On Thu, Oct 07, 1999 at 23:17 +0200, Juergen Braukmann wrote:
Gerhard Sittig wrote:
Aber man kann ja in ip-down ALLES zur gerade verfallenen IP blockieren und im ip-up die eben erhaltene IP freischalten (egal ob vorher gehabt oder nicht).
Stimmt. Diese Runde gehr an Gerhard. ;-)) Also die IP irgendwo sichern (vorher, ip-down)
Macht das den Eindruck, dass hier Leute wetteifern oder gar boxen? Das waere traurig und ungewollt. Aber Du laechelst, also ist es gut ... Die alte IP brauche ich doch ueberhaupt nicht mehr. Ich mache einfach den Verkehr zur verfallenen IP dicht und lege schon einen Befehl auf Halde, diese Regel wieder zu entfernen, wenn die Socke sicher zu ist. Das beschraenkt dann die Anzahl derartiger Regeln, die gerade aktiv sind und verwaltet werden muessen. Im ip-up kann ich die neue IP unbesehen freischalten (die Blockade loeschen): war kein Sperrbefehl da, macht's nix; hatte ich diese IP schon und gesperrt, kann ich sie wieder benutzen. Der Vorschlag von Axel ist freilich besser: Im ip-up wird der zur gerade erhaltenen IP freigegeben und alles andere sinnvollerweise die ganze Zeit ueber blockiert. Im ip-down wird die "Erlaubnis" fuer diese IP wieder entzogen. Dann gibt es zu jeder Zeit nicht mehr als zwei Regeln: eine blockiert allen Verkehr und eine erlaubt evtl fuer die Online-Zeit den Traffic mit der aktuellen IP. Man muss nur aufpassen, dass die Erlaubnis VOR der Blockade greift.
Du kannst Dir sicher fuser und kill ansehen, falls Du ernsthaftes Interesse hast :> "fuser -n tcp $PORT" gibt Dir eine PID, IIRC kann fuser wohl auch gleich Signale versenden.
Du meinst, wenn ein socket offen ist gibt es irgendwo noch einen prozess der nur darauf wartet mit kill -9 gemeuchelt zu werden??? Und danach ist Ruhe?? Das kann man doch im ip-down "erledigen" (doppeldeutig!)
Warum denken die Leuts bei kill immer an grausames Meucheln? kill(2) ist ein Mechanismus zum Zustellen von Signalen, die in der betroffenen Applikation registriert und behandelt werden koennen. kill(1) bzw die internen Shell-Befehle sind Wrapper um den Systemruf. Das schien mir wieder mal wichtig zu erwaehnen. Also wuerde ich vor der -9 erstmal HUP oder sowas schicken. Ich bin mir aber nicht hundertprozentig sicher, dass nicht mehr existente Apps (die evtl einen Socket unsauber hinterlassen) eine Garantie fuer Ruhe sind. Man hoert da ab und an von Quengeleien auf dem http-Port, obwohl Netscape schon zu ist (und das sogar sauber). virtually yours - Gerhard Sittig -- If you don't understand or are scared by any of the above ask your parents or an adult to help you.