Probleme mit Firewall via iptables

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

Marcian

Neuer User
Mitglied seit
11 Sep 2006
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hi Leute,
ich hatte, nach langer Zufriedenheit mit dem dsmod-0.29 auf meiner 7170, mal eine neue Werksfirmware ausprobiert, wobei mir natürlich dann doch wieder die Firewall fehlt.

Ich muss den Rechner meines Bruders auf bestimmte Dienste beschränken, da ansonsten ständig irgendwelche Filesharing Clients laufen.

Leider hab ich mein altes Image nicht mehr, hatte den gesamten Cygwin-Kram runtergeschmissen.

Mit dem aktuellen ds26-15.2 komm ich nicht so recht klar. Ich hab mir Friboli 0.4 geholt und schon 20 mal hin- und herprobiert.

Ich hab also am Schluß im menuconfig nur das Paket iptables 1.3.6 selektiert und das Firewall-cgi-0.52.

Nach der ganzen Abwicklung hab ich die Firmware dann installiert und ich finde auch die Firewall-Seiten vor. Leider funktioniert der Paketfilter dann nicht. Egal was ich reinschreibe, alle Dienste laufen ungefiltert durch.

Dann hab ich mit der Fehlermeldung aus dem Log (irgendwas mit insmod) den Tipp gefunden, dass man "replace Kernel" in der menuconfig wählen soll. Das habe ich dann daraufhin gemacht. Aber dann komm ich nach einigen Sekunden gar nicht mehr ins Internet... Von keinem Rechner.

Zwei Zeilen aus meiner Whitelist: (außer der Whitelist hab ich im Prinzip auch nix weiter eingestellt; außer den Autostart des Firewall-Diensts)

192.168.178.20 00:13:8F:B8:A9:09 * MRC
192.168.178.21 00:13:8F:D4:86:BB 20,21,23,25,37,53,69,80,110,135,546,547,3742,4001-4009,6112,6881-6999 JRG

Weiß jemand Abhilfe für mich?
Gruß
Marcian

P.S.: Prinzipiell würde ich auch ruhig eine ältere Firmware benutzen mit dem dsmod.029, aber die alte Firmware gibts ja nirgends mehr zum download und der alte mod geht sicherlich nicht mehr mit der neuen Firmware (allein schon wegen Kernel 2.6 oder? )
 
Zuletzt bearbeitet:
"Replace kernel" sollte nicht notwendig sein für Iptables, aber Probleme gibt es bei manchen Anwendern immer wieder, ob mit oder ohne Replace. Olistudent z.B. hat keine, die Box läuft sauber durch bei ihm.

Wo Du nach alten Firmware-Images fragen kannst, steht im Beitrag #1 des aktuellen Release-Threads zu 15.2 (in meiner Signatur einfach anklicken). Evtl. hast Du aber auch ein Konfigurationsproblem, weil Du Dich mit dem neuen Mod noch nicht so gut auskennst. Ich als Nicht-Iptables-Nutzer kann Dir da wenig helfen.
 
Danke für Deine Antwort kriegaex.

Mit der Version 29.04.15 bin ich jetzt wieder da wo ich im Prinzip immer hin wollte. Die iptables funktionieren erstmal.

Ich werde mal schauen, wie weit ich jetzt mit neueren Firmwares komme. Aber jetzt ist erstmal der Druck weg, dass ich was hinkriegen muss.

Vielleicht komm ich sogar am Ende doch mit Deiner aktuellsten Version zu meinem Ziel (wäre natürlich nicht so übel ;) )
 
So einfach ist es dann doch nicht. Ich bin mir nicht sicher, aber für iptables braucht man replace kernel (glaube ich).
Die andere Sache war ip_conntrack. Sobald das Modul geladen ist stürtzt die Box nach 3h ab. Aber nur, wenn man sie nicht als ATA betreibt.
Und die Whitelist funktioniert seit 2.6.13.1 auch nicht mehr. Keiner weiß warum.

MfG Oliver
 
@olistudent:

Danke für die Antwort. Damit kann ich mir dann sozusagen die neue Firmware vorerst von der Backe schmieren.
Klare Verhältnisse sind doch was Schönes.
Meine 29.04.15er-Firmware ist zwar unheimlich alt, aber sie funktioniert so wie ich das gern hätte, nämlich mit der Whitelist-Funktion. Mit den neueren 2.4er-Kernel Versionen hatte ich da auch meine Probleme.

Ist für mich echt erstaunlich, dass die avm-Leute eine solche Funktionalität nicht einbauen, sondern in eine PC-basierte Software auslagern. Mein uralter RP614-Router konnte das schon vor fünf Jahren in seiner Firmware... Naja. Der kann kein VOIP ;)

Danke nochmal für eure Antworten.
 
Hast Du Lust und bist Du technisch in der Lage, da zu debuggen? Die Probleme sind nämlich seit Ewigkeiten ungelöst, weil sich offenbar keiner damit auskennt, wie man das fixt. Hilfe und Bugfixes wären uns sehr willkommen, denn wir machen nichts daran. Iptables ist ein Problemkind seit 2.6 und somit auch seit ds26. An alle: Wer kann sonst helfen? Sonst wird da nichts passieren in nächster Zeit.
 
Falls die Frage an mich gerichtet war: Nein, ich bin leider nicht in der Lage da was in Erfahrung zu bringen.
In die Tiefen von Linux hab ich mich bisher nicht einfinden können.
 
Ich glaube das Problem liegt bei AVM. Vieleicht sollte man denen mal eine Mail zukommen lassen, das der Kernel von AVM doch zumlich fehlerhaft ist.

Hat sich da schon mal jemand hingewandt? ;)
 
Da iptables nicht zum Lieferumfang der Box gehört, werden sie es nicht als Fehler betrachten, wenn das nicht läuft.
Das kann ich auch nachvollziehen.
 
Es geht hört zwar nicht zum Lieferumfang, wohl aber ist es Standardfunktionalität im Kernel. Ich finde, es ist schon ein böser Bug (von vielen). :(

Es ist schon schlimm genug, dass teilweise Sourcecode fehlt, der released sein sollte. :(

Nur AVM schafft es, so ein instablen Kram zu releasen. Alle anderen (Linksys, Netgear, D-Link,...) arbeiten da wenigestens ordentlich (auf der gleichen Hardwareplattform). Soviele Kernelpanics hab ich vorher noch nie gesehn. :mad:

Ich denke, man sollte mit AVM doch mal reden, ob sie nicht:
- die Fehler im Kernel fixen (insbesondere iptables)
- den fehlenden Source releasen

Mfg
 
crissi99 schrieb:
Es ist schon schlimm genug, dass teilweise Sourcecode fehlt, der released sein sollte.
Zum Vergrößern anklicken....
Das ist meiner Meinung nach der gravierendere Punkt.

Ob iptables in Verbindung mit dem AVM-Kernel läuft, wenn es nicht zum Lieferumfang gehört, ist meiner Meinung nach kein Problem von AVM.
Aber den Kernel verwenden, ohne sich an die Lizenz zu halten, das schon.

Da AVM aber anscheinend nicht freiwillig die Source zur Verfügung stellen will, müßte sich einer der Kernel-Autoren finden, der dies durchsetzen möchte.
 
gpl-violations.org sind gute Ansprechpartner, denke ich.
 
Ja, aber erstens sind wir schon OT, aber um zum Thema zurückzukommen, hinter gpl-violations.org steht ein Autor von iptables, und die werden im AVM Binary nicht verwendet.
Das heißt, er hätte gar nicht die Möglichkeit, von AVM zu verlangen, die Verbreitung seiner Module zu unterlassen.
Und das ist im Prinzip das einzige Druckmittel: Der Urheber verlangt von AVM, sich entweder an die gültige Lizenz zu halten, also alle Quelltexte mitliefern, oder die Nutzung und Verbreitung ohne Lizenz zu unterlassen, was bedeuten würde, alle Fritzboxen aus dem Handel, bis AVM ein anderes Betriebssystem dafür hat.
 
RalfFriedl schrieb:
Ja, aber erstens sind wir schon OT, aber um zum Thema zurückzukommen, hinter gpl-violations.org steht ein Autor von iptables, und die werden im AVM Binary nicht verwendet.
Das heißt, er hätte gar nicht die Möglichkeit, von AVM zu verlangen, die Verbreitung seiner Module zu unterlassen.
Zum Vergrößern anklicken....
Richtig. In dem Fall müsste es jemand anders sein.

RalfFriedl schrieb:
Und das ist im Prinzip das einzige Druckmittel: Der Urheber verlangt von AVM, sich entweder an die gültige Lizenz zu halten, also alle Quelltexte mitliefern, oder die Nutzung und Verbreitung ohne Lizenz zu unterlassen, was bedeuten würde, alle Fritzboxen aus dem Handel, bis AVM ein anderes Betriebssystem dafür hat.
Zum Vergrößern anklicken....
Naja, ich glaube kaum, dass AVM das wollen würde. Die würden im letzten Moment klein bei geben und den Source rausrücken. Allerdings ist es bis jetzt nicht richtig geklärt, ob Treiber im Kernel geheim bleiben dürfen oder auch als abgeleitetes Werk im Sinne der GPL zu sehen sind, Linus hat es ja bislang toleriert.

Zurück zum Thema:
Ich habe mir den Sachen, die AVM so treibt schon mal genauer angeschaut (der Treiber für die Fritzcard DSL (ebenfalls ein SoftDSL-Modem) war genauso schauderig. Lange Zeit instabil (Linux und Windows). :mad:

Die Frage ist auch, warum sie überhaupt so einen Aufwand treiben, der Referenztreiber von TI funzt auf den AR7-basierten Geräten stabil. Wenn die AVM-Tools nicht in den Kernel eingreifen würden (die dann die Abstürze verursachen), würde ich den TI-Treiber nehmen (ja, auch der ist auch nicht offiziell GPL, obwohl er sollte).

Fakt ist, dass AVM es geschafft hat, instabile Kernel zu releasen, was nicht unbedingt von Qualität zeugt (ich erinnere nur an den Anfang der 30er-Firmwareserie). Auch dass der Kernel abstürzt, wenn man iptables aktiviert und bestimmte Module lädt, zeugt nicht von wirklich sauberer Programmierung. AVM muss sich (noch) nicht anstrengen, Qualität zu liefern, da ihre Boxen sich quasi allein verkaufen (Verträge mit den Providern).
Wenn die Horstbox von D-Link richtig in Fahrt kommt, wird AVM da einiges verbessern müssen.

Ich bin immer noch der Meinung, dass man AVM bitten sollte, die Fehler im Kernel zu beheben, so dass man einen eigenen stabil laufenden Kernel bekommt, solange man keine Optionen, die benutzt werden, abwählt. Dies müsste eigentlich im Sinne von AVM sein, da besserer Code immer von Vorteil ist. (Stabilität, Wartbarkeit, etc) :D
 
kriegaex schrieb:
Iptables ist ein Problemkind seit 2.6 und somit auch seit ds26. An alle: Wer kann sonst helfen?
Zum Vergrößern anklicken....

Inwiefern ich helfen kann, sei einmal dahingestellt, aber zumindest bei mir auf dem Speedport W900V laufen IPtables komplett stabil seit mehr als 3 Tagen. Auch die Whitelist funktioniert.



LG
 
Das Problem ist das ipconntrack-Modul. Bei mir tritt der Kernel-Panic nur auf, wenn der dsld geladen ist. Im ATA-Modus läuft meine Box ohne Reboots.

MfG Oliver
 
olistudent schrieb:
Das Problem ist das ipconntrack-Modul. Bei mir tritt der Kernel-Panic nur auf, wenn der dsld geladen ist. Im ATA-Modus läuft meine Box ohne Reboots.
Zum Vergrößern anklicken....

ipconntrack ist integriert, Box ist nicht im ATA-Modus. Dennoch läuft alles ohne Reboot.
 
Zuletzt bearbeitet:
Hallo Forum,

in der FB (oder bei mir im SP) sind ja per default firewall--rules gesetzt. Wie wird denn diese interne Fw der FB bedient - kann man da seine rules ergänzen?

Ich habe das schon mal falsch gepostet im ds26-15.2 Thread (#276):

Im aktuellen mod ist auch firewall als Paket enthalten. Ersetzt dies die original vorhandene firewall, ergänzt es diese (mit zusätzlichen Regeln) oder ist die vorhandene komplett weg und die FB /SP ist komplett offen?

Hintergrund der Frage: Ich will nur ein paar einfache Regeln zusätzlich als "Kindersicherung" einbauen, aber kein komplett neues ruleset erzeugen. Meine Regeln will ich dann per cronjob / shellscript ein-/ausschalten, ohne die Funktionalität in Gänze zu beeinflussen.
Ich nehme auch gerne ein RTFM - aber bitte mit Link/Beitrags-#!

Danke vorab! ...Ben
 
Es wurde Dir im anderen Thread bereits geantwortet. Man hat Dir auch nicht gesagt, daß Du falsch im Thema bist, sondern daß Du die Suchfunktion benutzen solltest zum Nachlesen. (Korrektur: Hat doch einer geschrieben, hatte ich nicht gleich bemerkt.) Aber nicht so schlimm, ich schreibe das hier nur, damit nicht auch noch angefangen wird, hier zu antworten, das geht durcheinander sonst.
 
Zuletzt bearbeitet:
olistudent schrieb:
...
Die andere Sache war ip_conntrack. Sobald das Modul geladen ist stürtzt die Box nach 3h ab.
...
Zum Vergrößern anklicken....
Was ist denn inzwischen der Stand beim aktuellen ds26-15-2?
Auf der Startseite steht noch ein Hinweis auf die Stabilitätsprobleme.
Irgendwo hatte ich aber gelesen, dass diese nicht mehr bestehen. :noidea:

Ich arbeite zur Zeit relativ intensiv mit netfilter/iptables (mit ip_conntrack).
Meine Box stürzt auch gelegentlich ab; ob das nach 3h ist, muss ich mal beobachten.
Das Ergebnis werd' ich dann als "Feedback" posten.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 544 (Mitglieder: 21, Gäste: 523)

Neueste Beiträge

Statistik des Forums

Themen
246,733
Beiträge
2,256,559
Mitglieder
374,746
Neuestes Mitglied
hsv25a
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück