cpmaccfg ich steig nicht durch

Ich häng hier mal die Patches an die ich nutze mit 7270.76 und 7170 (ich glaube .70). Die Boxen befinden sich im ATA Modus per AVM-Webinterface. Port 1 ist für ein Modem, 2+3 sind "normal" und Port 4 des Switches ist abgetrennt (eth1). Für eth1 habe ich in der ar7.cfg noch einen Alias "air" angelegt und eine IP vergeben. Danach kann man aber nicht mehr die IPs übers Webinterface ändern, nur noch per ar7!
Die Dateien ins Freetz-Verzeichnis kopieren und dabei Pfade beachten. Beim bauen eines replaced-Kernels werden die Patches dann ausgeführt.
Der cpmac-Modus "CPMAC_MODE_SPLIT_ATA" ist danach der original ATA-Modus. Hab es aber bislang nicht gebraucht :-]
Viel Spass beim basteln

iptables Absicherung ausreichend

Ich habe jetzt mit einen Kernelpatch auf meiner 7270 den Switch in zwei Devices aufgeteilt und diese werden mit Hilfe von Änderungen in der ar7.cfg den Interfaces intern und extern zugewiesen.

intern -> eth0 + ath0
extern -> eth1

Ich möchte die beiden Interfaces komplett trennen. Hinter der 7270 betreibe ich ein Astaro Security Gateway (ASG) mit jeweils ein Interface in intern und extern.

Ich habe jetzt folgende iptables Regeln definiert, um sicherzustellen, dass der komplette Traffic über die ASG abgewickelt wird, alle 7270 Portwardings gehen an das externe Interface der ASG. Zugriff auf die Box nur über das interne Interface.

Reichen diese Regeln?

iptables -A FORWARD -i extern -o dsl -j ACCEPT
iptables -A FORWARD -i intern -j DROP

iptables -A INPUT -i extern -p tcp -j DROP
iptables -A INPUT -i extern -p udp -j DROP


Gruß
joesy


PS: Ich habe den Wiki-Artikel zur Switch-Konfiguration ergänzt: http://wiki.ip-phone-forum.de/gateways:avm:howtos:mods:switch_konfiguration

Falsches Wiki, denn wir sammeln inzwischen vor allem im freetz-wiki unter www.freetz.org

Ich habe jetzt auch den Artikel in Freetz Wiki angepasst:
http://www.freetz.org/wiki/help/howtos/security/switch_config

Danke dafür

suggestion

Would it not be practical to patch (the kernel) mode 'normal' with CPMAC_MODE_SPLIT and 'ata' with CPMAC_MODE_SPLIT_ATA. From these modes any bridge arrangement of the interfaces can be setup in ar7.cfg or either with cpmaccfg at runtime without a need for a recompilation of the kernel.
In make menuconfig a option (under patches) could be added that allows one to choose such a setup which would then also patch the default ar7.cfg such that it defines a bridged interface 'lan' for all non-wan interfaces.

BTW: In which section of ar7.cfg should these bridges be defined, 'ethinterfaces' or 'brinterfaces'? Is this determined by the use of ata?

I don't think such a patch is something for our experimanetal-affined newbies, cause nothin will work, if they don't know what they are doing.
So in my humble opinion the patch has to be hidden somewhere beyond the advanced settings.

greetings.

@Silent-Tears
I agree with you. If you patch the kernel you have to modify the ar7.cfg to correctly setup the interface. AFAIK this can not easily be setup in Freetz.

@poruid
You have to modify the 'ethinterfaces' section. You find an example in the updated wiki article. The 'ethinterfaces' section depends on the ethmode=ethmode_router setting.

If you select the ethmode=ethmode_bridge setting the box put all interfaces in the bridge 'lan'.

Hmm,

Eins is mir noch aufgefallen - wenn ich im webif den Haken bei "alle im gleichen Netz" (also dem avm webif) wegmache will er ja fürs wlan n neuen IP-Bereich haben.

Letztendlich will ich aber ja nachwievor alles im gleichen Netz und IP-Bereich haben, ausser den Port4 am Switch, da soll ein eigener IP-Bereich mit DNSMasq hin.

Wär doch mit Cumas angehängten Patch der fall, oder? Und was macht die Box dann mit dem IP-Bereich den man im webif angegeben hat fürs wlan?

Edit:
Einwählen soll sich die Box selber über den WAN Port

So hab ich das, also Port1 ist fürs MoDem, Wlan+Port2+port3 sind zusammen und Port 4 extra. "alles im gleichen Netz" ist deaktivert, Port 4 (eth1) hab ich per ar7.cfg konfiguriert. Was bei "interfaces" steht, scheint zusammengebridgt zu werden.

bei der 7270:

Wenn man einen Fehler in der ar7 macht, wird die übrigens komplett zurückgesetzt!

@vice_pres
Der Patch sorgt dafür, dass beim Booten der Switch bereits wie gewünscht aufgeteilt wird. Der Modus hängt von der Einstellung der Box ab. Bei Cuma ist das ATA, bei mir z.B NORMAL.

Ohne weitere Einstellungen oder Änderungen in der ar7.cfg oder durch Nutzung des Package cpmaccfg-cgi würden die zusätzlichen Interface nicht konfiguriert und genutzt werden. Anpassungen in der ar7.cfg haben den Vorteil, dass die Einstellungen immer erhalten bleiben, z.B. wenn zwischendurch mal das Wlan deaktiviert wird.

Du kannst über das WebIf den Haken wegnehmen, damit der Router-Modus aktiv wird und dann die weitere Konfiguration vornehmen. Hier einfach mal temporär eine Adresse für das Wlan eintragen.

Hier mal als Beispiel meine aktuelle Konfiguration, entspricht fast deiner gewünschten Konfiguration, Ich habe den Switch in zwei Interfaces mit 2 Ports aufgeteilt. Das interne Device wird dann in einer Bridge mit dem Wlan zusammengefasst, sodass diese weiterhin in einem Subnetz sind.
ethinterfaces {
name = "extern";
dhcp = no;
ipaddr = 192.168.1.1;
netmask = 255.255.255.0;
dstipaddr = 0.0.0.0;
interfaces = "eth1";
dhcpenabled = no;
dhcpstart = 0.0.0.0;
dhcpend = 0.0.0.0;
} {
name = "intern";
dhcp = no;
ipaddr = 192.168.0.1;
netmask = 255.255.255.0;
dstipaddr = 0.0.0.0;
interfaces = "eth0", "ath0", "wdsup1", "wdsdw1", "wdsdw2",
"wdsdw3", "wdsdw4";
dhcpenabled = no;
dhcpstart = 192.168.0.20;
dhcpend = 192.168.0.200;
}

Weitere Details im o.g. Wiki-Artikel


Joesy

Ich hätte meinen Beitrag vielleicht editieren sollen - ich hatte es ja mittlerweile hinbekommen durch den super freetz-wiki artikel. Der hat sich seit meinem letzten Blick drauf vor ein paar Tagen nochmal geändert und ist imho nun viel besser zu verstehen.

Danke nochmal euch beiden für die Hilfe, mittlerweile läuft Port4 seperat, alles andere ist fein, dnsmasq geht auch.

Hab noch die passenden iptables Regeln ins rc.custom gehauen damit alles auch brav getrennt wird.

Danke!

Peter

... If you patch the kernel you have to modify the ar7.cfg to correctly setup the interface. AFAIK this can not easily be setup in Freetz.

Zum Vergrößern anklicken....

True, but still the default ar7.cfg could be modified and serve as an example for the actual active ar7.cfg.

... The 'ethinterfaces' section depends on the ethmode=ethmode_router setting. If you select the ethmode=ethmode_bridge setting the box put all interfaces in the bridge 'lan'.

Zum Vergrößern anklicken....

Can 'ethmode' be set to 'ethmode_router' when 'Internetzugang über LAN 1' (ATA) is checked in the AVM web interface? I recall that 'Alle Computer befinden sich im selben IP-Netzwerk' (ar7cfg::ethmode=ethmode_bridge ?) is a required for ATA mode.