misterioso problema Script Iptables & Debian...

[NZ]

allora...
installo debian con Gnome2.
poi,per attivare il fireweall,metto il mio script (di nome firewall.sh) in /etc/init.d
gli do l'eseguibilità con:
chmod +x /etc/init.d/firewall.sh
e subito dopo faccio:
update-rc.d firewall.sh start 99 2 .
per creare il link in rc2.d

Al reboot del PC mi appaiono una sfilza di errori (tanti quanti le righe del mio script) che dicono:

/etc/rc2.d/S99firewall: -t: command not found
:command not foundall:

e ovviamente lo script non viene eseguito

In pratica quel -t non riconosciuto appartiene al "-t filter" presente nelle righe del mio script!
Li elimino tutti e al successivo reboot il comando non più riconosciuto diventa -A
è come se iptables non riconoscesse la sintassi dello script

Se vado in /etc/init.d e lancio manualmente lo script con "sh firewall.sh" il risultato è lo stesso

Il bello è che se apro la shell e digito una riga per ipatbles viene accettata ma di leggere i comandi dallo script non se ne parla
Premetto che lo script è OK perchè già testato su altre distro (Mandrake 8.2 e Slack 8.1)

Cos'è che non funziona?
mi sembra di aver fatto quello che si doveva fare,o no?

Ciao

[ilsensine]

Se non ci fai vedere lo script, sono d'accordo con la Debian

[NZ]

Quote:

Originariamente inviato da ilsensine
[b]Se non ci fai vedere lo script, sono d'accordo con la Debian

vuoi lo script...
...eccolo
Lo dovresto conoscere bene perchè mi hai aiutato proprio tu a farlo
Lo uso da mesi senza problemi su altre distro ma ora....





# COLLEGAMENTO AL PROGRAMMA IPTABLES

IPT=/sbin/iptables



# SET-UP POLICY CATENE PRINCIPALI

$IPT -t filter -P INPUT DROP

$IPT -t filter -P OUTPUT DROP

$IPT -t filter -P FORWARD DROP

$IPT -t filter -F

$IPT -t filter -X



# CREAZIONE DI 7 NUOVE CATENE AUSILIARIE

$IPT -t filter -N ppp_in

$IPT -t filter -N ppp_out

$IPT -t filter -N tcp_flags

$IPT -t filter -N log_drop

$IPT -t filter -N warn_drop

$IPT -t filter -N check_in

$IPT -t filter -N check_out



# REGOLE DELLA CATENA DI INPUT

$IPT -t filter -A INPUT -s 224.0.0.0/8 -j log_drop

$IPT -t filter -A INPUT -i lo -j ACCEPT

$IPT -t filter -A INPUT -i ! lo -d 127.0.0.0/8 -j log_drop

$IPT -t filter -A INPUT -i ppp0 -j ppp_in

$IPT -t filter -A INPUT -j log_drop



# REGOLE DELLA CATENA Di TCP_FLAGS

$IPT -t filter -A tcp_flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT -t filter -A tcp_flags -p tcp --tcp-flags ALL ALL -j DROP

$IPT -t filter -A tcp_flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

$IPT -t filter -A tcp_flags -p tcp --tcp-flags ALL NONE -j DROP

$IPT -t filter -A tcp_flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT -t filter -A tcp_flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPT -t filter -A tcp_flags -p tcp --tcp-flags FIN FIN -j DROP



# REGOLE CATENA DI LOG_DROP

$IPT -t filter -A log_drop -j LOG --log-level warning --log-prefix '<audit>'

$IPT -t filter -A log_drop -j DROP



# REGOLE CATENA DI WARN_DROP

$IPT -t filter -A warn_drop -j LOG --log-level warning --log-prefix '<netfilter warning>'

$IPT -t filter -A warn_drop -j DROP



# REGOLE CATENA DI CHECK_IN

$IPT -t filter -A check_in -p tcp --dport 0:1023 -j warn_drop

$IPT -t filter -A check_in -p udp --dport 0:1023 -j warn_drop

$IPT -t filter -A check_in -p tcp --dport 6000:6063 -j warn_drop

$IPT -t filter -A check_in -p udp --dport 6000:6063 -j warn_drop

$IPT -t filter -A check_in -p tcp --dport 10000 -j warn_drop

$IPT -t filter -A check_in -p tcp --dport 32768 -j warn_drop

$IPT -t filter -A check_in -p udp --dport 32768 -j warn_drop

$IPT -t filter -A check_in -j RETURN



# REGOLE CATENA DI CHECK_OUT

$IPT -t filter -A check_out -p tcp --sport 0:1023 -j warn_drop

$IPT -t filter -A check_out -p udp --sport 0:1023 -j warn_drop

$IPT -t filter -A check_out -p tcp --sport 6000:6063 -j warn_drop

$IPT -t filter -A check_out -p udp --sport 6000:6063 -j warn_drop

$IPT -t filter -A check_out -p tcp --sport 10000 -j warn_drop

$IPT -t filter -A check_out -p tcp --sport 32768 -j warn_drop

$IPT -t filter -A check_out -p udp --sport 32768 -j warn_drop

$IPT -t filter -A check_out -j RETURN



# REGOLE CATENA PPP_IN

$IPT -t filter -A ppp_in -s 192.168.0.0/24 -j warn_drop

$IPT -t filter -A ppp_in -d 192.168.0.0/24 -j warn_drop

$IPT -t filter -A ppp_in -s 127.0.0.0/8 -j warn_drop

$IPT -t filter -A ppp_in -d 127.0.0.0/8 -j warn_drop

$IPT -t filter -A ppp_in -d 224.0.0.0/4 -j DROP

$IPT -t filter -A ppp_in -j check_in

$IPT -t filter -A ppp_in -j tcp_flags

$IPT -t filter -A ppp_in -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPT -t filter -A ppp_in -p icmp --icmp-type 3 -j ACCEPT

$IPT -t filter -A ppp_in -p icmp --icmp-type 0 -j ACCEPT

$IPT -t filter -A ppp_in -p icmp --icmp-type 11 -j ACCEPT

$IPT -t filter -A ppp_in -j log_drop



# REGOLE CATENA PPP_OUT

$IPT -t filter -A ppp_out -j check_out

$IPT -t filter -A ppp_out -p icmp --icmp-type 3 -j REJECT --reject-with icmp-port-unreachable

$IPT -t filter -A ppp_out -p icmp --icmp-type 11 -j REJECT --reject-with icmp-port-unreachable

$IPT -t filter -A ppp_out -j ACCEPT



# REGOLE CATENA DI OUTPUT

$IPT -t filter -A OUTPUT -o ppp0 -j ppp_out



Ogni suggerimento è ben accetto
Ciao

[Kernel Panic!!]

ripensandoci, non è che dopo aver dichiarato IPT devi dargli "export IPT"?

[NZ]

Quote:

Originariamente inviato da Kernel Panic!!
[b]ripensandoci, non è che dopo aver dichiarato IPT devi dargli "export IPT"?

cioè?

Ciao

[Kernel Panic!!]

cioè subito dopo questo
IPT=/sbin/iptables
metti
export IPT
ma dovrebbe essere per render la variabile IPT visibile al di fuori dello script, non credo c'entri molto...

[ilsensine]

Non dovrebbe essere quello; magari all'inizio dello script inserisci
#!/bin/bash

[NZ]

Quote:

Originariamente inviato da ilsensine
[b]Non dovrebbe essere quello; magari all'inizio dello script inserisci
#!/bin/bash

Già provato
non cambia nulla...
...il problema rimane

[Arpeda]

prova invece di

IPT=/sbin/iptables

metti

IPT="/sbin/iptables" ...

cmq anche io ho debian e funziona.

ciao
Arpeda

[NZ]

Quote:

Originariamente inviato da Arpeda
[b]prova invece di
IPT=/sbin/iptables
metti
IPT="/sbin/iptables" ...

proverò.....

Quote:

Originariamente inviato da Arpeda
[b]
cmq anche io ho debian e funziona.

non lo metto in dubbio
...il fatto è che mi sembra di aver fatto tutto quello che andava fatto...
vai a scoprire dov'è l'intoppo...

Ciao

[NZ]

Quote:

Originariamente inviato da Arpeda
[b]prova invece di
IPT=/sbin/iptables
metti
IPT="/sbin/iptables" ...

provato!!!
niente da fare...
..non era lui il colpevole

se vi può essere utile:
ho fatto la seguente prova:
ho aperto lo script con gedit e con un copia&incolla l'ho copiato nella shell!!!
ebbene,facendo questa operazione "manuale" le regole vengono caricate e le posso benissimo vedere con iptables -L
Deduco che allora non è un problema di iptables ne di configurazione del kernel:
ma allora perchè se iptables tenta di leggere da quello script non riconosce la sintassi e mi da errore su tutti i simboli????
stranissimo...
qualche idea???

Ciao

[Kernel Panic!!]

io nel mio script non ho usato la variabile... prova a sostituirla a mano con /sbin/iptables... è un metodo un po' da zappatore, ma se può servire...

[NZ]

Quote:

Originariamente inviato da Kernel Panic!!
[b]io nel mio script non ho usato la variabile... prova a sostituirla a mano con /sbin/iptables... è un metodo un po' da zappatore, ma se può servire...

preverò senza dubbio
più che da zappatore,diciamo che è poco elegante
ma pur fi farlo andare.....

Ciao

[NZ]

Quote:

Originariamente inviato da Kernel Panic!!
[b]io nel mio script non ho usato la variabile... prova a sostituirla a mano con /sbin/iptables... è un metodo un po' da zappatore, ma se può servire...

provato.....non funzia

ho eliminato IPT=/sbin/iptables
e sostituito tutti i $IPT sia con /sbin/iptables che in un secondo tentativo con iptables:
Risultato:
al boot ottengo una miriade di messaggi di errore del tipo:
Iptables: Target name XXXX invalid
dove per XXXX c'è di tutto!!!!
comincio a disperare....

Ciao

[NZ]

tempo fa installai debian da tasksel selezionando sia X che Desktop Enviroment e non ebbi questi problemi di script!!!
Questa volta ho detto NO sia a tasksel che dselect e ho installato i pacchetti che ritenevo utili successivamente!!!
Non vorrei aver dimenticato di installare qualcosa di fondamentale...
...perciò vi allego l'output del comando dpkg -l
spero sia utile...

Ciao

[Arpeda]

non è possibile!!

se io metto il tuo script in un file chiamato pippo
poi gli do i permessi di esecuzione e lo lancio con
./pippo funziona, non vedo perchè a te non dovrebbe andare

hai provato così?

ciao daniele

[NZ]

Quote:

Originariamente inviato da Arpeda
[b]non è possibile!!

perchè ti sembra impossibile???
ripeto: lo script è OK perchè ha sempre funzionato
solo adesso con debian fa i capricci

Quote:

Originariamente inviato da Arpeda
[b]
se io metto il tuo script in un file chiamato pippo
poi gli do i permessi di esecuzione e lo lancio con
./pippo funziona

proverò anche così...

a sto punto purchè funzioni accetto tutto però dovrebbe avviarsi in automatico al boot...
...come è normale che sia

Ciao

[Arpeda]

intanto se funziona così stiamo un passo avanti poi si procederà a farlo partire in automatico.

cmq in rc.d .. ci sono solo dei link simbolici a script che ti avviano determinati servizi ..
quindi, se come ti ho detto, funziona basta che fai un link che punta al tuo script

ciao

[NZ]

Quote:

Originariamente inviato da Arpeda
[b]intanto se funziona così stiamo un passo avanti poi si procederà a farlo partire in automatico.

...e infatti non funziona
faccio:
cd /etc/init.d
./firewall
ed ottengo gli errori che ho descritto in apertura di 3d
non c'è verso di attivare questo maledetto script
Quel che mi fa impazzire è che iptables è installato e la sintassi dello script è corretta...ma allora perchè succede questo???
Pensavo a un pacchetto mancante (vedi allegato precedente) o a qualcosa mal configurata ma non saprei cosa di preciso....
BOH!

Ciao

[Kernel Panic!!]

che stranezze però... l'owner dello script è root? i permessi sono rx r r ?