7270 mit Trunk - iptables-Module weg ... ?

[JohnDoe42]

Versuch mal diese Regel:

iptables -A OUTPUT -p tcp -d *.*.*.* -m multiport --dports 80 -j ACCEPT

Okay, das hat schon mal Einiges verbessert, danke !
Jetzt hab' ich bloß noch dieses hier als Fehler:

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: Invalid argument. Run `dmesg' for more information.

dmesg:

can't load conntrack support for proto=2

Und das hier bockt leider auch noch:

iptables -A INPUT -p udp -s 0.0.0.0 -d 255.255.255.255 -m multiport --sports 68 --dports 67 -j ACCEPT
iptables v1.4.11.1: multiport: option "--source-ports" cannot be used together with "--destination-ports".

Da wäre ich noch für Hilfe überaus dankbar ..
Grüße,

JD.

 

[sf3978]

Versuch mal so:

iptables -A INPUT -p udp -s 0/0 --sport 68 -d 255.255.255.255 --dport 67 -j ACCEPT

oder so:

iptables -A INPUT -p udp -s 0/0 --sport 68 -d 255.255.255.255 -m multiport --dports 67 -j ACCEPT

 

[RalfFriedl]

Ich dachte, der einzige Grund für multiports ist, dass es mit --sport und --dport nicht funktioniert.

Wäre es nicht sinnvoller, dem Grund dafür nachzugehen?

 

[sf3978]

Ich dachte, der einzige Grund für multiports ist, dass es mit --sport und --dport nicht funktioniert.

Richtig. Aber es ja nicht so, dass es generell mit --sport und --dport nicht funktioniert. In manchen Regeln funktioniert es und in anderen funktioniert es nicht. Warum das so ist, konnte ich noch nicht feststellen.

Wäre es nicht sinnvoller, dem Grund dafür nachzugehen?

Ja, wenn man das erforderlich Wissen hat, wäre es sinnvoller dem Grund dafür, nachzugehen.

 

[RalfFriedl]

Sind es denn immer die gleichen Regeln, die nicht funktionieren, mit anderen Worten, ist das Problem reproduzierbar?

 

[sf3978]

Nein. Bei mir waren es unterschiedliche Regeln, die nicht funktioniert haben. Nach meinen Erfahrungen ist das Problem nicht reproduzierbar.

 

[JohnDoe42]

Ich möchte versuchen, das ganze nochmal ein wenig systematischer anzugehen.
Das hier sind die geladenen Module, die mit meiner 7170 funktionieren:

Module                  Size  Used by    Tainted: P  
tiap                  452800  0 
ipt_REDIRECT            1536  0 
ipt_MASQUERADE          2496  0 
ipt_iprange             1600  4 
ipt_multiport           2176  19 
ipt_mac                 1504  0 
ipt_state               1312  4 
ipt_LOG                 7328  4 
ip_conntrack_ftp       71552  0 
iptable_filter          2112  1 
iptable_nat            22096  2 ipt_REDIRECT,ipt_MASQUERADE
ip_conntrack           42288  4 ipt_MASQUERADE,ipt_state,ip_conntrack_ftp,iptable_nat
ip_tables              21088  9 ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,ipt_multiport,ipt_mac,ipt_state,ipt_LOG,iptable_filter,iptable_nat

Wie bekomme ich denn erst mal eine Ersetzungsliste an die Hand, also eine, die z.B. ipt_state in Relation zu xt-state setzt ?
Was würde denn passieren, wenn ich stur versuchen würde, mittels einer modifizierten /make/iptables/config.in stur die Module, mit denen die Regeln auf meiner 7170 funktionieren, auf die 7270 zu bringen und zu laden ?
Läuft denn ipt_state noch unter den neueren Kernel ?
Grüße,

JD.

 

[RalfFriedl]

Zwischen der 7170 und der 7270 liegen etliche Kernel-Versionen, die Liste der Module, die auf der 7170 laufen, bringt für die 7270 nichts.

 

[sf3978]

..., mit denen die Regeln auf meiner 7170 funktionieren, auf die 7270 zu bringen und zu laden ?

Du könntest ja die Module des Kernels 2.6.19.2 der 7270, mit den Modulen deines jetzigen Kernels auf der 7270 vergleichen. Mit dem Kernel 2.6.19.2 hat iptables in deiner 7270 so funktioniert, wie iptables mit deiner 7170 auch funktioniert.

EDIT:

root@fritz:/var/mod/root# [COLOR=red]find /lib/modules/2.6.19.2/kernel/net/ipv4/netfilter -iname '*.ko'[/COLOR]
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack_h323.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack_irc.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack_pptp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack_rtsp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack_tftp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat_ftp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat_h323.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat_irc.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat_pptp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat_rtsp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_nat_tftp.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_tables.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_LOG.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_MASQUERADE.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_REDIRECT.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_REJECT.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_TCPMSS.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_TOS.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_ipp2p.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_iprange.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_layer7.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_owner.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_tos.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_ttl.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/iptable_filter.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/iptable_mangle.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/iptable_nat.ko
/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/iptable_raw.ko

root@fritz:/var/mod/root# [COLOR=red]find /lib/modules/2.6.19.2/kernel/net/netfilter -iname '*.ko'[/COLOR]
/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_CLASSIFY.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_MARK.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_NFQUEUE.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_NOTRACK.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_comment.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_conntrack.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_esp.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_helper.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_length.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_limit.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_mac.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_mark.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_multiport.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_pkttype.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_quota.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_realm.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_state.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_statistic.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_string.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_tcpmss.ko
/lib/modules/2.6.19.2/kernel/net/netfilter/xt_tcpudp.ko

 

[JohnDoe42]

Du könntest ja die Module des Kernels 2.6.19.2 der 7270, mit den Modulen deines jetzigen Kernels auf der 7270 vergleichen. Mit dem Kernel 2.6.19.2 hat iptables in deiner 7270 so funktioniert, wie iptables mit deiner 7170 auch funktioniert.

Okay, das würde ich gern versuchen. Bloß weiß ich leider nicht genau, wie ich ein Image mit dem alten Kernel (2.6.19) bauen soll .. (?)
Sollte ich einfach wieder eine ältere Revision des Trunks auschecken ?
Und was mich irgendwie immer noch konkret irritiert ist die Sache mit den STATE-REgeln: xt-State wird laut lsmod geladen, aber irgendwie nicht benutzt ?!

iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j ACCEPT
iptables: Invalid argument. Run `dmesg' for more information.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: Invalid argument. Run `dmesg' for more information.
iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: Invalid argument. Run `dmesg' for more information.
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables: Invalid argument. Run `dmesg' for more information.

Grüße,

JD.

 

[sf3978]

Bloß weiß ich leider nicht genau, wie ich ein Image mit dem alten Kernel (2.6.19) bauen soll .. (?)
Sollte ich einfach wieder eine ältere Revision des Trunks auschecken ?

Ja. Das geht so:

svn co http://svn.freetz.org/trunk trunk_[COLOR=red]7293[/COLOR] -r [COLOR=red]7293[/COLOR]

Und was mich irgendwie immer noch konkret irritiert ist die Sache mit den STATE-REgeln: xt-State wird laut lsmod geladen, aber irgendwie nicht benutzt ?!

Versuch mal diese Regel:

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

 

[JohnDoe42]

Versuch mal diese Regel:

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

Danke, werd' ich versuchen und wieder berichten. Merkwürdig ist bloß, das hier berichtet wird, das die Zustände NEW, ESTABLISHED, RELATED usw. auch durch Komma getrennt zu benutzen sind ...
Wie kann das denn sein, daß das quasi "über Nacht", sprich, durch einen neuen KErnel und/oder eine neue Iptables-Version nicht mehr funktioniert ?
Dito die Geschichte mit dport und sport ...
Grüße,

JD.

 

[sf3978]

Wie kann das denn sein, daß das quasi "über Nacht", sprich, durch einen neuen KErnel und/oder eine neue Iptables-Version nicht mehr funktioniert ?
Dito die Geschichte mit dport und sport ...

Das liegt nicht am neuen Kernel. Manchmal funktioniert es auch mit dem "alten" Kernel nicht. Es ist auch nicht sicher, ob es bei dir nur mit ESTABLISHED (d. h. ohne Komma), funktionieren wird.

 

[JohnDoe42]

Also liegt es an "iptables selber" ... ? D.h. an dem Schritt 1.4.11.1 -> 1.4.12.1 ... ? Wenn das so wäre: Welche Revision müßte ich auschecken, damit meine "alten" Regeln wieder funktionieren ?
Sind ipt_state und xt-state irgendwie vergleichbar ?
Und olistudent hatte hier geschrieben, daß es in letzter Zeit Probleme mit nf-conntrack (welches ich auch benötige) gegeben hat ...
Sollte ich ggfs. nochmal komplett neu auschecken, die benötigten Module (nf-conntrack, xt-state, xt-iprange, xt-multiport) in /make/iptables/config.in händisch für meinen Kernel (2.6.32) bauen lassen, in kernel-menuconfig diese auswählen und in /make/iptables/standard-modules für meinen Kernel alle einkommentieren ... ? So hat es jedenfalls "beim letzten Mal" funktioniert ...
Grüße,

JD.

 

[sf3978]

D.h. an dem Schritt 1.4.11.1 -> 1.4.12.1 ... ?

Nein. Wenn es um --dport bzw. --dports und "RELATED,ESTABLISHED" geht, gibt es auf der Box keinen Unterschied zwischen 1.4.11 und 1.4.12.

 

[JohnDoe42]

Aber wie erklärt es sich dann, daß es mit Post #64 noch funktionierte und mit dem aktuellen Trunk nicht mehr ?

 

[sf3978]

... und mit dem aktuellen Trunk nicht mehr ?

D. h. nicht, dass es so bleiben muss/wird. Evtl. wird es mit einem anderen trunk wieder funktionieren.

 

[JohnDoe42]

So, Update:

Ich habe den aktuellen Trunk nochmal komplett ausgecheckt und insbesondere in /make/linux/Config.ur8-16mb.7270_05.05 NF_CONNTRACK_IPV4=m gesetzt. Damit wurde auch nf-conntrack-ipv4 ins Image übernommen. Ein

modprobe xt-state
modprobe xt-iprange
modprobe xt-multiport
modprobe nf-conntrack-ipv4

läßt mich alle meine Regeln problemlos laden. Also war (in meinem Fall) eindeutig das fehlende nf-conntrack-ipv4 das Problem.
Grüße,

JD.

Edit: Kleiner Nachtrag - mit nf-conntrack wollte ich analog zu nf-conntrack-ipv4 verfahren - ohne Erfolg. Ich bekam das Modul nicht ins Image (möglicherweise ist es noch deaktiviert ... (?) so.).
Allerdings scheint in der Tat lediglich nf-conntrack-ipv4 gefehlt zu haben.
Kann man dieses nicht, zusammen mit xt-iprange und xt-state, per default bei Replace kernel mit ins Image nehmen ?