Shell script írása ufw tűzfal kiegészítéseként.

wylow

Abban kérném a segítséget , hogy próbálok összehozni egy egyszerű shell-t egy apró feladatra és nem akar működni nekem. Bevallom még kezdő vagyok shell írásban van még mit behoznom. Röviden a script-nek a badmac.txt file-ból el kéne olvasnia a címeket és az iptables INPUT listába kellene tennie. A shell és a badmac.txt ugyan abban a könyvtárban vannak. Ime a shell tartalma: #!/bin/sh for i in badmac.txt do iptables -A INPUT -m mac --mac-source $i -j DROP done A segítséget előre is köszönöm.

polyp

Üdv! Ezen az oldalon http://rob.pectol.com találsz egy jó kis tűzfal szkriptet, ami szintén egy config fájlból olvassa be a kapuszámokat. Nézd át, érdekes. Itt a közvetlen link is: http://rob.pectol.com/ubuntu-firewall.tgz

iKL

Majdnem jó, csak egy kis finomítás kell! :)


#!/bin/bash
for i in `cat badmac.txt`
do
 iptables -A INPUT -m mac --mac-source $i -j DROP
done

A fájlban minden mac address külön sorban legyen. A szkriptnek futási jogot kell adni (chmod +x fajl.sh). Ha a szkriptet nem a root futtatja, akkor az iptables sor elé kell egy sudo, és a sudoers-ben kell megadni, hogy ne kérjen jelszót. Még az is érdekes, hogy az ufw milyen parancsokat használ, mert lehet, hogy nem az input lánc végéhez kell fűzni, hanem beszúrni kell (-I INPUT).

wylow

iKLKöszönöm a segítségeteket polyp,IKL . De egyenlőre nem akarózik azt csinálni amit kellene. Ha csak simán beírom az iptables-es sort a terminálba , akkor feldogozza gond nélkül(kipróbáltam az -I "insert" parancsal is). A mac címek külön sorban vannak a file-ban. Arra tudok gondolni , hogy a jogosultság körül lehet valami.

iKL

wylowEgyszerű a dolog. Az iptables sor elé be kell rakni egy # jelet, így nem veszi figyelembe, és alá egy új sorba beírni az echo $i utasítást, ami kiírja a mac address címeket egymás után. A cat résznél nem sima aposztróf, hanem ferde (Alt gr 7). Ha az megy, akkor tud olvasni a fájlból, viszont lehet, hogy a sorvégi enter bezavar, ha a fájl nem linux alatt készült. Vagy az is lehet, hogy az iptables üzen hozzáférés megtagadást. Egyébként mi az hogy nem megy, ír valami hibát?

wylow

iKLNem sajnos nem ír hibát. Bár már azt kipróbáltam a mit írtál az echo $i , de úgy néz ki nem is olvassa a file-t. Ha simán cat badmac.txt parancsot adok ki akkor kilistázza a tartalmát, ahogy kell.

iKL

wylowHa a cat kiírja a tartalmát, akkor tud olvasni a fájlból. Az echo 'cat badmac.txt' kiírja, hogy cat badmac.txt, míg az echo `cat badmac.txt` a fájl tartalmát, a sorokat egymás után. Látszik a különbség? A ferde aposztróf végrehajtja a parancsot, és az eredményét behelyettesíti, ezért tudja megkapni a számokat az iptables parancs mint paraméter. Amúgy mindegy, lehet máshogy is, ha a for ciklusnál van a hiba. cat badmac.txt | while read maca; do echo "${maca}"; done Így most sikerült? Akkor már csak echo helyett iptables.

wylow

iKLBiztosan valami elkerüli a figyelmemet de az alábbi példa sem fut le. #!/bin/bash echo `cat badnets.txt` A kozolba beírom a test majd leugrik egy új sorba a kurzor és tovább villog. Semmi hibaüzenet semmi , hogy valamit rosszul tennék.

iKL

wylowAz mi, hogy "... beírom a test majd ..."? A szkript neve test? Mert akkor nem jó! Részlet a "man test"-ből: test - check file types and compare values Két tanulság: - a szkript kiterjesztése legyen .sh - az aktuális könyvtárból úgy kell indítani, hogy ./szkript.sh

wylow

iKLSzuper iKL Végre működik :) . Csak én volt túlságosan ostoba...... Több kávét kéne innom este amikor elkezdek otthon dolgozni. Most már csak annyit kell majd elérnem , hogy ez a script az /etc/init.d alatt a megfelelő jogosultság mellett lefusson.

iKL

wylowAkkor már csak ennyi kell: - szkript másolása a /etc/init.d mappába - chown root:root szkript - chmod 755 szkript - update-rc.d szkript defaults Mindezeket root-ként vagy sudo előtaggal. Persze számos más módja is van, bele lehetne írni az ufw indítójába, az rc.local fájlba, vagy az interfaces fájlba is.