Hallo,

ich habe nun seit einigen Tagen SuSE 8.0 auf meinem System installiert, und eigentlich bin ich ganz zufrieden mit. Jedoch komme ich leider mit dem neuen Bootkonzept nicht ganz zurecht, und habe diesbezüglich nun Schwierigkeiten mein Firewallscript automatisch auszuführen.

Folgendes ist mein Problem:
Ich möchte anstatt der SuSEfirewall2 mit iptables (konfiguriert über Yast2) mein eigenes Firewallscript bei jedem Verbindungaufbau starten lassen. Habe ein eigenes Script mit iptables erstellt, in der ein eigenes Regelwerk aktiv wird (funktioniert soweit auch einwandfrei, sobald ich es manuell ausführen). Das Script soll mit jedem Verbindungaufbau ausgeführt werden, und somit aktiv sein.
Hintergrundinformation:
Nutze SuSE 8.0 Prof./ Kernel 2.4.18 / DsL flat + Dial on Demand

Soweit ich weiss, muß ich nur eine Kommandozeile in das ip-up-Script einfügen bzw. verändern. Jedoch habe ich keine Ahnung wie das gehen soll, da ich von Script-Sprachen nicht so viel Ahnung habe.

Angenommen, mein eigenes Firewall-Script liegt unter /sbin/firewall/rulebase.sh . Wie müßte denn dann die Kommandozeile heissen, die dieses Script bei jedem Verbindungaufbau ausführt.

Danke schonmal im vorraus...

Hallo,

der "sauberste" Weg:
Lege im Verzeichnis /etc/ppp eine neue Datei "ip-up.local" an und füge dort den Aufruf Deines FW-Skriptes ein.

Also:


#!/bin/bash
/sbin/firewall/rulebase.sh


Dann machst Du das Skript noch ausführbar und alles ist paletti :)

Möchtest Du dann nach dem Abbau jeder Verbindung die Filterregeln wieder zurücksetzen, dann kannst Du das im Skript /etc/ppp/ip-down.local (muß ebenfalls angelegt werden) am ehesten machen.

Harry

hi harry,

danke für deine schnelle antwort! mir ist jedoch noch einiges zu deinem vorschlag unklar.

1) was geschieht den mit den vorhandenen dateien ip-up und ip-down(=wobei dies nur ein link ist) ? meinst du ich soll einfach neue dateien erstellen, die dann deinen vorgeschlagenen namen haben, und den inhalt von ip-up übernehmen, oder nur eine kommandozeile zur ausführung meines firewallscripts enthalten.

2)wenn ich nun die dateien ip-up.local erzeuge, wird diese dann auch bei jedem start einer internet-verbindung über dial-on-demand ausgeführt? wie kommt es dazu ?

3) was geschieht mit den original dateien ip-up & ip-down, werden diese überhaupt benötigt? oder dienen diese sowieso nur um die orig. SuSEfirewall2 zu starten.

ich hoffe du kannst mir deinen vorschlag nochmals etwas genauer erläutern, wäre dir sehr dankbar.

Hallo,

die Skripte /etc/ppp/ip-up bzw. /etc/ppp/ip-down werden vom pppd/ipppd beim Aufbau und beim Abbau einer PPP-Verbindung direkt ausgeführt.

Wenn Du einen Blick in diese beiden (ok - in die eine, da ip-down ein SymLink auf ip-up ist) Dateien wirfst, dann wirst Du feststellen, dass nach dem Aufbau einer PPP-Verbindung (und dem Ausführen von ip-up) überprüft wird, ob ein Skript /etc/ppp/ip-up.local existiert. Ist dies der Fall, dann wird auch dieses Skript ausgeführt.

Gleiches gilt für ein Skript /etc/ppp/ip-down.local beim Abbau der PPP-Verbindung. Daher ist die Erzeugung der Skripte /etc/ppp/ip-up.local und /etc/ppp/ip-down.local aus meiner Sicht der sauberste Ansatz für Modifikationen, denn diese stellen die Schnittstelle für Deine eigene Wunschkonfiguration dar.

zu 1: Lege ein neues Skript an (/etc/ppp/ip-up.local). Die vorhandenen Skripte darfst Du natürlich nicht löschen.

zu 2: Ja. Siehe oben.

zu 3: Die Originalskripte führen diverse Netzwerkkonfigurationen durch, z.B. setzen der IP-Adresse, Erzeugen einer temporären /etc/resolv.conf mit den Provider DNS-Adressen, ggf. Erzeugen einer Default-Route usw. Sie werden also benötigt.

Probier es einfach mal so aus, wie ich in meiner ersten Antwort geschrieben habe. Bestehende Skripte bitte nicht löschen und alles wird gut ;)

Harry

hi harry,

danke für deine kompetente antwort! werde es am wochenende versuchen...dein vorschlag hört sich wirklich sinnvoll an. es scheint mir , das dies die suaberste lösung ist, meine anforderung zu erfüllen.

habe schon diverse antworten in anderen foren erhalten, da sprachen die leute vom modifizieren der runlevels, und das ausführen des scriptes direkt beim booten - das was ich eigentlich nicht wollte...

werde mir nun auch mal etwas genauer ip-up antun, und versuchen dieses script anhand von div. manuals zu verstehen. wenn es wirklich so ist, das ip-up auf ip-up.local beim aufbau einer internetverbindung zurückgreift, hat man ja wirklich freie hand, und kann somit nochmals eigene konfigurationen mitladen, ohne das man das bestehende system verpfuscht....

also, schönen tag noch...!!!