Re: Ipfw und keep-state

From: Patrick Hess <patrick_hess(at)t-online.de>
Date: Fri, 27 Jun 2003 16:48:06 +0200



Hallo,



Oliver Fromme schrieb:


> Patrick Hess <patrick_hess(at)t-online.de> wrote:


>  > Philon schrieb:


>  > > Wollen wir also mal sehen was passiert wenn ich die ipfw


>  > > Regeln neu mache und wieder einlese.


>  > >


>  > > Wie kann ich eigentlich verhindern das meine SSH-Shell dabei


>  > > beendet wird?


>  >


>  > Beendet wird sie dabei auf jeden Fall.


>


> Nein!



Bei mir schon. Wäre nett, wenn du mir erklären könntest, wie das bei 


dir funktioniert.



> Beendet wird sie nur, weil das Flushen und/oder Neueinlesen


> Ausgaben erzeugt, die durch die ssh-Verbindung geschickt


> werden (bzw. geschickt werden wollen).  Innerhalb dieses


> kurzen Zeitintervalls werden aber die ssh-Pakete abgelehnt,


> d.h. die Verbindung bricht zusammen.


>


> Verhindern kann man das, indem man dafür sorgt, daß während


> dieses Zeitfensters kein ssh-Traffic passiert, d.h. man muß


> stdout und stderr in eine Datei umleiten.



Also, ich habe dann in einer SSH-Session folgendes eingegeben:



        echo "y" | ipfw flush &>/dev/null ; \


        sh /etc/rc.firewall "$RULES" &>/dev/null



Und wech war sie, die SSH-Verbindung. Hat dem Client nicht so gut 


gefallen, weil auch /home nun nicht mehr erreichbar war...



Dann bin ich in den Keller, habe mich direkt am Server angemeldet 


und die Regeln neu eingelesen. Da an dem Ding kein Monitor dran 


ist, sondern nur ne Tastatur (für den Notfall), hatte ich für 


diesen Zweck vorsorglich einen Alias angelegt:



        server:~ > alias X


        alias X='echo "y" | ipfw flush ; sh /etc/rc.firewall "$RULES"



Danach waren die Regeln eingelesen und der Rechner, von dem aus ich 


das Schlamassel per SSH fabriziert hatte, lief wieder.



Allerdings habe ich wohl zu lange gebraucht, denn einem anderen 


Client, auf dem gerade der KDE-Bildschirmschoner lief, bekamm das 


gar nicht so gut. Der blieb einfach stehen, nachdem ich den Schoner 


durch Tastendruck beenden wollte :-(   Auch übers Netz war nicht 


mehr an die Kiste ranzukommen.



Zum Glück war außer mir sonst keiner daheim, sonst hätte es 


vermutlich wieder Mord- und Totschlag gegeben ;-)



-- 
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 27 Jun 2003 - 16:48:18 CEST













search this site