s $LOC_NET -i $DEV_LAN -m state --state NEW -j locnet_out $IPTABLES -A FORWARD -s $LOC_NET -i $DEV_LAN -o $DEV_INET \ -m state --state NEW -j locnet_out $IPTABLES -A locnet_out -j ACCEPT # # # Abschluss-Regeln # # # Alles Loggen, was bis jetzt durchgegangen ist. Sollte man sich genauer # anschauen, wenn das im Log auftaucht $IPTABLES -A INPUT -m limit -j LOG --log-prefix "FINAL IN " $IPTABLES -A OUTPUT -m limit -j LOG --log-prefix "FINAL OUT " $IPTABLES -A FORWARD -m limit -j LOG --log-prefix "FINAL FOR " # Und dann alles abblocken, was bis hierin durchgegangen ist $IPTABLES -A INPUT -j REJECT $IPTABLES -A OUTPUT -j REJECT $IPTABLES -A FORWARD -j REJECT # Forwarding im Kernel nun wieder aktivieren echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp echo "Start ip-up.local fertig !!!! (Hat wohl geklappt)" > /var/log/messages # IP-Spoofing aktivieren - Sollte unter SuSE leichter in /etc/rc.config # gesetzt werden, ansonsten hier aktivieren #for f in /proc/sys/net/ipv4/conf/*/rp_filter; do # echo 1 > $f #done ---------------------------------------------------------------------------- -------- mfg Bjoern
Hi Björn, Björn Wiegner schrieb:
Huch ... :)
Also hier das Skript.
------------------------------------------------------------------ ----------- ------------- #!/Bin/bash # # /etc/ppp/ip-up.local #
#### # # Eintrag in Logfile um zu ueberpruefen ob der Skript abgearbeitet wird. # ####
echo "Start ip-up.local" > /var/log/messages ^^^
Hier würde ich ein echo "Start ip-up.local" >> /var/log/messages empfehlen, sonst wird die Logdatei nicht alt ;-) Gruß Martin
Hi Martin,
thx... werde ich mal machen, deswegen hab ich so viel von denen *fg*
----- Original Message -----
From: "Martin Knipper"
Hi Björn,
Björn Wiegner schrieb:
Huch ... :)
Also hier das Skript.
------------------------------------------------------------------ ----------- ------------- #!/Bin/bash # # /etc/ppp/ip-up.local #
#### # # Eintrag in Logfile um zu ueberpruefen ob der Skript abgearbeitet wird. # ####
echo "Start ip-up.local" > /var/log/messages ^^^
Hier würde ich ein
echo "Start ip-up.local" >> /var/log/messages
empfehlen, sonst wird die Logdatei nicht alt ;-)
Gruß Martin
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hi Björn, Björn Wiegner schrieb:
Hi Martin, thx... werde ich mal machen, deswegen hab ich so viel von denen *fg*
Hmmm, ... ich verstehe jetzt nicht genau was Du meinst. Meinst du viele im Sinne von messages-xxxxxxxxxxxx.gz ?? Das sind Backups vom Cronjob, der Dich im Regelfall nachts um 0:15 heimsucht. Das '>' Zeichen lenkt die Ausgabe um. In Deinem Fall wird die Datei messages durch das echo 'bla' überschrieben. Ein '>>' hängt die Ausgabe an das Ende der Datei an. Vielleicht haben wir uns auch nur falsch verstanden. Gruß Martin
*** Martin Knipper (suse@mk-os.de) schrieb in suse-linux heute:
[...] echo "Start ip-up.local" >> /var/log/messages
empfehlen, sonst wird die Logdatei nicht alt ;-)
Zwar schon besser aber ich frage mich bei solchen Sachen immer, warum bloß einige Leute so dumm waren, das syslog-System zu entwickeln und *warum* so das nur getan haben... Hint: "man logger" MfG Henning Hucke -- Sagt in Hiroshima vor der Atombombenexplosion die eine Fliege zur anderen: "Ich habe vorgestern noch den amerikanischen Praesidenten geaergert und er wollte mich auf jeden Fall persoenlich und mit den eigenen Haenden toeten. Die Drohung mit der Atombombe ist also belanglos, solange ich bei euch bin!". Fuer Begriffsstutzige: "Nimm Dich nicht zu wichtig!" (c) H. Hucke
Hi Björn, Björn Wiegner schrieb:
Huch ... :)
Also hier das Skript.
----------- ------------- #!/Bin/bash
die Zeile würde ich so schreiben: #!/bin/bash Gruß, Roman -- Hier geht es um die Frage aller Fragen - "was ist ein Computer?" "Computer - a device that computes..." (aus dem Wörterbuch der Lotus Smartsuite)
Hey, super, das wars. Aber warum zum Teufel schreibt da Yast so n Muell rein ? Naja, auf jeden fall klappt es wieder. Danke Roman, und natuerlich auch allen anderen. mfg Bjoern
Hi Björn,
Björn Wiegner schrieb:
Huch ... :)
Also hier das Skript.
----------- ------------- #!/Bin/bash
die Zeile würde ich so schreiben:
#!/bin/bash
Gruß, Roman
-- Hier geht es um die Frage aller Fragen - "was ist ein Computer?" "Computer - a device that computes..." (aus dem Wörterbuch der Lotus Smartsuite)
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, Am Dienstag, 17. September 2002 10:31 schrieb Björn Wiegner:
Hey, super, das wars. Aber warum zum Teufel schreibt da Yast so n Muell rein ?
An der Geschichte war sicher nicht nur YaST sondern auch eine Person beteiligt. Ich setze Geld auf die Wette, dass der Fehler durch die Person eingebracht wurde. (du wolltest doch sagen, dass das "/Bin/bash" durch YaST erzeugt wurde wurde, oder?). Schöne Grüße aus Bremen hartmut
* Björn Wiegner schrieb am 17.Sep.2002:
Also hier das Skript.
---------------------------------------------------------------------------- ------------- #!/Bin/bash
Das war es schon. Dein Skript kann nicht laufen, weil es zum interpretieren /Bin/bash ausführen will, aber das gibt es nicht. Was es gibt ist /bin/bash, aber das ist was ganz anderes. Linux ist case sensitiv. Bin und bin haben nichts miteinander zu tun. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
*** Björn Wiegner (bwiegner@t-online.de) schrieb in suse-linux heute: Mal ein wenig Manöver-Kritik...
[...] #### # # Eintrag in Logfile um zu ueberpruefen ob der Skript abgearbeitet wird. # ####
echo "Start ip-up.local" > /var/log/messages
Für sowas sollte man Dich eigentlich Rädern, Vierteilen und Ertänken ohne Dich sterben zu lassen und danach die Tropfenfolter anwenden, bis Du wahnsinnig wirst; auch wenn es nur für Dich zuhause ist und Du kein Admin sein solltest. Da kommt sowas wie logger -t ip-up.local -p daemon.notice "Start ip-up.local" hin!
[...] # Benoetigte Module laden modprobe ip_tables &> /dev/null modprobe ip_conntrack &> /dev/null modprobe ip_conntrack_ftp &> /dev/null modprobe ipt_state &> /dev/null modprobe iptable_nat &> /dev/null modprobe ipt_REJECT &> /dev/null modprobe ipt_MASQUERADE &> /dev/null
Die meisten dieser Module würde iptables automatisch selber laden. Ansonsten würde ich raten, die Module in einem boot oder runlevel script zu laden, damit man sich die Zeit für die Aufrufe von modprobe spart.
# Alle alten Regeln löschen, anschließend die Default-Policy setzen $IPTABLES -F $IPTABLES -X $IPTABLES -F -t filter $IPTABLES -F -t nat $IPTABLES -F -t mangle $IPTABLES -t filter -X $IPTABLES -t nat -X $IPTABLES -t mangle -X
Es macht keinen Sinn, hier die ganze Regelkette neu aufzubauen! Das dauert unnötig lange und löscht alles, was eventuell auch für andere Interfaces schon aufgesetz war. Es macht IMHO mehr Sinn, das meiste von dem hier zu lesenden in ein runlevel script zu packen und dort auf eine - zunächst vieleicht einfach nur leere oder nur ein ACCEPT oder REJECT enthaltende chain zu verweisen, die dann in ip-up.local geeignet gefüllt wird. Das dürften dann aber bei weitem nicht so viele Regeln sein, wie in diesem Beispiel. Mir ist nicht ganz klar, warum das alles in ip-up.local passiert. Ohne die Regeln in gänze analysiert zu haben, sehe ich vieles, was mit einem "-[io] <inet-device>" statt eines "-s $IP_INET" erschlagen werden könnte. In diesem Fall könnte es in ein runlevel script geschrieben werden. Statt SNAT sollte man MASQUERADE verwenden. Das hat in diesem Fall den selben Effekt, spart einem aber, jedesmal beim Wechsel der IP eine Regel schreiben und löschen zu müssen.
[...] echo "Start ip-up.local fertig !!!! (Hat wohl geklappt)" > /var/log/messages
S.o.
MfG Henning Hucke
--
"... die Aussage 'C-Programme sind portabel' ist lächerlich und nicht
haltbar, ..."
Jan Ritzerfeld in
Hallo Henning,
sicherlich ist es nicht die feine art, und auch nicht die Performanteste,
wie ich das Skript gebastelt habe,
aber 1. es laeuft erstmal, und zweitens ist es das erste. Ich habe mir nur
eine Ausgangsbasis geschaffen, und werde
es nach und nach optimieren. (Jeder hat mal angefangen)
Warum im ip-up.local ? Na was soll ich mit den Regeln, wenn ich gar keine
Verbindung zum Internet habe.
Performance = ok das habe ich verstanden.
Ich stehe halt noch am Anfang, und muss mir alles selbst erarbeiten, leider
hat in meinem Umfeld keiner ne Linux
Kiste. Daher bleibt immer nur das lesen, und das stoebern im Internet. Werde
wohl mal schauen, und auch mal
unsere LUG besuchen gehen.
mfg Bjoern
----- Original Message -----
From: "Henning Hucke"
*** Björn Wiegner (bwiegner@t-online.de) schrieb in suse-linux heute:
Mal ein wenig Manöver-Kritik...
[...] #### # # Eintrag in Logfile um zu ueberpruefen ob der Skript abgearbeitet wird. # ####
echo "Start ip-up.local" > /var/log/messages
Für sowas sollte man Dich eigentlich Rädern, Vierteilen und Ertänken ohne Dich sterben zu lassen und danach die Tropfenfolter anwenden, bis Du wahnsinnig wirst; auch wenn es nur für Dich zuhause ist und Du kein Admin sein solltest.
Da kommt sowas wie
logger -t ip-up.local -p daemon.notice "Start ip-up.local"
hin!
[...] # Benoetigte Module laden modprobe ip_tables &> /dev/null modprobe ip_conntrack &> /dev/null modprobe ip_conntrack_ftp &> /dev/null modprobe ipt_state &> /dev/null modprobe iptable_nat &> /dev/null modprobe ipt_REJECT &> /dev/null modprobe ipt_MASQUERADE &> /dev/null
Die meisten dieser Module würde iptables automatisch selber laden. Ansonsten würde ich raten, die Module in einem boot oder runlevel script zu laden, damit man sich die Zeit für die Aufrufe von modprobe spart.
# Alle alten Regeln löschen, anschließend die Default-Policy setzen $IPTABLES -F $IPTABLES -X $IPTABLES -F -t filter $IPTABLES -F -t nat $IPTABLES -F -t mangle $IPTABLES -t filter -X $IPTABLES -t nat -X $IPTABLES -t mangle -X
Es macht keinen Sinn, hier die ganze Regelkette neu aufzubauen! Das dauert unnötig lange und löscht alles, was eventuell auch für andere Interfaces schon aufgesetz war.
Es macht IMHO mehr Sinn, das meiste von dem hier zu lesenden in ein runlevel script zu packen und dort auf eine - zunächst vieleicht einfach nur leere oder nur ein ACCEPT oder REJECT enthaltende chain zu verweisen, die dann in ip-up.local geeignet gefüllt wird. Das dürften dann aber bei weitem nicht so viele Regeln sein, wie in diesem Beispiel.
Mir ist nicht ganz klar, warum das alles in ip-up.local passiert. Ohne die Regeln in gänze analysiert zu haben, sehe ich vieles, was mit einem "-[io] <inet-device>" statt eines "-s $IP_INET" erschlagen werden könnte. In diesem Fall könnte es in ein runlevel script geschrieben werden.
Statt SNAT sollte man MASQUERADE verwenden. Das hat in diesem Fall den selben Effekt, spart einem aber, jedesmal beim Wechsel der IP eine Regel schreiben und löschen zu müssen.
[...] echo "Start ip-up.local fertig !!!! (Hat wohl geklappt)" > /var/log/messages
S.o.
MfG Henning Hucke -- "... die Aussage 'C-Programme sind portabel' ist lächerlich und nicht haltbar, ..." Jan Ritzerfeld in
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
On 16 Sep 2002 at 20:31, Bernd Brodesser wrote:
* Henning Hucke schrieb am 16.Sep.2002:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux heute:
[...] Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet.
--- schnipp (SuSE 8.0, Aus "/etc/ppp/ip-up" Zeile 115 ff) # call ip-up.local if it exists and is executable: if test -x /etc/ppp/ip-up.local ; then /etc/ppp/ip-up.local "$@" | logger -p security.notice -t ip-up.local > /dev/null & fi --- schnapp
Ja, schön. Und was willst Du damit sagen?
Moin, Henning wollte uns damit IMHO in seiner üblichen (leicht bis heftig) arrogant wirkendenden Art mitteilen, das WENN ip-up.local aufgerufen wird, DANN muesste es Einträge im log über den logger Aufruf geben. Aber darüber musste ich auch ein paar Sekunden nachdenken und halte mich eigentlich nicht für einen Anfänger. Andreas
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux am Sep...:
* Henning Hucke schrieb am 16.Sep.2002:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux heute:
[...] Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet.
--- schnipp (SuSE 8.0, Aus "/etc/ppp/ip-up" Zeile 115 ff) # call ip-up.local if it exists and is executable: if test -x /etc/ppp/ip-up.local ; then /etc/ppp/ip-up.local "$@" | logger -p security.notice -t ip-up.local > /dev/null & fi --- schnapp
Ja, schön. Und was willst Du damit sagen?
Gib mal Deine Nase her!
* Henning Hucke schrieb am 17.Sep.2002:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux am Sep...:
* Henning Hucke schrieb am 16.Sep.2002:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux heute:
[...] Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet.
--- schnipp (SuSE 8.0, Aus "/etc/ppp/ip-up" Zeile 115 ff)
Ok, hier steht es. Habe ich wohl übersehen. Ich habe SuSE 7.2 und da sieht es leicht anders aus.
# call ip-up.local if it exists and is executable: if test -x /etc/ppp/ip-up.local ; then /etc/ppp/ip-up.local "$@" | logger -p security.notice -t ip-up.local > /dev/null & fi --- schnapp
Ja, schön. Und was willst Du damit sagen?
Gib mal Deine Nase her!
Warum soll er das echo umleiten, wenn stdin eh in den logger geschrieben wird!?
Würde trotzdem alles Umleiten, habe ein "hallo hier ist ip-up.local" nicht unbedingt gerne im Logfile stehen. Bernd -- ACK = ACKnowledge = Zustimmung | NAC = No ACknowledge = keine Zustimmung DAU = Dümmster Anzunehmender User | LOL = Laughing Out Loud = Lautes Lachen IIRC = If I Remember Correctly = Falls ich mich richtig erinnere OT = Off Topic = Am Thema (der Liste) vorbei |Zufallssignatur 11
On 17 Sep 2002 at 9:54, Henning Hucke wrote:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux am Sep...:
* Henning Hucke schrieb am 16.Sep.2002:
*** Bernd Brodesser (B.Brodesser@t-online.de) schrieb in suse-linux heute:
[...] Hast Du die echos umgelenkt? Wenn nicht, dann ist es klar, ip-up ist keinem Bildschirm zugeordnet.
--- schnipp (SuSE 8.0, Aus "/etc/ppp/ip-up" Zeile 115 ff) # call ip-up.local if it exists and is executable: if test -x /etc/ppp/ip-up.local ; then /etc/ppp/ip-up.local "$@" | logger -p security.notice -t ip-up.local > /dev/null & fi --- schnapp
Ja, schön. Und was willst Du damit sagen?
Gib mal Deine Nase her!
Warum soll er das echo umleiten, wenn stdin eh in den logger geschrieben wird!?
Naja, da würde ich jetzt gerne Deine Nase zum Rumschubsen haben ;-) Nicht stdin, sondern stdout des ip-up.local wird umgeleitet, und zwar per Pipe auf stdin des logger. So viel Zeit muss sein. Jan
participants (9)
-
Andreas Kyek -
B.Brodesser@t-online.de -
bwiegner@t-online.de -
Hartmut Meyer -
Henning Hucke -
Jan.Trippler@t-online.de -
Martin Knipper -
Roman Langolf -
Thomas Templin