Freesco, NND, CDN, EOS

Witam.

Chcę napisać skrypt który będzie pobierał dane z mysql i na podstawie tego będzie modyfikował wpisy w iptables. Cron będzie ten skrypt wykonywał co jakiś czas.

To ma być coś w rodzaju obecnych na forum skryptów do blokowania internetu wyświetlania powiadomień tylko na innej zasadzie. Na początku chciałem użyć plików tekstowych ale mając sql do dyspozycji chcę go wykorzystać. W bazie mają być zapisywane dane kto co i na jak długo, aby po restarcie serwera nie trzeba było blokować wszystkich od nowa. Przez interfejs www admin może zmieniać wpisy w bazie a skrypty działające na serwerze pobiorą sobie info z bazy i zmodyfikują odpowiednio iptables.

Da się całość w perlu? W shellu jest podobno są mocno ograniczone zapytania mysql. Czy może pobierać dane za pomocą perla przekazać do shela i w shelu modyfikować iptables.

Czy jak co 5 min będzie aktualizowane iptables to się coś nie rozleci czasami?

Mi się wydaje że za pomocą perla wywoływać skrypty shela które będą tylko modyfikować iptables.

Podsunie ktoś jakiś pomysł? Byłbym bardzo wdzięczny.

to tez juz bylo rozwiazane


jesli pozadnie zrobisz skrypt to napewno nic nie zepsuje.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Może post jest przedawniony ale temat jak widze nie został dokończony.

Do autora tekstu:
Jest jeden ciekawy sposób na zrobienie dynamicznego firewalla z użyciem chociażby strony internetowej z php. Sam coś takiego zastosowałem.
PHP bardzo dobrze komunikuje cię z mysql i to rozwiąże twój problem z ilością zapytań. Poza tym w bardzo prosty sposób można dodawać i odejmować wiersze tabel.

Ja zrobiłem to w ten sposób.
Dla bezpieczeństwa shell ma tylko przekazywać zmienne do skryptu firewalla. Napisałem więc plik konfiguracyjny. Dla przykładu np plik user.conf:
192.168.1.2|00:22:11:33:11:22|ACCEPT|
W firewallu 3 pętle wczytują odpowiednie komórki to zdefiniowanych regułek firewalla Forward czy Prerouting. Skrypt więc uruchamia się tylko raz i czyści łańcuchy u buduje jeszcze raz.
Teraz część konfiguracyjna. Mam jeden index.php do którego jak chce się dostać to musze przejść autoryzację przez apache i później inne hasło porównuje php z tym co ma w mysql.
Strona wyświetla mi komórki takie jak adres ip. nazwe uzytkownika, oraz dostep. Jesli chce gościa zablokować to wybieram opcje zablokuj i informacje te zapisywane są w bazie danych (nie jako zablokuj a DROP) i w pliku user.conf, oraz... w pliku instrukcja. W tym pliku zapisuje się tylko cyferka 1.
Teraz cron. On odpala plik co 1 minute. Ze wzgledu na to że nie chce obciążenia systemu co minute więc skrypt shella wchodzi do pliku instrukcja i czyta czy ma tam 0 czy 1. Jesli ma 1 to.. Zamienia 1 na 0 i odpala firewalla który pobiera zmienne z pliku user.conf. Jesli ma zapisane że ma 0 to nie robi nic.
Sam pomysł jest zabezpieczony w jeszcze jeden sposób. PHP w razie awarii mysql ma wyłączyć wszystkie przyciski które miałyby posłyżyć zatwierdzeniu zmiennych. Wiadomo że jesli mysql da mi głupoty na ekran to po zapisaniu konfiguracji przez strone php wszystko pójdzie do pliku konfiguracyjnego a wtedy byłaby lipa. Warto się zabezpieczyć i raz dziennie robić kopie plików.

Można również zastosować LMS, no ale najpierw to trzeba go zainstalować, a to już wymaga nie lada fikołków. Poza tym ja chce żeby skrypt robił to co ja od niego wymagam a nie rzeczy ponad to czego chcę

Pozdrawiam
oskareck

Ja tez cos takiego u siebie wykombinowalem, ale jak widze wszystkie te
rozwiazania maja wspolna ceche. W sumie sama baza nie ma co sobie
zawracac glowy od strony opisow bo rzeczywiscie przy pomocy php i mysql
mozna generowac dowolne ciagi znakow i w ten sposob tworzyc pliki bash do
wykonania. I wlasnie tak mam zrobione u siebie, ze przy po wykryciu odpowiednich
warunkach jest generowany odpowiedni plik, pozniej jest on wykonywany, a na
samym koncu jest kasowany dla bezpieczenstwa.
Zeby ograniczyc obciazalnosc systemu i zeby niewpisywac i kasowac na okraglo
odpowiednich bałwan jestem to zmiany sa wykonywane tylko w razie wykrycia
roznicy w stanie aktualnym od stanu poprzedniego. Tak tez sie dzieje z
plikiem startowym firewall. Czyli jesli juz zostanie dokonana jakas zmiana
w pliku firewall to nawet restart systemu nic niezmieni. Zaladuja sie od nowa
te same regulki wraz ze zmianami jakie zostaly wykonane.