Änderung der Firewall-Regeln mit der freetz-GUI bringt Reboot-Schleife

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

micxer

Neuer User
Mitglied seit
24 Okt 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe für meine FritzBox 7270v2 ein freetz aus dem Trunk gebaut, Revision 6109. Trunk deshalb, weil ich noch ein Fritz!Mini hier stehen habe, und das gerne weiter verwenden möchte. Das Build ist auch ziemlich simpel. Es ist nur Dropbear, Dnsmasq und die Firewall-GUI dazu gekommen, sonst nichts.

Wieso der ganze Aufwand? Ich möchte (wie viele andere auch) den DNS-Zugang auf OpenDNS einschränken und entsprechend die Firewall-Regeln anpassen, damit Port 53 nach außen hin zu ist. Dazu habe ich erst zwei ausgehende Regeln angelegt, die auf TCP und UDP Port 53 immer verbieten (brauch ich da UDP überhaupt oder reicht TCP?). Nach einem Neustart ging die Box noch und ich kam nicht mehr über Port 53 raus. Gut. Dann wollte ich die beiden OpenDNS-Server noch erlauben und habe für jeden je einen UDP- und einen TCP-Eintrag für Port 53 gemacht. Wieder auf Übernehmen geklickt und anschließend die Box rebootet. Seit dem hängt sie in einer Reboot-Schleife.

Ich weiß, dass das eine Development-Version ist, aber ich würde an der Stelle auch helfen. Nur weiß ich nicht, wo ich suchen soll. Wie bekomme ich raus, wieso die Box ständig rebootet? Kann es sein, dass ihr die 9 Firewall-Regeln zuviel sind? Gibts irgendwo ein Log, was die Firewall schreibt? Ich hatte exakt das gleiche Verhalten schon mit einer früheren Version. Müsste so um die 6070 gewesen sein.
 
Der dsld (der diese Funktion zur Verfügung stellt) hat momentan (akt. Version und wohl schon die "Labors" davor) Probleme, wenn "größere" Regelwerke in der Firewall genutzt werden und stürzt ab, die Box rebootet.
AVM hat das erkannt und es soll in den nächsten Firmwares berücksichtigt werden. Solange musst du noch warten, oder müsstest eine "ältere" Firmware nehmen, sofern du die noch hast...

Jörg
 
Zuletzt bearbeitet:
Ok, also muss nochmal den Umweg über die Recovery gehen und neu flashen.
Und dann werde ich es mal mit dem iptables-Paket versuchen.

Danke für die Info.
 
@MaxMuster: Hast du die AVMs diesbezüglich kontaktiert, oder woher weißt du es, dass sie daran arbeiten? Kannst du bitte mehr Hintergrundinfos zum Problem rausholen? Wo hackt es denn? Bedienen sie irgendwo den watchdog nicht und es deswegen zum rebooten kommt? Sind die lese/schreib-Vorgänge im flash daran schuld?
Wenn es in irgendeinem FREETZ-Ticket bereits durchgekaut wurde, nenne mir bitte einfach die Nummer, dann lese ich dort nach.

MfG
 
Ja, ich habe AVM dazu kontaktiert. Ich habe das Problem geschildert (siehe unten) und die Rückmeldung bekommen:
Code: 
Bezüglich Ihres dsld-Crash-Reports [...] 
Ein Fix wird in künftigen Releases enthalten sein.

An AVM habe ich eine Beschreibung mit den "Erkenntnissen" mit einen seriellen Dump geschickt in dem man sieht, dass der dsld/kdsldmod einen Ooops in "sort rules" verursacht. Dies passiert scheinbar (zumindest als ein Kriterium) bei einer bestimmten Anzahl von Regeln (siehe z.B hier):
Code: 
# Jan  1 01:06:17 dsld[1494]: voip: ppptarget voip disabled, ignored
CPU 0 Unable to handle kernel paging request at virtual address 000d0018, epc == c04be990, ra == c04be9cc
Oops[#1]:
Cpu 0
$ 0   : 00000000 1000ce01 000d0008 95c36d7c
$ 4   : 00000002 00000003 00000008 95d7c420
$ 8   : 00000001 00000000 00000dd8 9429eb00
$12   : c01ee14c 942a0000 00200200 00100100
$16   : 95d7c42c 0000005d 95d7c400 0000000a
$20   : c04c0000 c04c0000 969dd980 947e7360
$24   : 00000010 c04be3f0                  
$28   : 96bdc000 96bdd410 96bdd5ac c04be9cc
Hi    : 00000000
Lo    : aaaaaaab
epc   : c04be990 sort_rules+0x48/0xffd2e6b8 [kdsldmod]     Tainted: P     
ra    : c04be9cc sort_rules+0x84/0xffd2e6b8 [kdsldmod]
Status: 1000ce03    KERNEL EXL IE
Cause : 30800008
BadVA : 000d0018
PrId  : 00019068
Modules linked in: wlan_scan_ap wlan_acl wlan_wep wlan_tkip wlan_ccmp wlan_xauth ath_pci ath_spectral(P) ath_rate_atheros(P) userman_mod(P) wlan ath_dfs(P) ath_hal(P) avm_a)
Process dsld (pid: 1494, threadinfo=96bdc000, task=96bdad98)
Stack : 95d7c410 c04be8f0 95c37cc4 94d52500 c05254fc 947e7360 95d7c400 0000005d
        c04beb70 00450000 95c36d30 c0544e4c 947e7360 94d17f80 95c36d30 c0544e4c
        c05254fc 947e7360 94884020 94d17f80 94d17f80 00450000 969dd980 00000000
        96bdd5ac c05258e8 96b19380 00000000 c050aba8 c050aa54 00000000 00000001
        c04b7c34 c04b7cd4 c050a470 96863800 96863800 c050a034 94884020 96b19380
        ...
Call Trace:
[<c04be990>] sort_rules+0x48/0xffd2e6b8 [kdsldmod]
[<c04beb70>] ipaccess_optim_set+0x5c/0xffd2e4ec [kdsldmod]
[<c05258e8>] set_dp_parameters+0x2dc/0xffcc79f4 [kdsldmod]
[<c0523a98>] dslinterface_create+0x494/0xffcc99fc [kdsldmod]
[<c04a41cc>] kdsld_ioctl+0x1724/0xffd4a558 [kdsldmod]
[<94078e94>] do_ioctl+0x64/0x78
[<940791b8>] vfs_ioctl+0x310/0x338
[<94079230>] sys_ioctl+0x50/0x90
[<94010400>] stack_done+0x20/0x3c


Code: 8e020000  02662023  26100004 <8c450010> 8c620010  2483ffff  10a2000c  28680002  00e02021
Call Trace:
[<9400d914>] dump_stack+0x8/0x34
[<9402854c>] panic+0x34/0x1f0
[<9400e0c8>] die+0xc8/0xd0
[<94011cac>] do_page_fault+0x24c/0x3c0
[<94007168>] ret_from_exception+0x0/0x14
[<c04be990>] sort_rules+0x48/0xffd2e6b8 [kdsldmod]
[<c04beb70>] ipaccess_optim_set+0x5c/0xffd2e4ec [kdsldmod]
[<c05258e8>] set_dp_parameters+0x2dc/0xffcc79f4 [kdsldmod]
[<c0523a98>] dslinterface_create+0x494/0xffcc99fc [kdsldmod]
[<c04a41cc>] kdsld_ioctl+0x1724/0xffd4a558 [kdsldmod]
[<94078e94>] do_ioctl+0x64/0x78
[<940791b8>] vfs_ioctl+0x310/0x338
[<94079230>] sys_ioctl+0x50/0x90
[<94010400>] stack_done+0x20/0x3c

Kernel panic - not syncing: Fatal exception in interrupt
 WARING: use tffs in panic mode (minor 96)
Rebooting in 5 seconds..<3>[7044]maxrun: 1

(AVM) EVA Revision: 1.544 Version: 1544
(C) Copyright 2005 AVM Date: Oct 24 2008 Time: 11:07:57 (3) 2 0x0-0x41D

[FLASH:] SPANSION Uniform-MirrorBit-Flash 16MB 64 Bytes WriteBuffer
[FLASH:](Eraseregion [0] 128 sectors a 128kB)
[SYSTEM:] UR8 on 360MHz/120MHz syncron


Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 502 (Mitglieder: 37, Gäste: 465)

Neueste Beiträge

Statistik des Forums

Themen
246,142
Beiträge
2,246,828
Mitglieder
373,648
Neuestes Mitglied
robert.ecke83
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück