• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

fli4l - OnCo - iptables

A

Azhrarn

Newbie
Moin Forum!

Ich bin zur Zeit mit fli4l beschäftigt. Allerdings stoße ich auf ein Problem wenn ich OnCo einbinden möchte. In den OnCo Skripten steht als Policy fdrop, nur leider ist diese Policy nirgends deklariert worden. Demzufolge erhalte ich andauernd folgende Fehlermeldung:
Code: 
iptables v1.2.11: Couldn't load target 'fdrop': File not found
Ich denke, dass das auch der Grund für die fehlende Funktionsfähigkeit von OnCo ist. Im folgenden Skript wird z.B. 'fdrop' aufgerufen:
Code: 
#!/bin/sh
##-------------------------------------------------------------------------------
## onco is Copyright (c) 2002, 2003 Michael Mattes <sirprize@sodge.org>    V1.0.8
##
## Creation:     26.06.2002  mm
## Last Update:  31.05.2004  mm
##
## This program is free software; you can redistribute it and/or modify
## it under the terms of the GNU General Public License as published by
## the Free Software Foundation in Version 2; Not any previous or future
## version.
##-------------------------------------------------------------------------------

# elegantere Version --> ersetze / in ip-Bereich durch _ für Filenamen etc...
ipname=`echo $ip | sed "s/\//_/"`

if test -f /tmp/onco/$ipname.blocked
then
	rm -f /tmp/onco/$ipname.time
else
	if test ! -f /tmp/onco/$ipname.neverblock
	then
		hostname=`cat /tmp/onco/hn`
		httpdport=`cat /tmp/onco/httpdport`

		/sbin/iptables -I INPUT 1 -p tcp -s $ip -d $hostname --dport $httpdport -j ACCEPT
		/sbin/iptables -I INPUT 2 -p tcp -s $ip -d $hostname -j fdrop
		/sbin/iptables -I FORWARD 1 -p tcp -s $ip -j fdrop
		
		if test -f /tmp/onco/blockudp
		then
					/sbin/iptables -I INPUT 1 -p udp -s $ip -d $hostname --dport $httpdport -j ACCEPT
					/sbin/iptables -I INPUT 2 -p udp -s $ip -d $hostname -j fdrop
					/sbin/iptables -I FORWARD 1 -p udp -s $ip -j fdrop
		fi
		if test -f /tmp/onco/blockicmp
		then
					/sbin/iptables -I INPUT 1 -p icmp -s $ip -d $hostname -j fdrop
					/sbin/iptables -I FORWARD 1 -p icmp -s $ip -j fdrop
		fi
		echo "" > /tmp/onco/$ipname.blocked
		rm -f /tmp/onco/$ipname.time
	fi
fi

Ich nutze die fli4l Version 2.1.9. Die Voraussetzungen für OnCo sind installiert.
Vielleicht kann mir jemand von euch helfen und sagen, wie und wo ich die 'fdrop'-Regel eintragen soll.

mfg
 
A

Anonymous

Gast
du musst die chain erst erstellen, dies ist mit dem befehl
iptables -N fdrop
möglich, danach musst du noch die chain konfigurieren, du musst ihr sagen was wo hin soll und nicht hin soll....
http://www.pl-forum.de/t_netzwerk/iptables.html
 
A

Anonymous

Gast
aber extra eine neue chain zu erstellen nur weil was gedroppt werden sollt ist recht sinnlos, das macht nur Sinn wenn eine ganz bestimmte Sache explizit behandelt werden soll.... Für komplexe Routersysteme kann das praktisch sein, für dich würde glaube ich
iptables -A INPUT/OUTPUT/FORWARD deine_parameter_hier -j DROP
ausreichen :D
optional könnte man noch eine regel erstellen die alles geblockte noch loggt.... würde mit
iptables -A INPUT/OUTPUT/FORWARD deine_parameter_hier -j LOG --log-prefix "dein_log_prefix_hier"
gehen --> die logs sind dann zb in /var/log/messages zu finden

"-A INPUT/OUTPUT/FORWARD" wird natürlich original übernommen so nicht gehen!! Du musst für INPUT eine extra regel schreiben, für OUTPUT und FORWARD auch...sollte nur als beispiel dienen
 
A

Anonymous

Gast
das wort zum sonntag:
ich würde keine routing lösung wie fl4l (heisst das so??), IPCop oder ähnliches nehmen, lieber iptables selbst zusammenbasteln, das ist wesentlich effektiver... Zb habe ich bei IPCop festgestellt dass die Grundkonfiguration teilweise fehlerhaft, unvollständig und auch manchmal sinnlos ist, im/aus dem "Green Device" werden ALLE Sachen einfach ACCEPTed, egal was!!! (!!) --> eine noch grössere Sicherheitslücke kann ich mir ned vorstellen, damit können alle Viren, Trojaner etc die du vielleicht auf dem Rechner hast einfach aufs Internet zugreifen, man muss also sowieso eine komplette iptables Config erstellen.....
 
OP
A

Azhrarn

Newbie
Warum gleich drei Beiträge hintereinander? Es gibt doch auch ne EDIT-Funktion.


Oben angesprochenes Problem wurde in einer neuen Version von OnCo behoben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben