[7170] iptables

[Maxxon]

Hallo!

Gibt es irgendetwas bei der Installation von iptables auf der 7170 zu beachten? Im Moment benutze ich freetz-1.1.3. Ich habe die entsprechenden Pakete/Module/Shared-Libs unter Unstable angewählt. Auf der Fritz-Box kann ich sie dann auch laden und auch Regeln erstellen, nur "greifen" die Regeln nicht. Wenn ich z.B. eine simple Regel erstelle, die alle Pakete loggen oder auch wahlweise mal droppen soll, dann hat das keine Wirkung.
Ich habe es daraufhin einfach mal mit "replace kernel" probiert, womit ich mir aber nur meine Box gebrickt habe

Ich brauche iptables übrigens nur der MARK target wegen (damit ich mit tc entsprechende Filter erstellen kann).

Falls das schon im Forum durchgekaut worden ist, würde ich mich über eine Link freuen oder einen Hinweis, wonach ich suchen muss.

 

[sf3978]

...
Ich brauche iptables übrigens nur der MARK target wegen (damit ich mit tc entsprechende Filter erstellen kann).
...

MARK geht evtl. nur im trunk. Siehe hier: >>> klick <<<.

 

[Maxxon]

Danke erstmal. Ich brauch eigentlich kein CONNMARK sondern nur MARK aber ich werds mal probieren.

 

[Maxxon]

Also im Moment habe ich das Gefühl, dass die Pakete gar nicht erst bei iptables ankommen. Die Counter von z.B. INPUT ändern sich fast gar nicht, auch wenn ich traffic mache.

 

[sf3978]

... Die Counter von z.B. INPUT ändern sich fast gar nicht, auch wenn ich traffic mache.

Wohin machst Du den traffic?

 

[Maxxon]

also bei INPUT auf die IP der Box. Ist es möglich, dass es daran liegt, dass ich das DSL Modem der Box nicht nutze sondern nur den PPPoE Clienten und ein Modem am LAN1 angeschlossen habe?

 

[sf3978]

Ist der traffic für die Box bestimmt? Du könntest auch temporär loggen, ob an der Box was ankommt und von iptables erfasst wird:

iptables -A INPUT -m limit --limit 3600/h -i <iface> -j LOG --log-prefix ***INPUT-NEW-connection:

 

[RalfFriedl]

Oder gleich

iptables -A INPUT -j LOG --log-prefix INPUT
iptables -A FORWARD -j LOG --log-prefix FORWARD
iptables -A OUTPUT -j LOG --log-prefix OUTPUT

Dann siehst Du, was auf welche Chain kommt. Aber nicht zu viel Traffic auf einmal.

 

[Maxxon]

Ich sehe in INPUT im wesentlichen nur DNS Anfragen für die Box. Scheint mir OK. In FORWARD sehe ich nur ACK und SYN Pakete von meinen Rechnern.

Ich wollte eigentlich alle Pakete mit in der Chain PREROUTING im table mangle -j MARK markieren um sie dann in qdiscs identifizieren zu können. Aber irgendwie scheinen die eigentlichen Datenpakete dort gar nicht vorbeizukommen, denn ich sehe wie in FORWARD nur SYN und ACKs dort.

 

[sf3978]

... Aber irgendwie scheinen die eigentlichen Datenpakete dort gar nicht vorbeizukommen, ...

"TCP header modification" mit der mangle queue, sollte doch in/mit jeder chain funktionieren. Versuch es mal mit einer anderen chain.

 

[RalfFriedl]

Wie lang sind denn diese ACK-Pakete?

 

[Maxxon]

Wie lang sind denn diese ACK-Pakete?

Wie krieg ich das denn raus?

Ich habe jetzt mal einen Test gemacht und 10MB auf Rapidshare hochgeladen. Das sind die Counter der Prerouting Chain vor und nach dem Upload.

root@fritz:/var/mod/root# iptables -L PREROUTING -t mangle -v
Chain PREROUTING (policy ACCEPT 161K packets, 35M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  109  7865 LOG        all  --  any    any     192.168.116.131      anywhere            LOG level warning prefix `***PREROUTING' 
root@fritz:/var/mod/root# iptables -L PREROUTING -t mangle -v
Chain PREROUTING (policy ACCEPT 163K packets, 36M bytes)
 pkts bytes target     prot opt in     out     source               destination         
  212 12392 LOG        all  --  any    any     192.168.116.131      anywhere            LOG level warning prefix `***PREROUTING' 
root@fritz:/var/mod/root#

Da ist ja nur 1MB durchgegangen. Das kann doch gar nicht sein? Sowas taucht währenddessen im Syslog auf

Oct 16 15:05:08 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=29867 DF PROTO=TCP SPT=1529 DPT=80 WINDOW=17088 RES=0x00 ACK FIN URGP=0 
Oct 16 15:05:09 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=29956 DF PROTO=TCP SPT=1530 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 
Oct 16 15:05:09 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=29975 DF PROTO=TCP SPT=1530 DPT=80 WINDOW=17088 RES=0x00 ACK FIN URGP=0 
Oct 16 15:05:10 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=30068 DF PROTO=TCP SPT=1531 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 
Oct 16 15:05:11 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=30093 DF PROTO=TCP SPT=1531 DPT=80 WINDOW=17088 RES=0x00 ACK FIN URGP=0 
Oct 16 15:05:12 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=30175 DF PROTO=TCP SPT=1532 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 
Oct 16 15:05:12 fritz user.warn kernel: ***PREROUTINGIN=lan OUT= MAC= SRC=192.168.116.131 DST=62.67.50.36 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=30181 DF PROTO=TCP SPT=1490 DPT=80 WINDOW=16827 RES=0x00 ACK FIN URGP=0 
O

(die 2000 Pakete, die nicht von der Regel gecaptured wurden, sind von meiner Schwester die gerade ein Onlinespiel spielt)

 

[RalfFriedl]

Die Länge der Pakete steht hinter LEN=

Möglicherweise macht AVM da etwas an den normalen Netzwerk-Einstellungen vorbei.

 

[Maxxon]

Die Länge der Pakete steht hinter LEN=

Möglicherweise macht AVM da etwas an den normalen Netzwerk-Einstellungen vorbei.

Naja Du siehst ja selbst LEN ist bei den gecapturten Pakten < 100byte. Da hier aber einige Leute in ihrer Sig stehen haben, dass bei ihnen iptables läuft, dachte ich, bei mir liegt eine Fehlkonfiguration vor.

 

[sf3978]

... Da hier aber einige Leute in ihrer Sig stehen haben, dass bei ihnen iptables läuft, dachte ich, bei mir liegt eine Fehlkonfiguration vor.

Bei mir funktioniert das mit MARK:

iptables -t mangle -A PREROUTING -d 192.168.155.7 -j MARK --set-mark 20

iptables -t nat -A POSTROUTING -d 192.168.155.7 -m mark --mark 20 -j LOG --log-prefix **mark-Pakete:

Oct 16 16:39:41 fritz user.warn kernel: **mark-Pakete:IN= OUT=tun0 SRC=192.168.129.66 DST=192.168.155.7 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=26372 DF PROTO=TCP SPT=14667 DPT=26538 WINDOW=5840 RES=0x00 SYN URGP=0

Hast Du unter "make kernel-menuconfig"

[*]   IP: advanced router

[*]   IP: policy routing

aktiviert?

 

[Maxxon]

Das mit dem MARK funktioniert ja mittlerweile. Nur kriege ich halt anscheinend nicht alle Pakete, da meine Chains immer nur SYNs und ACKs sehen.
Ich benutze allerdings auch kein NAT.

EDIT: NAT natürlich schon, aber das macht der dsld

 

[RalfFriedl]

Vielleicht bist Du in den falschen Chains, oder der Datenverkehr ist wirklich so wenig.
Ich könnte mir vorstellen, daß die Pakete aus dem Internet nicht über mangle oder PREROUTING laufen.

 

[Maxxon]

also hatte ich eben vergessen zu erwähnen: Die Kerneloptionen habe ich aktiviert.

Ich wüsste jetzt nicht wieso die eigentlichen Datenpakete einen anderen Weg nehmen sollten als die ACKs und so aber ich werde das gleilch einfach an einem DD-WRT Router mal ausprobieren, den ich hier noch rumstehen habe

 

[RalfFriedl]

Weil beim Download die Datenpakete in die andere Richtung laufen. Und was das DSL-Interface betrifft, hat AVM auf jeden Fall etwas eigenes gemacht.

 

[sf3978]

Der Weg der Pakete durch iptables: Traversing of tables and chains (Table 3-3. Forwarded packets)