iptables tools (save - restore) fehlen

[starmagoo]

Guten Abend,

ich bastle schon eine weile mit Freetz und dem eingebauten Paket iptables rum. Soweit klappt auch alles aber nun wollte ich meine Regeln gern mal per Script sichern und wiederherstellen. Dies geht ganz gut mit dem Befehl "iptables-save" sowie "iptables-restore".

Nach dem einbinden ins Freetz sind diese Befehle leider nicht vorhanden. Woran liegt das? Kann man die beim kompilieren mit integrieren?

Auch das cgi-interface ist beim kompilieren für eine 7270 nicht mit drin... schade eigentlich.

 

[sf3978]

... aber nun wollte ich meine Regeln gern mal per Script sichern und wiederherstellen....

Auch das cgi-interface ist beim kompilieren für eine 7270 nicht mit drin...

Du kannst die iptables-Regeln immer per Script laden (sh). Script erstellen und in die rc.custom eintragen. "iptables-save" sowie "iptables-restore" werden nicht benötigt. Dein Script ist die Sicherung und damit machst Du auch die Wiederherstellung.
Auf das cgi-interface für iptables in der 7170 würde ich gern verzichten, da es eh nur mit dem FF richtig funktioniert. Mit einem Script hast Du ganz andere Möglichkeiten als mit dem Interface.

 

[Silent-Tears]

Vor allem aber gab es bisher Niemanden, der sich das Webinterface angesehen und für den anderen Kernel und die anderen Module der 72XX-Boxen adaptiert hat. Allerdings ist mit einem recht kurzen Blick ins Trac tatsächlich eine erweierung dieses Webinterfaces an einem Ticket zu erkennen. Es lohnt sich eh immer mal wieder, da hineinzugucken, wenn man irgendeine Form von Interesse an dem Projekt hat

 

[olistudent]

Aktuell tut sich da Dank reiffert was...
http://trac.freetz.org/ticket/378

MfG Oliver

 

[starmagoo]

Hey Leute das sollte keine negativ Bewertung sein. Ich mag euer Projekt sehr und versuche mich genauso daran zu beteiligen wie ihr.

Mir ist nur aufgefallen dass das Interface nicht vorhanden ist. Ob Sinn oder Unsinn eines solchen Interfaces kann man ja spekulieren. Wenn man aus der Windows Welt kommt will man eben mehr klicken als tippen *spaß*

Das rc.custom Script ist mir auch bekannt und klar sind meine iptables Regel dadurch gesichert.

Mir geht es mehr um etwas anderes. Ich lasse derzeit im cronjob ein script laufen was so ähnlich wie fail2ban nervige Loginversuche per IP-Adresse aussperrt. Hier fehlt mir noch eine Überprüfung ob die IP Schon in iptables gesperrt wird oder nicht.

 

[sf3978]

Hier fehlt mir noch eine Überprüfung ob die IP Schon in iptables gesperrt wird oder nicht.

Ohne brauchbares Interface, kannst Du das auf der Konsole, mit "iptables -L -n -v" überprüfen.

 

[starmagoo]

Das ist richtig. Nur weiß mein script mit der Ausgabe nichts anzufangen. Ich kann mit meinen Augen sehen welche IPs schon gesperrt werden. Müsste dementsprechend einfach eine Routine reinbringen die die gesperrten Adressen analysiert und vergleicht! :heul:

Danke für die Tipps...

 

[sf3978]

Ich lasse derzeit im cronjob ein script laufen was so ähnlich wie fail2ban nervige Loginversuche per IP-Adresse aussperrt.

Wie werden diese IP-Adressen, an iptables bekannt gegeben bzw. warum werden nicht alle gesperrte IP-Adressen an iptables weiter geleitet?

 

[starmagoo]

Es werden alle IP-Adressen bekannt gegeben allerdings kommen ja im laufe der Zeit auch neue hinzu und die alten bleiben auch mal gleich.

das script läuft so alle 12 Stunden. In diesem Zeitraum gibts es neue wie auch alte IPs. Die alten braucht er aber nicht doppelt eintragen. das ist mein Problem. Bekanntgeben tut das script sie indem es sie einfach in iptables einträgt. "iptables -A INPUT -s "$IP" -j DROP". $IP liest er aus der messages von syslog aus welche ich mit grep und awk bearbeite.

 

[sf3978]

Die alten braucht er aber nicht doppelt eintragen. das ist mein Problem.

"sort" und "uniq" sind deine Freunde.

 

[starmagoo]

Ok danke für den Tip,

D.h. ich kan mit uniq 2 Werte Vergleichen?

Ich hab mittels folgendem Befehl die Liste der IPs die ich vergleichen muss eingeschränkt.

iptables -L INPUT -n | grep 'DROP' | awk -F" " '{print $4}'

z.B. so.