[7170] iptables

[RalfFriedl]

Trifft dies auch für das dsl-Interface von AVM zu?

 

[sf3978]

Ich weiss es nicht. Das müsste man testen bzw. feststellen können.

 

[Maxxon]

Trifft dies auch für das dsl-Interface von AVM zu?

Also ich glaube nicht. Auszug der ifconfig Ausgabe:

dsl       Link encap:Point-to-Point Protocol
          inet addr:169.254.2.1  P-t-P:169.254.2.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP ALLMULTI MULTICAST  MTU:1500  Metric:1
          RX packets:144239 errors:0 dropped:0 overruns:0 frame:0
          TX packets:119085 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:19726223 (18.8 MiB)  TX bytes:11456500 (10.9 MiB)


wan       Link encap:Ethernet  HWaddr 00:00:00:00:00:00
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:350655 errors:0 dropped:0 overruns:0 frame:0
          TX packets:156831 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:90010065 (85.8 MiB)  TX bytes:20677306 (19.7 MiB)

Es geht mehr durchs WAN als über das DSL Interface. die RX bytes und TX bytes vom WAN entsprechen der tatsächlich verbrauchten Datenmenge. DSL hat weniger gesehen und auch mein eth0. Da ist also irgendwo was versickert, meiner Meinung nach.

 

[sf3978]

...
Es geht mehr durchs WAN als über das DSL Interface. die RX bytes und TX bytes vom WAN entsprechen der tatsächlich verbrauchten Datenmenge. DSL hat weniger gesehen und auch mein eth0. Da ist also irgendwo was versickert, meiner Meinung nach.

Ja, mit dem Bandwidth Monitor kann man sehen durch welche Interfaces der traffic geht:

Bandwidth Monitor 1.1.0

       Iface        RX(KB/sec)   TX(KB/sec)   Total(KB/sec)

         [COLOR="Red"] cpmac0           17.588        1.816          19.404[/COLOR]
              lo            0.000        0.000           0.000
         tiwlan0            1.390       18.133          19.523
         tiwlan1            0.000        0.000           0.000
         tiwlan2            0.000        0.000           0.000
         tiwlan3            0.000        0.000           0.000
          wdsup0            0.000        0.000           0.000
          wdsdw0            0.000        0.000           0.000
          wdsdw1            0.000        0.000           0.000
          wdsdw2            0.000        0.000           0.000
          wdsdw3            0.000        0.000           0.000
            [COLOR="Red"] wan           17.588        1.816          19.404[/COLOR]
            eth0            0.000        0.000           0.000
             lan            1.389        0.652           2.041
            [COLOR="Red"] dsl            0.000        0.000           0.000[/COLOR]

           Total     716387470.715818639  4444251.715816885    720831722.1431634524

Hit CTRL-C to end this madness.

 

[Maxxon]

[Edit frank_m24: Vollzitat gelöscht, siehe Forumregeln.]

Bei meinem DD-WRT Router stimmt der Traffic in PREROUTING mit dem Traffic auf dem Interface überein.
Jetzt ist die Frage: Hab ich was an meiner Fritz-Box falsch konfiguriert oder ist das Verhalten normal, wenn man dsld zum NATten benutzt?

@sf3978:
Machst Du NAT mit iptables?

 

[sf3978]

...
@sf3978:
Machst Du NAT mit iptables?

*****Nein.

 

[Maxxon]

*****Nein.

Tja, dann bin ich jetzt erstmal mit meinem Latein am Ende. Ich hab in der Routingtabelle nur das Interface DSL und LAN. Aber laut meinen Daten und deinem Bandbreitenmonitor geht ja der Großteil des Traffics an den Interfaces vorbei. Wenn der Kernel was routen soll, dann *muss* der Traffic ja auf den Interfaces DSL und LAN zu sehen sein, denn nur die tauchen ja in der Routingtabelle auf.

Ich schliesse daraus, der Traffic verlässt den dsld gar nicht erst. Das wäre dann auch ein Grund wieso ich den in iptables nicht sehe. Laut der von Dir verlinkten Seite müsste ich den ja in PREROUTING sehen.

 

[sf3978]

Der BWM im Beitrag #24 zeigt meine (nahe) Box im ata-Modus. Hier der BWM meiner fernen Box, im normal-Modus (dsl-Modem):

Bandwidth Monitor 1.1.0

       Iface        RX(KB/sec)   TX(KB/sec)   Total(KB/sec)

          cpmac0            0.000        0.000           0.000
              lo            0.000        0.000           0.000
            eth0            0.000        0.000           0.000
             lan            3.469        0.000           3.469
             dsl            0.119        0.448           0.567
            [COLOR="Red"]adsl          264.499        6.757         271.256[/COLOR]
            tun0            0.052        0.648           0.700
         tiwlan0            3.469      261.224         264.693
         tiwlan1            0.000        0.000           0.000
         tiwlan2            0.000        0.000           0.000
         tiwlan3            0.000        0.000           0.000
          wdsup0            0.000        0.000           0.000
          wdsdw0            0.000        0.000           0.000
          wdsdw1            0.000        0.000           0.000
          wdsdw2            0.000        0.000           0.000

           Total     716387704.715818292  4444498.715816545    720832203.1431633837

Hit CTRL-C to end this madness.

wan-Interface gibt es hier nicht.

 

[RalfFriedl]

AVM macht auf jeden Fall ein eigenes NAT im dsld bzw. dem dazugehörenden Kernel-Model, das unabhängig von Kernel bzw. an diesem vorbei geht.
Es kann also gut sein, daß die eingehenden Pakete nach der Verarbeitung im dsld irgendwo mitten drin in den Kernel eingeschleust werden, vielleicht sogar direkt auf das ausgehende Interface geleitet werden, an einigen oder allen iptables Chains vorbei.

 

[sf3978]

OK, aber trotz eigenem (AVM-)NAT und einschleusen, funktioniert das Blocken mit iptables in den chains (FORWARD, INPUT, OUTPUT). Warum das Markieren dann nicht einwandfrei funktioniert?

 

[Maxxon]

OK, aber trotz eigenem (AVM-)NAT und einschleusen, funktioniert das Blocken mit iptables in den chains (FORWARD, INPUT, OUTPUT). Warum das Markieren dann nicht einwandfrei funktioniert?

Also die SYNs und ACKs hab ich ja in den Chains gesehen. Wenn lediglich die geblockt werden würden, würde das ja ausreichen um nen Verbindungsaufbau zu verhindern.

EDIT: und die Richtung WAN -> LAN habe ich ja bisher noch gar nicht genauer betrachtet.

 

[geronet]

Huhu, hab dazu auch eine Frage:
Ich versuch zur Zeit bei einem W701V den vierten Port als Gastzugang zu konfigurieren. Mit Hilfe von cppmaccfg ein eth1 mit eigenem Subnetz und DHCP kreiert, per iptables abgeschottet (Nur Internetzugang). Jetzt hänge ich etwas bei den Interfaces, wollte mit tc und nem tbf die Geschwindigkeit von eth1 drosseln aber das zeigt keine Wirkung. Nur für's Wlan mit tiwlan0 geht das wunderbar (für den downstream).
Bei iptraf sieht man ja daß bei einem Download die Daten nicht über dsl oder adsl laufen, so wie ihr das schon herausgefunden habt. Evtl. bleibt eine Möglichkeit, die Pakete per iptables in mangle zu markieren und dann shapen.. Muss ich heute Abend ausprobieren.
Noch dazu will ich ja den down- und upstream shapen, aber wenn überhaupt sind die Pakete über dsl/adsl ja schon in pppoe verpackt.. somit keine Möglichkeit mehr da einzugreifen (für einzelne Subnetze). Oder per ingres, hat das schon jemand versucht?

Welche Möglichkeiten gäbe es noch?