Kirjoittaja Aihe: [Mini howto] netfilter/iptables -palomuuri  (Luettu 74235 kertaa)

peran

  • Vieras
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #40 : 29.07.09 - klo:02.51 »
Ai että toimiiko, mitä kummaa hä? ;)

Tottakai toimii ja tulee toimimaan tulevaisuudessakin (tuskin poistavat netfiltriä kernelistä koskaan) ja siten eivät poista iptablesiakaan.
Eli A-kysymyksen vastaus oli siinä.

Ja B-kysymyksen vastaus on että lisenssi on kyllä 1. viestin lopussa, se on ollut siellä jo
muistini mukaan loppuvuodesta 2006 asti. Eli on "Public domain" == saa julkaista ja muokata
kääntää ja vääntää ihan kuka vaan ja missä vaan ja jopa kaupallisessakin tarkoituksessa saa.
Suomeksi sama, ehdottomasti saa julkaista Wikissä yms.

Lisenssilinkki vielä uudelleen (johan on kumma jos tuo ei Wikiin kelpaa lisenssinsä puolesta).
http://creativecommons.org/licenses/publicdomain

Joo, muutetaan sitä sitten jos ei muka jotenkin kelpaa.

syysterveisin raimo ;)

Terve raimo pitkästä aikaa. Taisi Risto laittaa ton vähän jokaiseen How To - alueen säikeeseen.

Joku tosiaan voisi kirjoittaa ko. opuksen Wikiin. Siis mielellään sellainen, joka käyttää suoraan iptablesia.

raimo sanoo: poistelen noita Riston laittamia [Kysytty] juttuja.
Voisi käyttää moiseen yksityisviestiä tai mailia ko. Risto ja muutkin modet kuten esim minä.
« Viimeksi muokattu: 02.08.09 - klo:19.51 kirjoittanut raimo »

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #41 : 29.07.09 - klo:07.02 »

sudo komento ei toimi tässä (jostakin kumman syystä), joten sudoudu kokonaan komennolla sudo su
Koodia: [Valitse]
sudo su
iptables-save > /etc/palomuuri
exit

Ton "sudo su":n voinee kiertää näin:
Koodia: [Valitse]
sudo iptables-save | sudo tee /etc/palomuuri

En ole nyt koneella, voi olla että ensimmäistä sudo:a ei edes tarvitse.
« Viimeksi muokattu: 02.08.09 - klo:19.49 kirjoittanut raimo »

raimo

  • Käyttäjä
  • Viestejä: 3530
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #42 : 29.07.09 - klo:10.30 »
Ton "sudo su":n voinee kiertää näin:

Ei voine! Tekeepi näin:
Koodia: [Valitse]
[sudo] password for tiivitaavi: [sudo] password for tiivitaavi:
Sorry, try again.
[sudo] password for tiivitaavi:
Sorry, try again.
[sudo] password for tiivitaavi:
TÄSSÄ EI TAPHDU MITÄÄN ENÄÄ ... KUNNES PAINAA CTRL+C NIIN SITTEN TULEE SEURAAVA ILMOITUS:
sudo: pam_authenticate: Conversation error

Salasana on 1426% varmasti oikea  ;)

Edit:
jos jättää 1. sudon pois tekee kyllä /etc/palomuuri -tiedoston, mutta se on täysin tyhjä.
kun alunperin ohjeessa mainittu tapa:
Koodia: [Valitse]
sudo su
iptables-save > /etc/palomuuri
exit
tallentaa palomuurin "tiedot" tiedostoon (ei ole tyhjä).

Niin ja terve terve Peran ym. olen ollut sairaalassa kuukausia, veriarvot tipahtivat yhtenä yönä jostakin syystä
täysin alas (valkosoluja 0.1 kun pitäisi olla yli 3.0 ja hemoglobiini ~60 kun pitäisi olla ~140 vähintään ja tuli veren myrkytys/taju pois, melkein kuolin (hoitajat kertoivat jälkeenpäin ollensa melkovarmoja että kuolee se). Mutta enpäs kuollut, näin kuolleeksi jo luultuna, unta että minua ei tapa mikään ei siis kertakaikkiaan mikään, ei edes ydinpommi yms! No lääkäri päätti vielä kerran yrittää (yli 20 minuutia oli jo mennyt ilman pulssia): imurilla keuhkot tyhjäksi ja sitten isoin sähköälaaki sydämeen, ja PUMTSIPUM, heräsin henkiin. Tiputtivat 8 eri antibioottia vereen peränjälkeen jonkun viikon, sitten veritankkausta 3 kertaa. ym kaikenmaailman lääkkeet. No nyt on valkosolut jo 3 ja hemoglobiini nousussa pikkuhiljaa 82 viime viikolla.
Syytä moiseen eivät lääkärit tiedä enkä edes minä tiedä. Enää en siis ole sairaalassa vaan kotona, NAM!)
« Viimeksi muokattu: 02.08.09 - klo:19.41 kirjoittanut raimo »
So long and thanks for all the fish!

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #43 : 02.08.09 - klo:15.22 »
Ton "sudo su":n voinee kiertää näin:
Ei voine!

Koodia: [Valitse]
jussi@one:~$ sudo -k
jussi@one:~$ sudo iptables-save | sudo tee /etc/palomuuri
[sudo] password for jussi: [sudo] password for jussi:
asd

Sorry, try again.
[sudo] password for jussi:
# Generated by iptables-save v1.4.0 on Sun Aug  2 15:16:19 2009
*filter
:INPUT ACCEPT [2674:2922005]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2390:227518]
COMMIT
# Completed on Sun Aug  2 15:16:19 2009
jussi@one:~$ ls -l /etc/palomuuri
-rw-r--r-- 1 root root 199 2009-08-02 15:16 /etc/palomuuri

jussi@one:~$ cat /etc/palomuuri
# Generated by iptables-save v1.4.0 on Sun Aug  2 15:16:19 2009
*filter
:INPUT ACCEPT [2674:2922005]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2390:227518]
COMMIT
# Completed on Sun Aug  2 15:16:19 2009
jussi@one:~$

No tuo "sudo su" -tapa taitaa olla parempi, vaikka toi toinenkin jotenkin toimii. Jos kirjoittaa salasanan oikein kahdesti peräkkäin niin toimii ilman tuota herjaa, mutta jälkimmäisellä tulee salasana näkyviin näytölle. Ei hyvä.
« Viimeksi muokattu: 02.08.09 - klo:19.45 kirjoittanut raimo »

valtsu68

  • Käyttäjä
  • Viestejä: 453
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #44 : 30.12.09 - klo:13.28 »
Minen sano tuohon mitään, tai siis jos luvat on ACCEPT niin skanneri ei voi näyttää vihreetä, ja jos se silti näyttää vihreetä se on rikki, siis sese skanneri.
Toinen vaihtoehto on että näkyjä näette! :)
Itse en ole vielä gutsyyn ryhtynyt, mutta eihän tässä ole kuin 2 päivää niin siihen on ryhdyttävä.
Vaan ihan järjellä ACCEPT = hyväksy, olkoon ubu-versio mikä hyvänsä.

Edittiä: se on seonnut tuo skanneri, testasin aivan itse (feisty)
ja kaikki on komean vihreää vaikka on ACCEPT säännöt.

Joo, en kommentoi, nimittäin 3 kokeilemaani skanneria näyttää pelkkää vihreää, olis kiva tietää mitä on muutettu...


Valitan tämän aiheen nostamista, kun on vähän vanha.

Olen nyt käsittänyt seuraavaa:
  • Näillä tämän ketjun säännöillä oma järjestelmä on näkymätön muualle, elikkä "internettiin".
  • Kyseiset säännöt toimivat oikein, kun koneen verkkokortilta otetaan IP-osoite. (ts. modeemi on siltaavassa tilassa, eikä näin ollen NAT ole modeemissa päällä

Jos modeemi laitetaan reitittävään tilaan, koneen verkkokortille tulee vain yksi osoite modeemilta. (ja jos NAT / pingauksen esto ovat modeemissa päällä, testeri näyttää vihreää riippumatta siitä mitä sääntöjä on iptablesiin laitettu?)

Kun koneeseen on laitettu tämän ketjun mukaiset säädöt JA modeemi laitetaan reitittävään tilaan, hyväksyvätkö koneen säännöt kaiken modeemilta tulevan liikenteen, koska ko. sääntöjen piti sallia kaikki itseaiheutettu in ja out? ( Eli jos jokin pääsee modeemin läpi, se pääsisi sen jälkeen esteettä koneelle? )

Olenko ihan pihalla?

Edit;-D Olen ihan pihalla  ;D.... koska tämä koko ketju olikin jo siirretty arkistoon... No, en silti poista tätä, sillä asia ei ole selvinnyt
« Viimeksi muokattu: 01.01.10 - klo:08.55 kirjoittanut valtsu68 »

nm

  • Käyttäjä
  • Viestejä: 13660
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #45 : 09.01.10 - klo:11.41 »
Kun koneeseen on laitettu tämän ketjun mukaiset säädöt JA modeemi laitetaan reitittävään tilaan, hyväksyvätkö koneen säännöt kaiken modeemilta tulevan liikenteen, koska ko. sääntöjen piti sallia kaikki itseaiheutettu in ja out? ( Eli jos jokin pääsee modeemin läpi, se pääsisi sen jälkeen esteettä koneelle? )

Periaatteessa kyllä, koska NAT-boksilta tuleva liikenne kuuluu aina johonkin koneella aloitettuun yhteyteen (ellei boksiin ole asetettu porttiohjauksia koneelle). Jos joku kuitenkin onnistuisi murtautumaan NAT-boksiin, koneen palomuuri olisi taas edessä, eli suorat yhteydenotot NAT-boksilta estettäisiin aivan kuten yhdeytenotot netistä silloin kun boksi on siltaavassa tilassa.

tetrao

  • Käyttäjä
  • Viestejä: 176
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #46 : 09.01.10 - klo:15.53 »
Millä periaatteella oma kone ei blokkaa boksista käsin porttiohjattua liikennettä? Eli kysessä HTTP palvelin NAT:in takana, niin että olen linkannut yhden suuren portin tuohon porttiin 80. Nyt liikenne ei ole itseaiheutettua pääse boksista läpi, mutta silti oman koneenkin palomuuri hyväksyy liikenteen, eli palauttaa kyselyn (portista 80) haluaman sivuston? En ole muutellut koneen palomuurin asetuksia alkuperäisestä ja kyseisen portin pitäisi olla kiinni.

Toisin sanoen:
Lainaus
#sallitaan www-serveri portissa 80, lisää tämä vain jos käytät www-serveriä
sudo iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 80 --syn -j ACCEPT
Tuota liutaa en ole ikinä kirjoittanut ja homma toimii siitä huolimatta
« Viimeksi muokattu: 09.01.10 - klo:16.05 kirjoittanut tetrao »
Arch Linux - A simple, lightweight distribution

nm

  • Käyttäjä
  • Viestejä: 13660
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #47 : 09.01.10 - klo:16.10 »
Millä periaatteella oma kone ei blokkaa boksista käsin porttiohjattua liikennettä?

Pitäisi kyllä blokata, jos Netfilter on asetettu niin etkä ole tehnyt erikseen reikää portille 80. Mitä sudo iptables -L sanoo?

Lainaus
En ole muutellut koneen palomuurin asetuksia alkuperäisestä ja kyseisen portin pitäisi olla kiinni.

Mitä palomuuriskriptiä käytät?

tetrao

  • Käyttäjä
  • Viestejä: 176
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #48 : 09.01.10 - klo:16.19 »
Lainaus
Pitäisi kyllä blokata, jos Netfilter on asetettu niin etkä ole tehnyt erikseen reikää portille 80. Mitä sudo iptables -L sanoo?

Koodia: [Valitse]
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere 

Pakko tunnustaa, että tuosta en ymmärrä juurikaan mitään.

Lainaus
Mitä palomuuriskriptiä käytät?
En ole erikseen asennellut mitään, eli onko silloin muuta käytössä kuin tuo netfilter/iptables -palomuuri?
Arch Linux - A simple, lightweight distribution

nm

  • Käyttäjä
  • Viestejä: 13660
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #49 : 09.01.10 - klo:16.27 »
En ole erikseen asennellut mitään, eli onko silloin muuta käytössä kuin tuo netfilter/iptables -palomuuri?

Ubuntussa ei silloin ole mitään palomuuria, vaan kaikki liikenne sallitaan, kuten iptablesin listauksesta näkyy. Jos tarvitset palomuuria, se on asetettava erikseen joko manuaalisesti iptablesilla tai jollain yksinkertaistetulla skriptillä/ohjelmalla. Ufw tai gufw ovat suositeltavia vaihtoehtoja aloittelijalle. NAT-boksin palomuurin pitäisi kyllä riittää kotikäytössä.

tetrao

  • Käyttäjä
  • Viestejä: 176
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #50 : 09.01.10 - klo:16.39 »
Lainaus
Ubuntussa ei silloin ole mitään palomuuria, vaan kaikki liikenne sallitaan, kuten iptablesin listauksesta näkyy.

Ok, kuvittelin että tähän kernel:iin olisi valmiiksi upotettu/rakennettu jonkin sortin palomuuri. Sinänsä mielenkiintoista, minulla on ollut käytössä myös toinen Linux läppäri, johon en myöskään ollut asennellut erikseen mitään. Ajoin siltaavassa tilassa tuon testerin läpi ja näytti vihreää. Olisikohan kyse sitten pingauksen  estosta kun noin hyvän tuloksen antoi.. Pitää tähän koneelle kasata kyllä jonkinlainen muuri, niin on vähän turvallisempi olla  :)
« Viimeksi muokattu: 09.01.10 - klo:16.52 kirjoittanut tetrao »
Arch Linux - A simple, lightweight distribution

nm

  • Käyttäjä
  • Viestejä: 13660
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #51 : 09.01.10 - klo:16.47 »
Ok, kuvittelin että tähän kernel:iin olisi valmiiksi upotettu/rakennettu jonkin sortin palomuuri.

Kernelissä on kyllä Netfilter-palomuurijärjestelmä, mutta siinä ei ole vakiona mitään sääntöjä, eikä Ubuntu aseta sellaisia.

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #52 : 10.01.10 - klo:04.03 »
Pitää tähän koneelle kasata kyllä jonkinlainen muuri, niin on vähän turvallisempi olla  :)

Jos siinä koneella ei ole portteja kuuntelevia ohjelmia asennettuna, niin eipä sieltä mikään pääse läpikään, oli muuria tai ei.

valtsu68

  • Käyttäjä
  • Viestejä: 453
  • Aloitteleva peruskäyttäjä
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #53 : 20.01.10 - klo:23.14 »
Kun koneeseen on laitettu tämän ketjun mukaiset säädöt JA modeemi laitetaan reitittävään tilaan, hyväksyvätkö koneen säännöt kaiken modeemilta tulevan liikenteen, koska ko. sääntöjen piti sallia kaikki itseaiheutettu in ja out? ( Eli jos jokin pääsee modeemin läpi, se pääsisi sen jälkeen esteettä koneelle? )

Periaatteessa kyllä, koska NAT-boksilta tuleva liikenne kuuluu aina johonkin koneella aloitettuun yhteyteen (ellei boksiin ole asetettu porttiohjauksia koneelle). Jos joku kuitenkin onnistuisi murtautumaan NAT-boksiin, koneen palomuuri olisi taas edessä, eli suorat yhteydenotot NAT-boksilta estettäisiin aivan kuten yhdeytenotot netistä silloin kun boksi on siltaavassa tilassa.

Kiitos vastauksesta. Kyllä tässä nyt usko alkaa palaamaan järjestelmään. Itse kun en näistä juurikaan käsitä, vaikka kesän koetin selvittää "jotain"** tämän tietoverkon toiminnasta  :o. Tuo ajatukseni oli siis ihan maalaisjärjellä päättelyn tulos tuosta "itseaiheutetun liikenteen hyväksyminen"-lauseesta  :D.

--

**Jotain: Lueskelin sieltä täältä asioita netin toiminnasta, eli aiheesta, etsien informaatiotulvasta kohtaa josta voisi aloittaa ja jopa päästä jonkinlaiseen käsitykseen aiheesta. Logiikka ei muutenkaan ole vahvimpia puoliani ja into loppui siihen kohtaan missä aloin päästä jonkinlaiseen käsitykseen aiheen laajuudesta ja monimutkaisuudesta.

Ja sama ongelma noissa jutuissa oli kuin muissakin ohjeissa. Ohjeen kirjoittaja osaa asiansa jo niin hyvin, ettei sitä osaa enää ilmaista aloittelijamaisesti.

Sellainenkin sivuvaikutus tällä opiskelulla oli, että aikojen saatossa muokkautunut käsitys, (ilmeisen vääristynyt), omasta älykkyydestä romuttui melko huolella  :(. Siinä tuli mieleeni: Miltä tuntuu olla älykäs? Saisipa olla yhden päivän älykäs!!

Laplinux

  • Käyttäjä
  • Viestejä: 148
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #54 : 17.02.10 - klo:14.17 »
Kiitokset ensin hyvästä ohjesivusta.
Lainaus Raimolta
Tallennetaan asetukset jotta saadaan ne käyttöön heti koneen käynnistyksessä,
sudo komento ei toimi tässä (jostakin kumman syystä), joten sudoudu kokonaan komennolla sudo su
Koodia:
sudo su
iptables-save > /etc/palomuuri
exit
Tarkista syntynyt tallennus:
cat /etc/palomuuri
(älä muokkaa tiedostoa käsin)


Iptables asiani
Esim. Ubuntu 9.04 tuo /etc kansio on se oikea paikka ja talletus nimellä palomuuri tms.
Lähtökohta tietysti että bootissa käynnistyy joka kerta.

Silmään on pistänyt iptables asioissa mm. seuraavat eroavaisuudet ?
Miten nuo eroavat toisistaan onko kaksoispisteet tai taala merkki onko pakollinen mihin vaikuttaa.

Iptables kansiona on nähnyt ubuntu foorumeilla myös /sbin/iptables tai /etc/init.d/
IPT lyhenne tietty iptables sanasta.

versio 1.
IPT=" /sbin/iptables " #välilyönneillä vai ilman
$IPT
IPT="/sbin/iptables" #ilman välilyöntiä
$IPT

versio 2.
IPT=/sbin/iptables
IPT

Pikku asioita mutta haluaisin selvyyden.
Haulla foorumilta ja iptables netfilter kotisivuiltakaan en vastausta löytänyt.

Nimimerkillä ensimmäinen iptables.
Ilmeisesti windows koneesta pystyy SSH :n avulla Pytty :llä copy paste koko .txt iptables litanian kopioimaan serverille.

Kiitokset arvon raadille.

sniveri

  • Käyttäjä
  • Viestejä: 322
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #55 : 17.02.10 - klo:15.13 »
Onkohan mun asennuksissa jotain "vikaa", mutta minusta uudessa ubuntuasennuksessa on tullut aina ufw mukana? sitten vaan kirjottaa:
 
Koodia: [Valitse]
sudo ufw enable
niin alkaa testit näyttelemään vihreää?
Ubuntu 10.04 64-bit Desktop
Ubuntu 10.04 32-bit Desktop x 2
Ubuntu 10.04 32-bit Server

sniveri@diasp.eu

nm

  • Käyttäjä
  • Viestejä: 13660
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #56 : 17.02.10 - klo:16.24 »
Juu, ufw:tä suosittelisin minäkin, jos on tarvetta pystyttää palomuuri nopeasti ja helposti. Iptables sopii Netfilterin lähempään opiskeluun ja yksityiskohtaiseen säätämiseen, kun ufw, Shorewall tai jokin muu korkeamman tason skripti ei riitä.


Silmään on pistänyt iptables asioissa mm. seuraavat eroavaisuudet ?
Miten nuo eroavat toisistaan onko kaksoispisteet tai taala merkki onko pakollinen mihin vaikuttaa.

Iptables kansiona on nähnyt ubuntu foorumeilla myös /sbin/iptables tai /etc/init.d/
IPT lyhenne tietty iptables sanasta.

versio 1.
IPT=" /sbin/iptables " #välilyönneillä vai ilman
$IPT
IPT="/sbin/iptables" #ilman välilyöntiä
$IPT

versio 2.
IPT=/sbin/iptables
IPT

Nämä ovat komentotulkin toimintaan ja (ympäristö)muuttujien käyttöön liittyviä kysymyksiä.

x=merkkijono asettaa skriptissä muuttujan x arvoksi =-merkin oikealla puolella olevan merkkijonon. Jos merkkijonossa on välejä tai erikoismerkkejä, se pitää suojata lainausmerkeillä. Muuten komentotulkki yrittää ajaa välin jälkeen tulevan osan komentona. Esimerkkitapauksessasi lainausmerkkejä ei välttämättä tarvita, eikä niiden sisällä olevilla välilyönneillä ole merkitystä, koska komentotulkki jättää ne pois suorittaessaan komentoa.

$-merkkiä tarvitaan silloin kun muuttujaan viitataan myöhemmin. Yllä antamasi versio 2 ei siis toimi, vaan komentotulkki herjaa puuttuvasta IPT-komennosta.

Linux.fi:n Wikissä on suomenkielinen perusopas bash-skriptien kirjoittamiseen: http://linux.fi/wiki/Bash-skriptaus

Laplinux

  • Käyttäjä
  • Viestejä: 148
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #57 : 17.02.10 - klo:22.17 »

Kiitos nopeasta vastauksesta.
Pieni tarkennus viellä iptables asiaan.

Kun iptables esimerkkejä katselee eri foorumeilla niin lähes aina $ merkki puuttuu tuosta komento rivin alusta.
$ merkki on siis oltava jokaisella komentorivilla palomuurissa valmiina ennen kuin tekee esim. palomuuri.sh scriptiksi.

Eli tässä kohdat 1, 2 toimii mutta kohta 3 heittää herjan sääntöä ei ole.


#!/bin/bash
#muutama rivi kokonaisuudesta
#http://linux.fi/wiki/Iptables

IPTABLES=/sbin/iptables

#Putsataan taulukko 1
${IPTABLES} -F  #Sulkujahan ei tarvitse välttämättä
${IPTABLES} -X  #Sulkujahan ei tarvitse välttämättä

#Putsataan taulukko 2
$ IPTABLES -F
$ IPTABLES -X

#Putsataan taulukko 3
IPTABLES -F 
IPTABLES -X

Kiitokset arvon raadille. Kyllä se tästä.

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #58 : 18.02.10 - klo:15.47 »

Kiitos nopeasta vastauksesta.
Pieni tarkennus viellä iptables asiaan.

Kun iptables esimerkkejä katselee eri foorumeilla niin lähes aina $ merkki puuttuu tuosta komento rivin alusta.
$ merkki on siis oltava jokaisella komentorivilla palomuurissa valmiina ennen kuin tekee esim. palomuuri.sh scriptiksi.

Eli tässä kohdat 1, 2 toimii mutta kohta 3 heittää herjan sääntöä ei ole.

#!/bin/bash
#muutama rivi kokonaisuudesta
#http://linux.fi/wiki/Iptables

IPTABLES=/sbin/iptables

#Putsataan taulukko 1
${IPTABLES} -F  #Sulkujahan ei tarvitse välttämättä
${IPTABLES} -X  #Sulkujahan ei tarvitse välttämättä

#Putsataan taulukko 2
$ IPTABLES -F
$ IPTABLES -X

#Putsataan taulukko 3
IPTABLES -F 
IPTABLES -X

Kiitokset arvon raadille. Kyllä se tästä.

Alussa määrittelet IPTABLES-muuttujalle arvon /sbin/iptables. Sitten kutsut sitä kirjoittamalla $IPTABLES tai ${IPTABLES}. Ei ole kyse mistään magiikasta, että palomuuriskripteissä pitäisi olla aina taalanmerkki alussa.

Kohta 3 sinulla ei toimi sen takia, että kutsut ohjelmaa IPTABLES, jota ei ole olemassakaan (ohjelman nimi on iptables pienellä kirjoitettuna). Jos kirjoittaisit sen pienellä niin se toimisi, mikäli sinun PATH-muuttujassa on polku tuonne /sbin -hakemistoon.

Kohdan 2 ei pitäisi tuollaisenaan toimia, koska sinulla on väli $-merkin ja muuttujan nimen välissä.

Toki on aina parempi viitata suoraan tuonne oikeaan polkuun niin kuin olet tehnytkin tuon IPTABLES-muuttujan kautta. Halusin vain tarkentaa miksi sitä ei ohjeissa aina ole.

Laplinux

  • Käyttäjä
  • Viestejä: 148
    • Profiili
Vs: [Mini howto] netfilter/iptables -palomuuri
« Vastaus #59 : 18.02.10 - klo:18.48 »

jep tämä selvä.

Kiitokset tarkennuksesta.

Nyt muurin kirjoitukseen.