Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 744 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ipfilter.local does not work in ASL 4 ?

Patrick_Sandberg
Hello all,

Does the /etc/rc.d/ipfilter.local file still work under ASL4 ?

I need it because I cannot filter out traffic to 224.0.0.1 proto UDP DSP=5000 using the WebAdmin GUI, I have zillionchecked my filter rule and it refuses to work.

Entering the below into the ipfilter.local file will definately DROP these requests, but only if I manually run it every reboot...
/usr/local/sbin/iptables -I INPUT -d 224.0.0.1/24 -j DROP

So, does it work and how should it look like to work?

Cheers,
Patrick    


This thread was automatically locked due to age.
  • 0

    chown root:root ipfilter.local
    chmod 400 ipfilter.local # only root has read access

    Maybe the permissions were altered accidentally??
      
  • 0 in reply to SecApp
    Hey! Now it works, that one was tricky. I could not find any references to this file in the user manual...

    The only outstanding issue is that the file is apparently read every time there is a change to the filters which cause every rule to be entered multiple times, so far I'm up at 7 times for each iptables command. Is there a simple way to check for this and not get these reloaded all the time?

    This is my current file content:
    /usr/local/sbin/iptables -I INPUT -p udp --destination-port 5000 -d 224.0.0.1/24 -j DROP
    /usr/local/sbin/iptables -I INPUT -p udp --destination-port 137:139 -j DROP
    /usr/local/sbin/iptables -I INPUT -p tcp --destination-port 135 -j DROP

    Why I have the above rules, well I have found that ASL is having problems with DROPs on the broadcast addresses, the above will simply kill all Netbios regardless of being towards the broadcast or not. and some stubborn person flooding my line with UDP port 5000 to 224.0.0.1

    Cheers,
    Patrick  
  • 0 in reply to Patrick_Sandberg
    You have to delete the ones you know to be yours at the beginning of the script, before you add; if you can't hard-code that (and usually you can; for instance what you're doing is not entered by the interface), you will have to use a marking mechanism...
      
  • 0 in reply to Patrick_Sandberg
     Patrick_Sandberg,

    [ QUOTE ]
     I could not find any references to this file in the user manual

    [/ QUOTE ]
    It is a undocumented feature. I think Astaro doesn't want the customer to manipulate the firewall via console. A mechanism like ipfilter.local is described in the policy routing howto ...

    Greetings
    cyclops  
Cookie Information Banner