Hallo alle zusammen, erst einmal ein frohes Fest allen zusammen! Nun habe ich die Ruhe und Muße mich endlich mit iptables zu beschäftigen. ;-) Gestern hatte ich es endlich geschafft meinen Zweitrechner per NAT ins Internet zu bringen. Heute musste ich nach einem reboot erstaunt feststellen, daß die iptabels-Einstellungen komplett weg sind. Speichert iptables die Einstellungen nicht dauerhaft? Was muss man denn machen, um alle Einstellungen zu speichern? Danke für eure Hilfe! Gruß Dejan
Hallo, at Tue, 25 Dec 2001 12:26:21 +0100 Dejan Milosavljevic wrote:
Speichert iptables die Einstellungen nicht dauerhaft? Was muss man denn machen, um alle Einstellungen zu speichern?
IPTABLES wird eigentlich mit einem Startscript, wo die Rules definiert werden, aufgerufen. Geh mal einwenig Googlen, da findest Du IPTABLES Rules ohne ende. Gruß Michael -- Phone/Fax +49 7000 MACBYTE Registered Linux User #228306 HomePage http://www.macbyte.info/ http://counter.li.org/ GNU PGP-Key http://www.macbyte.info/shared/macbyte.asc ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
Hallo Michael, alles klaro! Danke für den Tip. Habe jetzt ein start-script erstellt und dieses iptables-start genannt. Dieses habe ich unter /etc/init.d abgelegt und symbolisch nach rc3.d und rc5.d gelinkt. Der Linkname ist S99start-iptables. Das Seltsame ist: Das Skript wird nach dem Booten (SuSE-Linux 7.3) nicht ausgeführt. Durch ein manuelles Aufrufen lässt sich das Script sehr wohl aufrufen und die iptables-Regeln werden brav realisiert (nat für ppp0). Gibt es irgendwie einen Fall, wo die rcx.d-Skripte nicht ausgeführt werden? Ist da was bekannt? Gruß Dejan Michael Raab schrieb:
Hallo,
at Tue, 25 Dec 2001 12:26:21 +0100 Dejan Milosavljevic wrote:
Speichert iptables die Einstellungen nicht dauerhaft? Was muss man denn machen, um alle Einstellungen zu speichern?
IPTABLES wird eigentlich mit einem Startscript, wo die Rules definiert werden, aufgerufen. Geh mal einwenig Googlen, da findest Du IPTABLES Rules ohne ende.
Gruß Michael
-- Phone/Fax +49 7000 MACBYTE Registered Linux User #228306 HomePage http://www.macbyte.info/ http://counter.li.org/ GNU PGP-Key http://www.macbyte.info/shared/macbyte.asc ++ CGI-Hosting ++ Domains ++ Webspace ++ PHP Development ++
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, * Am 25.12.2001 zauberte Dejan Milosavljevic:
Hallo Michael,
alles klaro! Danke für den Tip.
Habe jetzt ein start-script erstellt und dieses iptables-start genannt. Dieses habe ich unter /etc/init.d abgelegt und symbolisch nach rc3.d und rc5.d gelinkt. Der Linkname ist S99start-iptables. Das Seltsame ist: Das Skript wird nach dem Booten (SuSE-Linux 7.3) nicht ausgeführt. Durch ein manuelles Aufrufen lässt sich das Script sehr wohl aufrufen und die iptables-Regeln werden brav realisiert (nat für ppp0).
Gibt es irgendwie einen Fall, wo die rcx.d-Skripte nicht ausgeführt werden? Ist da was bekannt?
Mach bitte keine TOFU mehr. Siehe http://www.learn.to/quote http://www.suse-etikette.de.vu/etikette.txt Du solltest Dir /etc/rc.d/skeleton auf /etc/init.d/start-iptables kopieren und dann /etc/init.d/start-iptables editieren. --------------------8<-------------- case "$1" in start) [....] stop) [....] try-restart) [....] *) echo "Usage: $0 {start|stop|status|try-restart|restart|force-reload|reload|probe}" exit 1 ;; esac rc_exit --------------------8<-------------- Dieser Teil der Struktur ist sehr wichtig, da die Skripte ja auch mit z.B. "rcfoo start" gestartet werden. Gestoppt werden sie dann mit "rcfoo stop" usw. Hat Dein Skript außerdem die richtigen Permissions? Wenn es nicht gerade lang ist, dann solltest Du es mal posten. Wenns mehr ist, dann lieber per PM oder irgendwo ins Netz stellen und URL posten. -- Gruß Alex -- Siolvhe Fälle nennen wir dann patienten. Unsere Pfleger waren oder sind immer noch solche Fälle, was sie automatisch zu Patieneten macht. Also bist du Patient , bist du Pfleger und Umgekehrt. [WoKo in dag°]
Hallo Alex, danke für den Tip. Mein Skript besteht nur aus vier Zeilen, insofern denke ich kann man das schon hier posten. Es heisst iptables-start, liegt unter /etc/init.d und hat die permissions a la chmod 755. Verlinkt habe ich es nach /etc/init.d/rc3.d und /etc/init.d/rc5.d mit dem Linknamen S99iptable-start. #! /bin/sh echo "starte ip-tables" /usr/sbin/iptables -F; iptables -t nat -F; iptables -t mangle -F /usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "iptables gestartet" > /root/iptables-gestartet.txt Die letzte Zeile habe ich angehängt, um zu kontrollieren, ob das Skript gestartet wurde. Und siehe da: Es wurde gestartet, denn die Kontrolldatei wurde in der Tat angelegt. Das Problem liegt also darin, daß die iptables-Kommandos nicht wirkungsvoll ausgeführt werden. Die zwei Zeilen, die iptables aufrufen, sollen lediglich Masquerading für das device ppp0 einrichten. Ob das ganze erfolgreich ausgeführt wurde, kontrolliere ich mit iptables -t nat -L. Da sehe ich, daß Masquerading aktiv ist. Und wie gesagt: Bei Bootvorgang wird das Skript aufgerufen, aber kein Masquerading eingerichtet. Rufe ich es manuell auf, so klappt das dann ganz gut. Mein Verdacht war, daß dies daran liegt, daß das device ppp0 bei Skriptaufruf noch gar nicht existiert und dies Probleme verursacht, also habe ich das Skript auch mal in der letzten Zeile von /etc/ppp/ip-up eingetragen, aber auch das hat nichts gebracht. Nun weiss ich nicht mehr in welche Richtung ich "forschen" soll. Hat irgendjemand noch eine Idee? Hilfe! Gruß Dejan P.S.: Was heisst TOFU nochmal? Alex Klein schrieb:
Hallo,
* Am 25.12.2001 zauberte Dejan Milosavljevic:
Hallo Michael,
alles klaro! Danke für den Tip.
Habe jetzt ein start-script erstellt und dieses iptables-start genannt. Dieses habe ich unter /etc/init.d abgelegt und symbolisch nach rc3.d und rc5.d gelinkt. Der Linkname ist S99start-iptables. Das Seltsame ist: Das Skript wird nach dem Booten (SuSE-Linux 7.3) nicht ausgeführt. Durch ein manuelles Aufrufen lässt sich das Script sehr wohl aufrufen und die iptables-Regeln werden brav realisiert (nat für ppp0).
Gibt es irgendwie einen Fall, wo die rcx.d-Skripte nicht ausgeführt werden? Ist da was bekannt?
Mach bitte keine TOFU mehr.
Siehe http://www.learn.to/quote http://www.suse-etikette.de.vu/etikette.txt
Du solltest Dir /etc/rc.d/skeleton auf /etc/init.d/start-iptables kopieren und dann /etc/init.d/start-iptables editieren.
--------------------8<--------------
case "$1" in start) [....] stop) [....] try-restart) [....] *) echo "Usage: $0 {start|stop|status|try-restart|restart|force-reload|reload|probe}" exit 1 ;; esac rc_exit --------------------8<--------------
Dieser Teil der Struktur ist sehr wichtig, da die Skripte ja auch mit z.B. "rcfoo start" gestartet werden. Gestoppt werden sie dann mit "rcfoo stop" usw.
Hat Dein Skript außerdem die richtigen Permissions?
Wenn es nicht gerade lang ist, dann solltest Du es mal posten. Wenns mehr ist, dann lieber per PM oder irgendwo ins Netz stellen und URL posten.
-- Gruß
Alex
-- Siolvhe Fälle nennen wir dann patienten. Unsere Pfleger waren oder sind immer noch solche Fälle, was sie automatisch zu Patieneten macht. Also bist du Patient , bist du Pfleger und Umgekehrt. [WoKo in dag°]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Dienstag, 25. Dezember 2001 17:20 schrieb Dejan Milosavljevic:
Mein Skript besteht nur aus vier Zeilen, insofern denke ich kann man das schon hier posten. Es heisst iptables-start, liegt unter /etc/init.d und hat die permissions a la chmod 755. Verlinkt habe ich es nach /etc/init.d/rc3.d und /etc/init.d/rc5.d mit dem Linknamen S99iptable-start.
Du wirst mit der Lösung nicht glücklich werden, weil SuSEConfig Dir Deine Links wieder zerschiessen wird! Schau Dir das BasisScript (/etc/init.d/skeleton) an und schau Dir 'man insserv' an.
#! /bin/sh echo "starte ip-tables" /usr/sbin/iptables -F; iptables -t nat -F; iptables -t mangle -F /usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "iptables gestartet" > /root/iptables-gestartet.txt
Ist die iptables Unterstützung fest im Kernel? Ansonsten wird wohl das Laden der entsprechenden Module notwendig sein. Ich weiß jetzt auch nicht, obs was ausmacht, aber von meinem Verständnis her würd ich das 'echo 1 > /proc/sys/net/ipv4/ip_forward' vor die iptables Regeln stellen. Du kannst auch mal auf das von mir verwendete Script werfen, liegt auf meiner Homepage (ist aus Zeitgründen leider immer noch auf ipchains ausgelegt und nutzt die iptables-Möglichkeiten nur unzureichend).
P.S.: Was heisst TOFU nochmal?
Text Oben Fullquoting Unten. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
Manfred Tremmel schrieb:
Am Dienstag, 25. Dezember 2001 17:20 schrieb Dejan Milosavljevic:
Mein Skript besteht nur aus vier Zeilen, insofern denke ich kann man das schon hier posten. Es heisst iptables-start, liegt unter /etc/init.d und hat die permissions a la chmod 755. Verlinkt habe ich es nach /etc/init.d/rc3.d und /etc/init.d/rc5.d mit dem Linknamen S99iptable-start.
Du wirst mit der Lösung nicht glücklich werden, weil SuSEConfig Dir Deine Links wieder zerschiessen wird! Schau Dir das BasisScript (/etc/init.d/skeleton) an und schau Dir 'man insserv' an.
#! /bin/sh echo "starte ip-tables" /usr/sbin/iptables -F; iptables -t nat -F; iptables -t mangle -F /usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "iptables gestartet" > /root/iptables-gestartet.txt
Ist die iptables Unterstützung fest im Kernel? Ansonsten wird wohl das Laden der entsprechenden Module notwendig sein. Ich weiß jetzt auch nicht, obs was ausmacht, aber von meinem Verständnis her würd ich das 'echo 1 > /proc/sys/net/ipv4/ip_forward' vor die iptables Regeln stellen.
Du kannst auch mal auf das von mir verwendete Script werfen, liegt auf meiner Homepage (ist aus Zeitgründen leider immer noch auf ipchains ausgelegt und nutzt die iptables-Möglichkeiten nur unzureichend).
P.S.: Was heisst TOFU nochmal?
Text Oben Fullquoting Unten.
-- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo Manfred, aha! Hört sich interessant an! Aber was soll das heissen, daß SuSE die Links zu den Startscripten zerschießt? Ich habe nicht den Eindruck, daß meine Links weg sind? Werden selbst angelegte Links zu selbst angelegten Startscripten unter SuSE-Linux irgendwie exotisch behandelt???? Schrck lass nach! SuSE wird doch hier nicht irgendeinen proprietären Machanismus etabliert haben???? Wegen insserv: War auch ein interessanter Tip. Habe mir mal das man angeschaut. Wenn ich es richtig verstanden habe, macht die Benutzung von insserv aber nur dann Sinn, wenn man eine vorgefertigte Scriptstruktur benutzt, weil insserv aus den Kommentarzeilen die Scripteigenschaften auslesen möchte. Da ich insserv nicht benutzt habe, sollte hier aber nicht das Problem liegen. Mal zurück zu iptables: Weiss hier jemand, wie sich iptables verhält, wenn man eine Regel für ein Interface definiert, das es nicht gibt? Trägt iptables dann diese Regel trotzdem ein, oder wird die dann einfach weggelassen bzw. ignoriert. Worauf ich hinausmöchte: Ich benutze T-DSL und würde gerne einen vernetzten Zweitrechner per Masquerading über den an das DSL angeschlossenen Rechner auch ins Internet lassen. Der DSL-Rechner geht über das Interface ppp0 ins Internet. Ich würde gerne die iptables-Anweisungen schon beim Booten ausführen lassen. Deswegen auch meine Frage: Was macht denn iptables in solch einem Fall, wenn es zur Zeit der Ausführung des Skriptes noch gar kein ppp0 gibt, da z.B. die Einwahl ins DSL noch nicht stattfand? Werden dann alle Anweisungen verworfen?? Vielleicht ist das ja mein Problem. Denn der manuelle Aufruf des Skriptes, wenn der Rechner schon hochgefahren und eingewählt ist, funktioniert ja. Will sagen: Die statements im Script sollten nicht das Problem sein. Gruß Dejan
hi, On Wed, Dec 26, 2001 at 11:09:09AM +0100, Dejan Milosavljevic wrote:
Mal zurück zu iptables: Weiss hier jemand, wie sich iptables verhält, wenn man eine Regel für ein Interface definiert, das es nicht gibt? Trägt iptables dann diese Regel trotzdem ein, oder wird die dann einfach weggelassen bzw. ignoriert. die regel wird eingetragen. das ist das positive bei devices.
ciao sascha -- Sascha Andres linux@programmers-world.com http://www.programmers-world.com
Am Mittwoch, 26. Dezember 2001 11:09 schrieb Dejan Milosavljevic:
aha! Hört sich interessant an! Aber was soll das heissen, daß SuSE die Links zu den Startscripten zerschießt? Ich habe nicht den Eindruck, daß meine Links weg sind?
Die Links verschwinden auch nicht, da allerdings keine Abhängigkeiten vorgegeben sind und damit gefunden werden können, wird der Link geändert, so dass das Script ganz zu anfang aufgerufen wird.
Werden selbst angelegte Links zu selbst angelegten Startscripten unter SuSE-Linux irgendwie exotisch behandelt???? Schrck lass nach! SuSE wird doch hier nicht irgendeinen proprietären Machanismus etabliert haben????
Ganz im Gegenteil, das ist im LSB so vorgegeben. Im gegensatz zu vielen anderen Distributoren gibt sich SuSE da wirklich mühe das einzuhalten.
Wegen insserv: War auch ein interessanter Tip. Habe mir mal das man angeschaut. Wenn ich es richtig verstanden habe, macht die Benutzung von insserv aber nur dann Sinn, wenn man eine vorgefertigte Scriptstruktur benutzt, weil insserv aus den Kommentarzeilen die Scripteigenschaften auslesen möchte. Da ich insserv nicht benutzt habe, sollte hier aber nicht das Problem liegen.
SuSE nutzt es, hatte nach Umstieg auf 7.1 damals auch erstmal heftige Probleme. Wenn Du sicherstellen kannst, das SuSEConfig es dir nicht ändert, funktionierts auch so, ich würd Dir aber trotzdem raten, setz die nötigen Kommentare rein, dann bist Du auf der sicheren Seite.
Mal zurück zu iptables: Weiss hier jemand, wie sich iptables verhält, wenn man eine Regel für ein Interface definiert, das es nicht gibt? Trägt iptables dann diese Regel trotzdem ein, oder wird die dann einfach weggelassen bzw. ignoriert.
Keine Ahnung.
Worauf ich hinausmöchte: Ich benutze T-DSL und würde gerne einen vernetzten Zweitrechner per Masquerading über den an das DSL angeschlossenen Rechner auch ins Internet lassen. Der DSL-Rechner geht über das Interface ppp0 ins Internet. Ich würde gerne die iptables-Anweisungen schon beim Booten ausführen lassen. Deswegen auch meine Frage: Was macht denn iptables in solch einem Fall, wenn es zur Zeit der Ausführung des Skriptes noch gar kein ppp0 gibt, da z.B. die Einwahl ins DSL noch nicht stattfand? Werden dann alle Anweisungen verworfen?? Vielleicht ist
Existiert ppp0 nicht sobald das DSL-Startscript beim hochfahren gelaufen ist? Ich kanns nicht prüfen, DSL gibts hier erst ab KW 17 in 2002 (wenn man den Angaben der T-Ologen glauben kann). -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ | http://www.knightsoft.de Manfred | http://www.knightsoft-net.de
Hallo, * Am 26.12.2001 zauberte Dejan Milosavljevic:
Hallo Alex,
danke für den Tip.
[...] Ob das ganze erfolgreich ausgeführt wurde, kontrolliere ich mit iptables -t nat -L. Da sehe ich, daß Masquerading aktiv ist.
Aha. Du kontrollierst das ganze. Dann zeig uns doch auch bitte mal, was "iptables -L -v -n" bringt und was "iptables -L -v -n -t nat" auswirft. Bei mir sieht das in etwa so aus: ---------------------------8<---------------------- # iptables -L -v -n -t nat Chain PREROUTING (policy ACCEPT 41446 packets, 3891514 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 4162 packets, 827651 bytes) pkts bytes target prot opt in out source destination 23348 1525K MASQUERADE all -- * ippp0 0.0.0.0/0 0.0.0.0/0 179 11123 MASQUERADE all -- * ippp1 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 20732 packets, 1974317 bytes) pkts bytes target prot opt in out source destination ---------------------------8<---------------------- PS: Footer werden grundsätzlich nicht mitgequotet. Sigs auch nicht. -- Gruß Alex -- What does a Man with a small Brain do? He seek to learn 'some new Words.Than he takes a Big smile because he Think he where now Intelligent. And someone write on His Back : "Kick Me!" [WoKo in dag°]
Alex Klein schrieb:
Hallo,
* Am 26.12.2001 zauberte Dejan Milosavljevic:
Hallo Alex,
danke für den Tip.
[...] Ob das ganze erfolgreich ausgeführt wurde, kontrolliere ich mit iptables -t nat -L. Da sehe ich, daß Masquerading aktiv ist.
Aha. Du kontrollierst das ganze. Dann zeig uns doch auch bitte mal, was "iptables -L -v -n" bringt und was "iptables -L -v -n -t nat" auswirft.
Bei mir sieht das in etwa so aus:
---------------------------8<---------------------- # iptables -L -v -n -t nat Chain PREROUTING (policy ACCEPT 41446 packets, 3891514 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 4162 packets, 827651 bytes) pkts bytes target prot opt in out source destination 23348 1525K MASQUERADE all -- * ippp0 0.0.0.0/0 0.0.0.0/0 179 11123 MASQUERADE all -- * ippp1 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 20732 packets, 1974317 bytes) pkts bytes target prot opt in out source destination ---------------------------8<----------------------
PS: Footer werden grundsätzlich nicht mitgequotet. Sigs auch nicht.
Hallo Alex, mitlerweile gehts! Ich habe nun mein Startskrip gelöscht und komplett neu erstellt. Ausschlaggebend war hier die Webpage von Hendrik Sattler, der dor auch ein paar fertige Startscripte zum download anbietet. Warum es bei mir anfangs nicht klappte, kann ich nun auch nicht mehr nachvollziehen. Der Teufel lag wohl mal wieder im Detail. Dadurch, daß ich nun meine ganze iptables-Umgebung neu aufgesetzt habe und zudem nochmals auf den 2.4.17er Kernel upgedated habe, muss ich irgendwo by the way den Fehler ausgeräumt haben. Hendrik Sattler war so nett mir ein "Kochrezept" zu schicken, welches ich euch auch nicht vorenthalten möchte. Mir hats geholfen. Soweit mal danke für alle Tips! Ich habe einiges dazugelernt. Gruß Dejan Nachfolgend die Mail von Hendrik, die mir weitergeholfen hatte: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am Dienstag, 25. Dezember 2001 19:36 schrieben Sie:
Hallo Hendrik,
bin gerade über deine Startscripte für iptables gestolpert.
Sag mal, wohin hast Du denn dein Startskript kopiert (nehme an nach /etc/init.d) und wie hast Du es nach rc5.d und rc3.d verlinkt bzw. wie hast Du die Links genannt (ich habs mit S99start-iptables probiert, geht aber nicht)?
Folgende Schritte sind notwendig: unzippen nach /etc/init.d/masquerade kopieren chmod +x /etc/init.d/masquerade Linken (Start und Stop): ln -s /etc/init.d/masquerade <Linkdatei> <Linkdatei> sollten sein: /etc/rc2.d/S**masquerade /etc/rc3.d/S**masquerade /etc/rc0.d/K**masquerade /etc/rc6.d/K**masquerade mit S** _nach_ ISDN, Network,ADSL und Routing (z.B. S99) und K** _vor_ obigen (z.B K00). "masquerade" kann auch anders heißen, könnte aber verwirren. Wenn man es anders nennt, sollte man auch die Datei in /etc/init.d umbenennen.
Habe Suse 7.3 und es klappt irgendwie nicht das Script effektiv beim Bootvorgang aufzurufen. Nachdem der Rechner fertig gebootet hat, funktioniert ein manueller Aufruf ohne Stress.
Um es SuSE-ähnlicher zu machen kann ich ja auch sowas wie . /etc/rc.config test "$START_MASQ" = "yes" || exit 0; einfügen und in die rc.config die entsprechende Zeile reinschreiben. Geht aber auch ohne. Vielleicht dann nocht die typischen rc.... Links: ln -s /etc/init.d/masquerade /sbin/rcmasquerade
Schon mal ähnliche Erfahrungen gemacht? Bin für jeden Tip dankbar!
Das es nicht starten will, hab ich noch nicht erlebt. Vielleicht ist ja auch ein anderes initlevel eingestellt. Einfach in /etc/inittab nachgucken: id:3:initdefault: Ich hab aber auch schon ne neue Version, die die eigenen Regeln und die Konfiguration in /etc/masquerade packt (ist sonst nicht viel anders). Eine bessere Kernel2.4-Konfig kommt erst im neuen Jahr hinzu (die aktuelle Konfig ist älter und einfach aus dem iptables-HowTo abgetippt). Hendrik Sattler - -- Mein GPG-Key ist auf meiner Homepage verfügbar: http://www.hendrik-sattler.de oder über pgp.net PingoS - Linux-User helfen Schulen: http://www.pingos.schulnetz.org -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE8Ki+Mzvr6q9zCwcERAmigAJ9wlYUP0VD+bMQSF9tGJvqCb4yGqACfQCdP Njj/9PmCLKg2Nq83KLAep4E= =BR6I -----END PGP SIGNATURE-----
Dejan Milosavljevic schrieb am Tue, Dec 25, 2001 at 12:26:21PM +0100:
Gestern hatte ich es endlich geschafft meinen Zweitrechner per NAT ins Internet zu bringen. Heute musste ich nach einem reboot erstaunt feststellen, daß die iptabels-Einstellungen komplett weg sind.
Speichert iptables die Einstellungen nicht dauerhaft?
Nein, aber das hast Du ja selbst gemerkt...;-)
Was muss man denn machen, um alle Einstellungen zu speichern?
Es gibt mehrere Möglichkeiten: 1. Das mit dem Startskript wurde schon erwähnt. 2. Du kannst die Regeln in einer Datei speichern und sie auch wieder "einlesen" lassen. Das ganze funktioniertAFAIR mit iptables-save > datei bzw. mit iptables-restore < datei. iptables --help sollte dazu auch ein paar Wörtchen enthalten... Gruß, Christian -- Christian Schmidt | Germany | christian@siebenbergen.de No HTML Mails, please!!
On Tuesday, 25. December 2001 15:06, Christian Schmidt wrote:
2. Du kannst die Regeln in einer Datei speichern und sie auch wieder "einlesen" lassen. Das ganze funktioniertAFAIR mit iptables-save > datei bzw. mit iptables-restore < datei. iptables --help sollte dazu auch ein paar Wörtchen enthalten...
Stand so in der aktuellen ct, ja, funktioniert aber bei mir nicht. Der restore-Prozeß akzeptiert nicht, was der save-Prozeß zuvor abgelegt hat. Also doch Start-Skript... -- Andreas Feile <lists@feile.net> www.feile.net
Andreas Feile schrieb:
On Tuesday, 25. December 2001 15:06, Christian Schmidt wrote:
2. Du kannst die Regeln in einer Datei speichern und sie auch wieder "einlesen" lassen. Das ganze funktioniertAFAIR mit iptables-save > datei bzw. mit iptables-restore < datei. iptables --help sollte dazu auch ein paar Wörtchen enthalten...
Stand so in der aktuellen ct, ja, funktioniert aber bei mir nicht. Der restore-Prozeß akzeptiert nicht, was der save-Prozeß zuvor abgelegt hat. Also doch Start-Skript...
--
Andreas Feile <lists@feile.net> www.feile.net
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, kann jemand mal ein einfaches Beispiel zeigen, wie er/sie ein Startscript für iptables realisiert hat? Wie gesagt: Ich habe ein Startskript in /etc/init.d liegen und nach rc3.d und rc5.d verlinkt, das sogar abgearbeitet wird (habe einfach nach jeder Zeile ein echo "zeile 1 fertig" > zeile1.txt eingefügt), aber die Kommandos kommen einfach nicht bei iptables während des Bootvorganges an. Ist der Rechner mal hochgefahren und ruft man das Startscript manuell auf, so klappt es. Habe den Link auf das Skript in rc3.d und rc5.d extra S99iptables-start genannt, damit es so ziemlich am Schluss ausgeführt wird, wenn Netzwerk und andere Dinge bereits gestartet sind ... aber nichts hilft. Hat jemand mal was ähnliches mit iptables beobachtet? Ich glaube langsam werde ich wahnsinnig ... Gruß Dejan
hi, On Tue, Dec 25, 2001 at 07:28:46PM +0100, Dejan Milosavljevic wrote:
kann jemand mal ein einfaches Beispiel zeigen, wie er/sie ein Startscript für iptables realisiert hat? Wie gesagt: Ich habe ein hi es sollte in etwa so aussehen:
allgemeine vorbereitungen, funktionen case $1 in start) iptables aufrufe ;; stop) iptables flush oder nichts ;; status) iptables -L iptables -t NAT -L ;; *) echo "wie verwend ich das?" esac ciao sascha -- Sascha Andres sa@programmers-world.com http://www.programmers-world.com
participants (7)
-
Alex Klein -
Andreas Feile -
Christian Schmidt -
Dejan Milosavljevic -
Manfred Tremmel -
Michael Raab -
Sascha Andres