Thanks Carlos, I'll try it out.<br>If I'm not mistaken though, any iptables command added to the firehol.conf should be placed before any firehol processing rules in order to prevent "interferences" right ?<br>
<br>Rgds,<br><br><div class="gmail_quote">2009/6/17 Carlos Rodrigues <span dir="ltr"><<a href="mailto:cefrodrigues@gmail.com">cefrodrigues@gmail.com</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">On Wed, Jun 17, 2009 at 9:26 PM, Carlos Rodrigues<<a href="mailto:cefrodrigues@gmail.com">cefrodrigues@gmail.com</a>> wrote:<br>
> Well,<br>
><br>
> You are effectively creating a single command with the total length of<br>
> those 300.000 lines. The runtime errors are probably just bash hitting<br>
> it's limits, and not exactly a problem with FireHOL itself.<br>
><br>
> You can try putting something like the following inside your interface<br>
> statement:<br>
><br>
>  cat BADNETS | while IP; do<br>
>      server all reject src $IP<br>
>  done<br>
><br>
> Although I'm not sure exactly how the rules generated by that would<br>
> compare with the ones generated from the interface statement itself.<br>
><br>
> You can also try mixing in some iptables commands. For example, by<br>
> putting something like this in your firehol.conf:<br>
><br>
> iptables -N my_blocklist<br>
> cat BADNETS | while IP; do<br>
>    iptables -A -s $IP -j DROP<br>
<br>
</div>That's "iptables -A my_blocklist -s $IP -j DROP", sorry.<br>
<div><div></div><div class="h5"><br>
> done<br>
><br>
> iptables -I 1 INPUT -i eth0 -j my_blocklist<br>
><br>
><br>
> Regards,<br>
><br>
><br>
> On Thu, Jun 11, 2009 at 8:01 AM, shi ryu<<a href="mailto:shiryu38@gmail.com">shiryu38@gmail.com</a>> wrote:<br>
>> Hi guys,<br>
>><br>
>> I'm trying to use firehol to process some bluetack IP blocklist and I fear<br>
>> that firehol cannot handle the size of the list.<br>
>> Here is how I proceed :<br>
>><br>
>> 1) I've put in CIDR format all the subnets I'd like to filter on (1 per<br>
>> line) in the BADNETS file.<br>
>> 2) I've modified the firehol.conf following line from<br>
>><br>
>> interface eth0 internet src not "${UNROUTABLE_IPS}"<br>
>><br>
>> to<br>
>><br>
>> interface eth0 internet src not "${UNROUTABLE_IPS} `cat<br>
>> /etc/firehol/BADNETS`"<br>
>><br>
>> What happens :<br>
>><br>
>> It seems that as long as my BADNETS file keeps a reasonable size, firehol is<br>
>> able to process it (see the attached BADNETS.light file with its 17925<br>
>> lines)....indeed with BADNETS.light file no problem, firehol starts without<br>
>> errors.<br>
>> But when I load the BADNETS.full file (see the attached BADNETS.full.zip<br>
>> file with its 344396 lines) , then I get many runtime errors.<br>
>><br>
>> I've attached the error.log.zip file which is an extract of the bunch of<br>
>> errors I get + the std output.<br>
>><br>
>> Any help appreciated.<br>
>><br>
>> Best Regards,<br>
>> Shiryu<br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> Crystal Reports - New Free Runtime and 30 Day Trial<br>
>> Check out the new simplified licensing option that enables unlimited<br>
>> royalty-free distribution of the report engine for externally facing<br>
>> server and web deployment.<br>
>> <a href="http://p.sf.net/sfu/businessobjects" target="_blank">http://p.sf.net/sfu/businessobjects</a><br>
>> _______________________________________________<br>
>> Firehol-support mailing list<br>
>> <a href="mailto:Firehol-support@lists.sourceforge.net">Firehol-support@lists.sourceforge.net</a><br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/firehol-support" target="_blank">https://lists.sourceforge.net/lists/listinfo/firehol-support</a><br>
>><br>
>><br>
><br>
><br>
><br>
> --<br>
> Carlos Rodrigues<br>
><br>
<br>
<br>
<br>
</div></div>--<br>
<font color="#888888">Carlos Rodrigues<br>
</font></blockquote></div><br>