Freesco, NND, CDN, EOS

Zmieniłem dzisiaj na 13.00 i zrestartowałem "freesco". I tak nie działa .
Co tu jeszcze można zrobić żeby zadziałalo

W rc_user tez zmieniłes ? rc_user jest odpowiedzilny za start blokady w godz zablokowania przy restarcie serwera. Atd uruchamia i wyłacza o okreslonej godzinie.

wpisz:

uc_blok on
ipfwadm -I -l
musi byc wpis.

uc_blok off
ipfwadm -I -l
nie ma wpisu

Jest tak. Wpisuje /nie wiem czy dobrze/:
us_blok on ipfwadm -I -l
wyświetla to:
ipfwadm: setsockopt failed: Invalid argument
ipfwadm: setsockopt failed: Invalid argument
ipfwadm: setsockopt failed: Invalid argument
ipfwadm: setsockopt failed: Invalid argument
ale co ciekawe w kazie pisze connecting /ok 1min. -to juz dłużej/ ale i tak po chwili się łączy.
Za to WinMX nie łączy się już /do us_blok dopisałem 2 linijki dla WinMX
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 6699
ipfwadm -I $par reject -P udp -S $1 -D 0/0 6699

a jak wpisuje us_blok off ipfwadm -I -l to faktycznie nie ma wpisów.
Tylko teraz gdzie to dopisać /co zmienić - jeśli to ma tak działać/.

uc_blok on ipfwadm -I -l ale nie w jednej linii

robisz blokade:
uc_blok on
sprawdzasz czy jest:
ipfwadm -I -l

sa cztery wpisy i cztery odwolania, ktorych nie ma to i pisze blady (zobacz poprzednie moje wypowiedzi)

nowa zablokuje to (podobno)

ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1000:5000
ipfwadm -I $par reject -P udp -S $1 -D 0/0 1000:5000

Tylko teraz gdzie to dopisać /co zmienić - jeśli to ma tak działać/.

Masz juz wszystko, bedzie sie robiło automagicznie
przy restarcie w godz 14.00 - 21.00 uruchamia sie z rc_user
o godz. 14.00 z atd a o godz. 21.00 atd wylaczy blokadę.

A nie można tego dopisać do plików atd i rc_user np.
plik atd
...
us_blok
ipfwadm -I -l
fi
...

...
us_blok off
ipfwadm -I -l
fi
...

plik rc_user
...
us_blok on
ipfwadm -I -l
fi
...

Czy tą blokade mam uruchamiać za każdym razem /bo nie bardzo teraz rozumiem zasadę działania/. Czy będzie się uruchamiać codziennie w tych godzinach automatycznie, czy muszę za każdym razem restartować freesco i wpisywać tą komendę us_blok on ipfwadm -I -l

Trochę tu zamieszania, więc zacznę jeszcze raz, jakie wpisy są w tablicy, co wyświetla komenda:opcja -e pokaże ile pakietów spełniło już regułę.
Po wydaniu z palca us_block on, reject na port 1214 dla udp i tcp powinny wystąpić jako pierwsze i uruchomiona kaza powinna ciągle podwyższać wartość odrzuconych pakietów.

U mnie wygląda to tak (pierwsze cztery wpisy)
Jak widać ostatni trafia w sedno, ale trzeba dmuchać na zimne

Co do niektórych przykładów:
1. wydanie powyższego polecenie w us_block mija się z celem.
2. pojawiające się komendy ipfwadm w rc_user to nie temat tego odcinka, po co są więc przytaczane?
3. zamieszczony przez Piotrka wynik działania tego polecenia swiadczy nie tylko o nieprawidłowym działaniu skryptu - brak blokady 1214 na początku listy, ale o dopuszczeniu połączeń dla różnych IP i dowolnych portów (to chyba z nieszczęsnego rc_user

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Ręce opadają
Przeciez na mojej stronie i u Kipy jest wszystko napisane tylko przepisac

Powiem więcej, czasem tracę nadzieję, że sobie damy radę w tej EUROPIE.
Myślałem że to żart, że nie potrafimy czytać ze zrozumieniem. A jednak to częste przypadki.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Cizus. Dla sprostowania, skrypt tak jakby działa.
Te cztery wpisy pojawiają się w logach po wpisaniu us_blok on, WinMX jest zablokowany /Kaza nie - pewnie dlatego że jest to wersja 2.0, ale kij w nią, trudno/.
1. Dlaczego blokada nie wyłącza się o zadanej godzinie
2. Dlaczego po wpisaniu us_blok on o godz. np. 9.00, blokada uaktywnia się skoro w skrypcie jest ustawione że ma się uruchomić o godz. 13.00
3. Jeśli na pytanie 2 odpowiedź brzmi: wpisując o godz. 9.00 us_blok on blokada uruchomi się od razu nie czekając do godz. 13.00. W takim razie po co w skrypcie wpisuje się godz. od kiedy blokada ma działać Czy nie jest to skrypt, który będzie się uruchamiał codziennie od 13.00 i o 21.00 wyłączał
Co poczyniłem i nic z tego.
Wywaliłem nawet wpisy w rc_user /związane z blokadą wszystkich IP'ków dla całej sieci i odblokwoanych dla "wybrańców"/ ale skrypcik i tak działa jak to opisałem w pytaniu 1 i 2.

1. Sam skrypt us_blok tylko wykonuje odblokowanie i blokowanie portów.
2. Jeżeli chodzi o czasy, za to odpowiada skrypt atd i ten wywołać ma us_blok on lub us_blok off dokładnie o wyznaczonej godzinie (co do minuty). Jak pisałem atd ładuje się do pamięci po starcie i jego zmiany wymagają każdorazowo restartu (lub usunięcia z pamięci i uruchomienia raz jeszcze), o czym też pisałem. Pliki muszą posiadać atrybut wykonywalności, a atd ma zostać uruchomiony w tle przy starcie.
3. Natomiast za blokadę przy starcie odpowiada fragment w rc_user, który w pewnym zakresie czasowym uruchamia us_blok on. Trzeba w warunkach podać odpowiednie godziny.

Jak już będzie Ci działać napisz co spieprzyłeś, to dam ostrzeżenia na stronie, jakich błędów mają inni unikać i na co zwracać większą uwagę. Bo to, że jak nie działa to należy uważnie jeszcze raz przeczytać to już umieściłem na stronie, ale niektórzy chyba uważnie nie czytają.
Nie znam się na kazach i innych zamulaczach, więc stwierdzenie kaza chodzi lub nie, niewiele mi mówi, odpowiedź powinna brzmieć - Port 1214 zablokowany, albo nie.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

1. Dlaczego blokada nie wyłącza się o zadanej godzinie
Nie wiem skopales cos w atd
2. Dlaczego po wpisaniu us_blok on o godz. np. 9.00, blokada uaktywnia się skoro w skrypcie jest ustawione że ma się uruchomić o godz. 13.00
Wywolanie us_blok on kiedykolwiek powoduje założenie blokady a us_blok off wyłaczenie a o 13.00 i tak sie uruchomi

z us_blok jest tak:

us_blok on
powoduje wlaczenie blokady

us_blok off
powoduje wylaczenie blokady

obojetnie kiedy (o jakiej godzinie) wpiszesz us_blok on/off to zablokuje/odblokuje
DOKLADNY OPIS us_blok:

#!/bin/sh # Nie wiem poco ale to musi byc
. /etc/system.cfg # Zmienne moga byc pobierane z pliku konfiguracyjnego systemu

blokuj () #funkcja blokuj wywolywana z parametrami :
# adres_sieci on/off
{
if [ $2 = on ];then #jesli wywolana z drugim parametrem on
par=-i # zmienna par przyjmuje wartosc -i
else # w przeciwnym wypadku (off)
par=-d # zmienna par = -d
fi
#tu nastepuje zablokowanie -i lub odblokowanie -d
# -i powoduje wpis w firewalu
# -d powoduje skasowanie wpisu w firewalu
# mozna obejrzec wpisujac ipfwadm -I -l |more
ipfwadm -I $par reject -P tcp -S $1 -D 64.245.58.0/24 21
ipfwadm -I $par reject -P tcp -S $1 -D 64.245.59.0/24 21
ipfwadm -I $par reject -P tcp -S $1 -D any/0 1214
} # koniec funkcji blokuj

NET0=$NETWORK0/$NETMASK0 # Adres sieci z pliku konfiguracyjnego np 192.168.0.0/24

if [ "$NETWORK0" ]; then #mamy siec na eth0 (w zasadzie niepotrzebne)
blokuj $NET0 off # wylaczamy blokade by sie wpisy nie mnozyly
if [ "$1" = on ]; then # wywolano us_blok on
blokuj $NET0 on # no to blokujemy
fi
fi


z atd jest tak:

#!/bin/sh #j.w.
while :; #do nieskonczona petla dzila w kółko
sleep 60 2>/dev/null; C=`/bin/date +%H%M`# czekaj 60 sekund, sprawdz godzine i minute

if [ $C = 0730 ]; then # jesli godzina i minuta =0730 us_blok on # blokujemy
fi


if [ $C = 1700 ]; then #jesli godzina i minuta =1700
us_blok off # odblokowujemy
fi
# w innych godzinach nie robimy nic i śpimy dalej
done


1. uruchamia sie z rc_user (wpis na koncu rc_user)
2. sprawdza godzine i minute
3. jesli godzina i minuta = 1300 uruchamia us_blok on
4. jesli godzina minuta = 2300 uruchamia us_blok off
5. zasypia na 60 sekund
6. budzi sie i idzie do punktu 2

z rc_user jest tak:
sekcja firewall uruchamiana z rc_masq:

C='/bin/date +%H%M' # %H%M # sprawdza godzine i minute
if [ $C -ge 1400 -a 2100 -ge $C ]; then #. jesli godzina i minuta > 1400 i jednoczesnie godzina i minuta<2100
us_blok on # uruchamia us_blok
fi #jesli nie nic nie uruchamia




fork /mnt/router/etc/atd # Uruchomienie demona at
na koncu uruchamiania wywolany jeszcze raz rc_user uruchamia atd




3. Jeśli na pytanie 2 odpowiedź brzmi: wpisując o godz. 9.00 us_blok on blokada uruchomi się od razu nie czekając do godz. 13.00. W takim razie po co w skrypcie wpisuje się godz. od kiedy blokada ma działać Czy nie jest to skrypt, który będzie się uruchamiał codziennie od 13.00 i o 21.00 wyłączał

W atd wpisuje sie po to by zalaczal sie automagicznie w godzinach wyznaczonych kazdego dnia (codziennie)
W rc_user wpisuje sie po to by zalaczal sie automagicznie w godzinach wyznaczonych kazdego dnia w przypadku restartu systemu

Pokaz jeszcz raz swoje:
atd
us_blok
rc_user
a odpowiem na 1

Jeszcze raz podkreslam blokada z atd WŁĄCZA/WYŁACZA sie tylko i wylacznie o OKRESLONEJ w skrypcie godzinie/minucie
A ta z rc_user w przypadku RESTARTU serwera w godzinach BLOKOWANIA

Uff, to by było na tyle.

Tak, pisanie trochę zabiera czasu, więc się streszczałem i skończyłem szybciej.

Za to teraz masz dwa razy to samo - innymi słowami - jest więc nadzieja, że zrozumisz o czym czytałeś na naszych stronach

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Wstyd sie przyznać...
A ja zrobiłem dziecinny błąd:
Przepisując skrypt rc_user ze strony Zciecha nie wpisałem znaku " w dwóch miejscach (po prostu ich nie zauważyłem).

echo -n "Stopping rc_user... "
i
echo -n "Starting rc_user... "

Dodam, że w oryginalnym skrypcie było, a tu jest tak dziwnie oddalone (pewnie po trzech tabulatorach)
Po wyeliminowaniu tego uchybienia z mojej strony Kaza nawet nie drgnie. Oczywiście zablokowałem porty 1000:5000. Po zblokowaniu tylko 1214 łączyła się.
Jestem wreszcie całkowicie usatysfakcjonowany
Dzięki Wszystkim za pomoc

Pozdrawiam
--
Radzio

Pozwól, że jako komentarz zacytuję sam siebie:


Po co przepisywałes wszystko, wystarczyło dopisac.

Od dwóch dni próbuje zrobić coś z tym skryptem żeby się w końcu uruchomił, ale nic z tego nie wychodzi /tj. porty nie blokują się/. Pomijam tutaj już kazę 2.0 której nie jest nic w stanie zablokować, dlatego próbuje na WinMX /używa portu 6699/. Skrypt i inne wpisy w plikach są poprawnie przepisane /napewno/. Robiłem nawet nową dyskietkę z freesco bez żadnych dup..eli, też nic.
Jeśli komuś ten skrypt działa i byłby tak dobry to niech podrzuci mi te trzy pliki /atd, rc_user, atd/ na skrzynkę . Może faktycznie robię coś nie tak.

Pokaz je nam a my Ci powiemy co masz zle. OK

Plik atd:
#!/bin/sh
#
# This is a rustic "at" daemon (a:\router\etc\atd)
#
# In this example at 09:00 atd executes 'control unblock' command
# and at 18:15 atd executes 'control block'
#
# Just change times and commands for your needs
# and start atd from rc_user with command 'fork atd'

while :; do
sleep 60 2>/dev/null; C='/bin/date +%H%M'

if [ $C = 1300 ]; then
us_blok on
fi


if [ $C = 2100 ]; then
us_blok off
fi

done

Plik us_blok: - ma nadany atrybut wykonywalności: chmod +x /mnt/router/rc/us_blok
#!/bin/sh
. /etc/system.cfg

blokuj ()
{
if [ $2 = on ]; then
par=-i
else
par=-d
fi
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 1214
ipfwadm -I $par reject -P udp -S $1 -D 0/0 1214
ipfwadm -I $par reject -P tcp -S $1 -D 0/0 6699
ipfwadm -I $par reject -P udp -S $1 -D 0/0 6699
}

NET0=$NETWORK0/$NETMASK0

#podstawowa siec
if [ "$NETWORK0" ]; then
blokuj $NET0 off
if [ "$1" = on ]; then
blokuj $NET0 on
fi
fi

Plik rc_user:
#!/bin/sh
#
# User startup/shutdown and firewall script.

. /etc/system.cfg
. /etc/live.cfg
. /etc/chat.pwd


if [ "$1" = firewall ]; then
# Add your custom firewall rules here. Warning, incorrect rules could
# leave your system insecure. $INET always represents the internet
# interface. These rules come before standard system rules. Example:
# reject incomming tcp connections to port 22 from the internet and log
#ipfwadm -I -a reject -P tcp -W $INET -D 0.0.0.0/0 22 -y -o

ipfwadm -I -i accept -P tcp -S 0/0 -r 80
ipfwadm -I -i accept -W eth0 -S 10.1.1.86
ipfwadm -I -i accept -W eth0 -S 10.1.1.90
ipfwadm -I -i accept -W eth0 -S 10.1.1.96
ipfwadm -I -i accept -W eth0 -S 10.1.1.97
ipfwadm -I -i accept -W eth0 -S 10.1.1.121
ipfwadm -I -i accept -W eth0 -S 10.1.1.137

C='/bin/date +%H%M'
if [ $C -ge 1300 -a 2100 -ge $C ]; then
us_blok on
fi



#---------------------------------------------------------------------
exit; fi

if [ "$1" = stop -o "$1" = restart ]; then
echo -n "Stopping rc_user...III"
# Add commands here you want to execute when shutting down or rebooting.
# Be careful not to use any commands which wait for user input.




#----------------------------------------------------------------------
$DONE; [ "$1" = stop ] && exit; fi

echo -n "Starting rc_user...III"
# Add commands here you want to execute when booting. Use the fork
# command to launch programs which normally stay in the foreground.

fork /mnt/router/etc/atd

#----------------------------------------------------------------------
$DONE

Plik us_blok: - ma nadany atrybut wykonywalności: chmod +x /mnt/router/rc/us_blok

us_blok powinien byc w /mnt/router/etc

Sprawdzilem us_blok jest OK blokuje/odblokowuje bez blędu.

jest:
w atd -
sleep 60 2>/dev/null; C='/bin/date +%H%M'
w rc_user -
C='/bin/date +%H%M'
ma być:
C=`/bin/date +%H%M`
sleep 60 2>/dev/null; C=`/bin/date +%H%M`

Te dzióbki to znak ` ten nad tabem (~`):!: a nie ' ten z "

ehm... jakby to powiedzieć nie działa dale /tj. nie blokuje portów/
Próbowałem także w poniższym fragmencie pliku us_blok dać to: " , ale też nic
if [ "$2" = on ]; then
par="-i"
else
par="-d"

Mam nadzieję, ze poprawiłes atd i rc_user
us_blok masz napewno dobry bo przekopiowalem to do siebie do pliku, uruchomilen i mialem wpisy.

wpisz:
us_blok on
a potem:
ipfwadm -I -l |more a zobaczysz, ze blokada jest.
Jeśli w rc_user jest dobrze to w godzinach blokowania przy restarcie po linii o uruchomienui firewalla masz kilka linii (4) informacjii o bledzie, tak ma byc.

Z ATD uruchamia/wylacza sie tylko i wylacznie o godzinie podanej w ATD wszelkie zmiany w ATD sa widoczne dopiero po reboocie To co tam wpisałeś da o sobie znac o 13.00 (wywola us_blok on) i 21.00 (wywoła us_blok off)
Zrob reboot i blokada zadziała.
Potrzebne pliki:
/mnt/router/etc/us_blok
/mnt/router/etc/atd
/mnt/router/rc/rc_user

Przeczytaj ten watek jeszcze raz, moja strone, Kipy, inne watki o blokowaniu (średnio są dwa na tydzień)

Działa. Chyba oszaleję z radości.


1. Błąd był w takim razie w tych znaczkach ' a miało być to ` .
2. Plik us_blok był w katalogu /rc, a ma być w /etc.

Dzięki za pomoc i sorki za zawracanie głowy.