Модератор: terminus
Если честно, я вообще не понял зачем cron нужен в данном, довольно-таки щепетильном вопросе, так сказать. for не пойдет, while в самый разparadox писал(а):не понятно почему тот же for нельзя было сразу добавить в тот скрипт
а нужно какието сложности и лезть в crontab .... у вас кошмарно неправильная логика
Зачем мне эти сложнасти ваши, зачем в одну линию..кикието слеши..у меня деградированный список скачанный с сервера его надо добавлять у меня скрипт готовый он работает всё добовляет но когда система уже работает я захожу выполяню и он загружает айпи адреса,каторые расположенны в файле ,у меня на видь простая задача как мне этот скрипт запустить после ipfw потомушто видемо cron запускаетца до ipfw а не после и айпи адреса попросту не пишутца...reLax писал(а):Зачем ты lo0 сначала разрешил а потом прирезал ?:)warzoni писал(а):reLax писал(а):Что он очищает когда грузится ? Грузится откуда ? с rc.firewall. Не понимаю, что он там очистить может после _грамотного_ добавления в таблицу IP-адресов в конце ?paradox писал(а):к тому же еще тонкость
фаервол когда грузиться - стандартный
он все очищает
так чтоотключи фаер
и посмотри что с таблицей после загрузки системы
есть или нетКод: Выделить всё
rc.conf firewall_enable="YES" firewall_script="/usr/local/etc/ipfw"Код: Выделить всё
#!/bin/sh ipfw -q flush ipfw -q pipe flush ipfw -q queue flush ######### ipfw -q add pass all from any to any via lo0 ipfw -q add deny all from any to 127.0.0.0/8 ipfw -q add deny ip from 127.0.0.0/8 to any ##### ipfw -q add allow ip from 'table(2)' to 'table(1)' via vr1 ipfw -q add allow ip from 'table(1)' to 'table(2)' via vr1
Корочеcat /root/ua (при условии, что IP вида 192.168.0.0/24\n192.168.1.0/24\n192.168.2.0/24\n и тд)Код: Выделить всё
#!/bin/sh ipfw -q flush ipfw -q pipe flush ipfw -q queue flush ######### ipfw -q add pass all from any to any via lo0 ipfw -q add deny all from any to 127.0.0.0/8 ipfw -q add deny ip from 127.0.0.0/8 to any ##### /root/ua ipfw -q add allow ip from 'table(2)' to 'table(1)' via vr1 ipfw -q add allow ip from 'table(1)' to 'table(2)' via vr1Код: Выделить всё
#!/bin/sh FILE="/root/ua" while read LINE do /sbin/ipfw -q table 1 add $LINE done < $FILE
Код: Выделить всё
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
...
ясно ну так помогите мне загружать айпи адреса!как их засунуть в table 1reLax писал(а):Символ "\n" - вообще-то это перенос строки. Это я так для наглядности. Тоже самое, что и:Код: Выделить всё
192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 ...
я же уже показал как - http://forum.lissyara.su/viewtopic.php? ... 20#p192849warzoni писал(а):ясно ну так помогите мне загружать айпи адреса!как их засунуть в table 1reLax писал(а):Символ "\n" - вообще-то это перенос строки. Это я так для наглядности. Тоже самое, что и:Код: Выделить всё
192.168.0.0/24 192.168.1.0/24 192.168.2.0/24 ...
вот я и не понял зачем ты полез в кронтабпарадокс,ну блин я незнаю как ещё сказать помогите мне добавить айпи адреса из текстового файла в таблицу фаервола чтобы не заходить на шел и не запускатьс крипт постоянно )) когда система ребутнётца или свет пропадёт )))
добовляю с крипт ipfw Этоparadox писал(а):вот я и не понял зачем ты полез в кронтабпарадокс,ну блин я незнаю как ещё сказать помогите мне добавить айпи адреса из текстового файла в таблицу фаервола чтобы не заходить на шел и не запускатьс крипт постоянно )) когда система ребутнётца или свет пропадёт )))
когда у тебя есть скрипт который все грузит
его и редактируй
Код: Выделить всё
#!/bin/sh
for i in `grep "^[1-9]" /root/ua`
do
/sbin/ipfw -q table 1 add $i
doneКод: Выделить всё
#!/bin/sh
while read ip
do
ipfw -q table 1 add $ip
done < /root/uaКод: Выделить всё
sh -vx /etc/ipfwКакие люди! Мы о тебе с Лехой вчера позавчера вспоминали.reLax писал(а):в студиюКод: Выделить всё
sh -vx /etc/ipfw
привет ! Да ну что ты ))Andy писал(а):Какие люди! Мы о тебе с Лехой вчера позавчера вспоминали.reLax писал(а):в студиюКод: Выделить всё
sh -vx /etc/ipfw
Я думал тебя завалили уже
канешно естьlissyara писал(а):2 тредстартер
а таблица есть в момент запуска скрипта?
ну я не совсем пойму что это но на ))reLax писал(а):привет ! Да ну что ты ))Andy писал(а):Какие люди! Мы о тебе с Лехой вчера позавчера вспоминали.reLax писал(а):в студиюКод: Выделить всё
sh -vx /etc/ipfw
Я думал тебя завалили уже
Код: Выделить всё
ocal# sh -vx /etc/ipfw
/etc/ipfw: Can't open /etc/ipfw: No such file or directoryон имел ввидуsh -vx /usr/local/etc/ipfw
paradox писал(а):он имел ввидуsh -vx /usr/local/etc/ipfw
вы ж тоже думайте что вам говорят
Код: Выделить всё
local# sh -vx /usr/local/etc/ipfw
#!/bin/sh
ipfw -q flush
+ ipfw -q flush
ipfw -q pipe flush
+ ipfw -q pipe flush
ipfw -q queue flush
+ ipfw -q queue flush
#########
ipfw -q add pass all from any to any via lo0
+ ipfw -q add pass all from any to any via lo0
ipfw -q add deny all from any to 127.0.0.0/8
+ ipfw -q add deny all from any to 127.0.0.0/8
ipfw -q add deny ip from 127.0.0.0/8 to any
+ ipfw -q add deny ip from 127.0.0.0/8 to any
#####
ipfw -q add allow ip from 'table(2)' to 'table(1)' via vr1
+ ipfw -q add allow ip from table(2) to table(1) via vr1
ipfw -q add allow ip from 'table(1)' to 'table(2)' via vr1
+ ipfw -q add allow ip from table(1) to table(2) via vr1Код: Выделить всё
ipfw -q add allow ip from 'table(2)' to 'table(1)' via vr1Код: Выделить всё
/там где-то/свой скриптКод: Выделить всё
#!/bin/sh
fwcmd="/sbin/ipfw"
iif="msk0"
priv_dummynet="250 234 23 33"
norm_dummynet="43 233 30 96"
i=0
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
#---BEGIN DUMMYNET---#
${fwcmd} table 3 flush
while [ $i -le 255 ];
do
${fwcmd} table 3 add 172.17.2.${i}
i=`expr $i + 1`
done
${fwcmd} table 1 flush
for line in ${priv_dummynet}
do
${fwcmd} table 1 add 172.17.2.${line}
${fwcmd} table 3 delete 172.17.2.${line}
done
${fwcmd} table 2 flush
for line in ${norm_dummynet}
do
${fwcmd} table 2 add 172.17.2.${line}
${fwcmd} table 3 delete 172.17.2.${line}
done
#---PRIVELEGED---#
${fwcmd} pipe 1 config mask src-ip 0xffffffff bw 1024Kbit/s
${fwcmd} queue 11 config pipe 1 weight 80 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 12 config pipe 1 weight 80 queue 20 mask src-ip 0xffffffff
${fwcmd} add queue 11 ip from table\(1\) to any in via ${iif}
${fwcmd} add queue 12 ip from any to table\(1\) out via ${iif}
#---NORMAL---#
${fwcmd} pipe 2 config mask src-ip 0xffffffff bw 368Kbit/s
${fwcmd} pipe 3 config mask src-ip 0xffffffff bw 128Kbit/s
${fwcmd} queue 21 config pipe 3 weight 50 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 22 config pipe 2 weight 50 queue 20 mask src-ip 0xffffffff
${fwcmd} add queue 21 ip from table\(2\) to any in via ${iif}
${fwcmd} add queue 22 ip from any to table\(2\) out via ${iif}
#---OTHERS---#
${fwcmd} pipe 4 config mask src-ip 0xffffffff bw 256Kbit/s
${fwcmd} pipe 5 config mask src-ip 0xffffffff bw 64Kbit/s
${fwcmd} queue 31 config pipe 4 weight 30 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 32 config pipe 4 weight 20 queue 20 mask src-ip 0xffffffff
${fwcmd} queue 41 config pipe 5 weight 25 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 42 config pipe 5 weight 25 queue 20 mask src-ip 0xffffffff
${fwcmd} add queue 31 ip from table\(3\) to any not dst-port 143,5190 in via ${iif}
${fwcmd} add queue 32 ip from any not 143,5190 to table\(3\) out via ${iif}
${fwcmd} add queue 41 ip from table\(3\) to any dst-port 143,5190 in via ${iif}
${fwcmd} add queue 42 ip from any 143,5190 to table\(3\) out via ${iif}
Они и должны быть пустыми изначально,их содаёт пустими скрипт каторый я прописал в rc.conf скирпт называетца ipfw каторый расположен /usr/local/etc/ipfw здесьreLax писал(а):Ты сам чтоли не видишь, что у тебя таблицы изначально пустые и не назначены вообще ?
Код: Выделить всё
local# cat /usr/local/etc/ipfw
#!/bin/sh
ipfw -q flush
ipfw -q pipe flush
ipfw -q queue flush
#########
ipfw -q add pass all from any to any via lo0
ipfw -q add deny all from any to 127.0.0.0/8
ipfw -q add deny ip from 127.0.0.0/8 to any
#####
/usr/local/etc/ipfwuaa.sh
ipfw -q add allow ip from 'table(2)' to 'table(1)' via vr1
ipfw -q add allow ip from 'table(1)' to 'table(2)' via vr1reLax писал(а):Ну наконец-то понял )))
P.S. а насчет lo0 пересмотри правила - ты на lo0 сначала разрешаешь пакеты, потом с 127.0.0.1 (lo0) и банишь их.
в мане я так опнял токо по номерам показанно..Код: Выделить всё
#!/bin/sh
FWCMD="/sbin/ipfw"
COUNTER=0
COUNT_OF_TABLES=10
while [ $COUNTER -le $COUNT_OF_TABLES ]
do
COUNTER=`expr $COUNTER + 1`
STDOUT=`$FWCMD table $COUNTER list`
if [ -n "$STDOUT" ]
then
printf "Table $COUNTER list:\n$STDOUT\n"
fi
done
между lo0 и 127.0.0.0/8 есть большая смысловая разница - loopback интерфейс и диапазон адресов.reLax писал(а):Ну наконец-то понял )))
P.S. а насчет lo0 пересмотри правила - ты на lo0 сначала разрешаешь пакеты, потом с 127.0.0.1 (lo0) и банишь их.
Привык просто к pf.