Iptables dauerhaft IP blocken?

[vopa]

Hallo,

bin noch recht neu in Linux und wollte mal wissen wie ich auf meinem Debian Lenny IPs dauerhaft blocken kann?
Also Befehl wäre iptables -A INPUT -s HIER_IP -j DROP
Bloß nach einem Reboot sind die geblockten IPs immer weg.

Wie kann ich das nun dauerhaft lösen? Brauch ich dazu ein Script oder ein Tool?
Kann ich die Befehle vielleicht auch beim starten direkt ausführen lassen?
Wenn ja, bitte mit Erklärung. Bin da noch nicht so bewandert



Mfg

 

[Goodspeed]

Wenn es wirklich nur eine Zeile ist, wäre es das Einfachste, diese in die /etc/rc.local zu schreiben (vor das exit 0). Da wird die dann bei jedem Boot mit ausgeführt ...

 

[Buchi]

...oder das "Script" mit

iptables-save

oder

/etc/init.d/iptables save

speichern.

MfG,
Buchi

 

[bitmuncher]

Folgendes in die /etc/init.d/firewall

#!/bin/bash

IPTABLES=/sbin/iptables # bei bedarf den pfad anpassen

case "$1" in 
start)
  echo "Starte Firewall"
  # erstmal alles sauber machen
  $IPTABLES -F
  $IPTABLES -X
  $IPTABLES -t nat -F
  # hier kann dein iptables-Befehl folgen
  ;;
stop)
  # erstmal alles sauber machen
  $IPTABLES -F
  $IPTABLES -X
  $IPTABLES -t nat -F
  ;;
*)
  echo "Usage: `basename $0` {start}" >&2
  exit 64
  ;;
esac

exit 0

Das Ganze ausführbar machen und für die entsprechenden Runlevel aktivieren. So kannst du deine Firewall bei Bedarf jederzeit erweitern.

 

[vopa]

Ok das habe ich soweit eingetragen und auf 755 gemacht und ausgeführt. Klappt schonmal alles, also die Ips stehen schon drinne wenn man iptables -L INPUT aufruft.


Wie trage ich das jetzt in der /etc / inittab ein?

# Format:
# <id>:<runlevels>:<action>:<process>




Mfg

 

[daboss]

(Zumindest unter Debian und Derivaten)

update-rc.d <scriptname> defaults

 

[vopa]

xx:~# update-rc.d firewall defaults
update-rc.d: warning: /etc/init.d/firewall missing LSB information
update-rc.d: see <http://wiki.debian.org/LSBInitScripts>
Adding system startup for /etc/init.d/firewall ...
/etc/rc0.d/K20firewall -> ../init.d/firewall
/etc/rc1.d/K20firewall -> ../init.d/firewall
/etc/rc6.d/K20firewall -> ../init.d/firewall
/etc/rc2.d/S20firewall -> ../init.d/firewall
/etc/rc3.d/S20firewall -> ../init.d/firewall
/etc/rc4.d/S20firewall -> ../init.d/firewall
/etc/rc5.d/S20firewall -> ../init.d/firewall


ist das normal?

 

[bitmuncher]

Das Skript ist nicht 100% LSB-konform. Kannst es ja nach den im Wiki beschriebenen Anforderungen anpassen oder du ignorierst diese Warnung einfach. Die Links wurden ja offenbar korrekt gesetzt, wie ein Blick in die rcX.d-Verzeichnisse dir auch zeigen wird. Mit der inittab hat das übrigens nichts zu tun.