AVM-Firewall package für Freetz
- Ersteller han-solo
- Erstellt am
Das scheint so scheinbar nicht hinzuhauen. Auch ein
Code:
mount -o bind ...
Code:
tmpfs /usr/lib/cgi-bin/avm-firewall.cgi tmpfs rw 0 0
Code:
[B]Fehler:[/B] Kein Skript für das Paket 'avm-firewall'.Ähh, ja, sorry, da hätt' ich auch selber noch drauf kommen können.
War verwirrt durch den tmpfs Eintrag, ich dachte ein bind stellt sich in der mtab anders dar.
Auf alle Fälle funktioniert das löschen sowohl am Ende, als auch in der Mitte und am Anfang jetzt wie gewünscht.
Dann kann ich ja jetzt mit dem patch ein neues Image bauen, oder willst du noch eine aktualisierte Version anbieten, auf die ich dann warten würde.
Danke
chres
War verwirrt durch den tmpfs Eintrag, ich dachte ein bind stellt sich in der mtab anders dar.
Auf alle Fälle funktioniert das löschen sowohl am Ende, als auch in der Mitte und am Anfang jetzt wie gewünscht.
Dann kann ich ja jetzt mit dem patch ein neues Image bauen, oder willst du noch eine aktualisierte Version anbieten, auf die ich dann warten würde.
Danke
chres
Sorry erstmal für die verspätete Reaktion.
Leider bin ich momentan auf Geschäftsreise unterwegs und somit ca. 800 km von meiner Fritz!Box entfernt. - Per VPN komme ich momentan nicht drauf, da ich dort erst mein Kennwort geändert habe und es mir momentan nicht einfällt. :-(
Dennoch erstmal ein ganz großes Dankeschön an dich MaxMuster. - Spätestens am Montag bin ich wieder daheim und werde es dann gleich neugierig testen.
Grüße
smileyman
Leider bin ich momentan auf Geschäftsreise unterwegs und somit ca. 800 km von meiner Fritz!Box entfernt. - Per VPN komme ich momentan nicht drauf, da ich dort erst mein Kennwort geändert habe und es mir momentan nicht einfällt. :-(
Dennoch erstmal ein ganz großes Dankeschön an dich MaxMuster. - Spätestens am Montag bin ich wieder daheim und werde es dann gleich neugierig testen.
Grüße
smileyman
ChrisHam
Neuer User
- Mitglied seit
- 28 Feb 2006
- Beiträge
- 30
- Punkte für Reaktionen
- 0
- Punkte
- 6
Öhm, kurze Frage ...
bislang war im Freetz-Trunk immer die Version 2.03c und ich mußte händisch diese beta reinkopieren ... jetzt zeigt er mir im menuconfig schon eigentlich diese 2.04beta an. Ist diese neuere Version inzwischen eingecheckt?
Lg,
ChrisHam.
bislang war im Freetz-Trunk immer die Version 2.03c und ich mußte händisch diese beta reinkopieren ... jetzt zeigt er mir im menuconfig schon eigentlich diese 2.04beta an. Ist diese neuere Version inzwischen eingecheckt?
Lg,
ChrisHam.
@chres:
Wenn es eine "neue Version" gibt, ist die ein "Bugfix" und sonst ist nix anderes drin ;-), groß zu warten lohnt also wohl nicht...
@conila:
Sagst du bitte noch, wann das Problem bei dir auftrat?
Direkt beim Starten der Box?
Denn wie schon gesagt, der Part in dem der Fehler auftrat dürfte eigentlich nur aufgerufen werden, wenn die Firewall mir dem Befehl "rc.avm-firewall start" (oder "restart") aufgerufen wird, was eigentlich nur aus dem Webif passieren sollte, und dann sind alle Parameter "ordentlich gesetzt"...
@ChrisHam
Timestamp: 31.08.2008 21:44:41 (4 weeks ago) ;-)
Jörg
Wenn es eine "neue Version" gibt, ist die ein "Bugfix" und sonst ist nix anderes drin ;-), groß zu warten lohnt also wohl nicht...
@conila:
Sagst du bitte noch, wann das Problem bei dir auftrat?
Direkt beim Starten der Box?
Denn wie schon gesagt, der Part in dem der Fehler auftrat dürfte eigentlich nur aufgerufen werden, wenn die Firewall mir dem Befehl "rc.avm-firewall start" (oder "restart") aufgerufen wird, was eigentlich nur aus dem Webif passieren sollte, und dann sind alle Parameter "ordentlich gesetzt"...
@ChrisHam
changeset2477 avm-firewall: bump to 2.0.4_beta (by MaxMuster, closes #236))
Timestamp: 31.08.2008 21:44:41 (4 weeks ago) ;-)
Jörg
Hallo zusammen,
zunächst einmal bin ich von dem Paket (Web Interface) begeistert, großes Lob an alle Beteiligten!
Ich darf hier hoffentlich ein paar, vielleicht unbedarfte, Fragen zum allgemeinen Verhalten der Firewall stellen?
Muss für jede highoutput-Regel ein lowinput-Pendant erstellt werden? Die Frage deshalb, weil ich output default mit deny arbeite, also explizit mit permit-Regeln. Angeblich soll es sich um eine Stateful FW handeln, weshalb ich das so nicht ganz nachvollziehen kann. Oder müssen dazu in der ar7.cfg die Regeln zusätzlich von Hand mit outgoing/incoming-related versehen werden? Jedenfalls geht bei lowinput mit deny als default überhaupt nichts, egal welche perimt-Regeln erstellt werden. Außerdem verursacht ein komplettes Löschen der lowinput-Regeln grundsätzlich ein Laden der default.cfg (Zugangsdaten weg, usw.). Ich bitte um Aufklärung, stelle mich und meine Zweitbox gerne für Tests zur verfügung.
MfG
zunächst einmal bin ich von dem Paket (Web Interface) begeistert, großes Lob an alle Beteiligten!
Ich darf hier hoffentlich ein paar, vielleicht unbedarfte, Fragen zum allgemeinen Verhalten der Firewall stellen?
Muss für jede highoutput-Regel ein lowinput-Pendant erstellt werden? Die Frage deshalb, weil ich output default mit deny arbeite, also explizit mit permit-Regeln. Angeblich soll es sich um eine Stateful FW handeln, weshalb ich das so nicht ganz nachvollziehen kann. Oder müssen dazu in der ar7.cfg die Regeln zusätzlich von Hand mit outgoing/incoming-related versehen werden? Jedenfalls geht bei lowinput mit deny als default überhaupt nichts, egal welche perimt-Regeln erstellt werden. Außerdem verursacht ein komplettes Löschen der lowinput-Regeln grundsätzlich ein Laden der default.cfg (Zugangsdaten weg, usw.). Ich bitte um Aufklärung, stelle mich und meine Zweitbox gerne für Tests zur verfügung.
MfG
Moin,
die umfassenste "Doku" zur internen FW der Box findest du wohl hier (aber da du schon was von den "related-Einträgen" schreibst, kennst du die scheinbar schon ?!?). Denn standardmäßig sind in den Regeln diese Einträge m.W. nicht genutzt.
Ich muss gestehen, auch wenn ich die "WebGUI" dazu aktiv mitentwickelt habe, so wirklich tief bin ich da nicht drin, meine aber mich zu erinnern, dass ich das ändern der default-Policy mit expliziten permit Regeln zumindest mal (erfolgreich) ausprobiert hätte....
Was die Box bei einer "komplett leeren Liste" macht, müsste ich mal prüfen. Da könnte ich mir einen nicht abgefangenen Sonderfall als "Problem" vorstellen, was dann zu einer verstümmelten ar7.cfg (und damit dem Neuladen des defaults) führen kann.
Jörg
die umfassenste "Doku" zur internen FW der Box findest du wohl hier (aber da du schon was von den "related-Einträgen" schreibst, kennst du die scheinbar schon ?!?). Denn standardmäßig sind in den Regeln diese Einträge m.W. nicht genutzt.
Ich muss gestehen, auch wenn ich die "WebGUI" dazu aktiv mitentwickelt habe, so wirklich tief bin ich da nicht drin, meine aber mich zu erinnern, dass ich das ändern der default-Policy mit expliziten permit Regeln zumindest mal (erfolgreich) ausprobiert hätte....
Was die Box bei einer "komplett leeren Liste" macht, müsste ich mal prüfen. Da könnte ich mir einen nicht abgefangenen Sonderfall als "Problem" vorstellen, was dann zu einer verstümmelten ar7.cfg (und damit dem Neuladen des defaults) führen kann.
Jörg
MaxMuster, vielen Dank für deine Mühe - Auch bei mir hat es geholfen.
Nun können die Regeln wieder gezielt gelöscht werden.
Dankeschön
smileyman
Nun können die Regeln wieder gezielt gelöscht werden.
Dankeschön
smileyman
xemacs
Neuer User
- Mitglied seit
- 6 Jan 2005
- Beiträge
- 64
- Punkte für Reaktionen
- 0
- Punkte
- 0
hi leute!
also ich habe partout ein problem mit dem addon
egal was für rules (forward) ich anlege, sie werden weder gespeichert noch angewendet! (es handelt sich um rules für internet->service auf box)
gruß
marcel
also ich habe partout ein problem mit dem addon
egal was für rules (forward) ich anlege, sie werden weder gespeichert noch angewendet! (es handelt sich um rules für internet->service auf box)
gruß
marcel
Deine Stichworte für die Bopardsuche sind "VirtualIP" und dabei bitte vor allem Augenmerk darauf legen, wieso das nicht auf die Box direkt funktioniert, bzw. was man tun muss, damit eben dies doch geht.
Hallo,
ich wollte nächste Woche mal den aktuellen Trunc auschecken.
Ist dort der letzte Fix des AVM-Firewall package schon eingescheckt?
Ich konnte in den Changelogs dazu nichts finden.
mfg
Wonderdoc
ich wollte nächste Woche mal den aktuellen Trunc auschecken.
Ist dort der letzte Fix des AVM-Firewall package schon eingescheckt?
Ich konnte in den Changelogs dazu nichts finden.
mfg
Wonderdoc
olistudent
IPPF-Urgestein
- Mitglied seit
- 19 Okt 2004
- Beiträge
- 14,787
- Punkte für Reaktionen
- 13
- Punkte
- 38
Beitrag 1:
Ich nehme mir das fürs Wochenende nochmal vor, solange nutze einfach zusätzlich den Patch aus Beitrag #196...
Beitrag 2:So, im Ticket 263 ist ein Patch mit den letzten Änderungen, auch das Problem mit "leeren Regeln", das maSpro gemeldet hatte, sollte nun behoben sein.
Beitrag 3:
... und eingechecked hat Oliver es auch schon ;-). Danke!
Jörg
Wenn du dich auf die "Löschprobleme" beim Forwarding beziehst, muss ich gestehen: Nein. Ich war am überlegen, ob ich wegen des im #194 von "conila" gemeldeten Verhaltens noch was ändern müsste, weil ich das nicht reproduzieren konnte, habe aber keine Rückmeldung bekommen...
Ich nehme mir das fürs Wochenende nochmal vor, solange nutze einfach zusätzlich den Patch aus Beitrag #196...
Beitrag 2:So, im Ticket 263 ist ein Patch mit den letzten Änderungen, auch das Problem mit "leeren Regeln", das maSpro gemeldet hatte, sollte nun behoben sein.
Beitrag 3:
... und eingechecked hat Oliver es auch schon ;-). Danke!
Jörg
Zuletzt bearbeitet:
Ja,
ich meine den Fix zu "Löschprobleme" beim Forwarding.
Habs auch gerade gesehen, daß es nun eingecheckt ist.
Ich werde es dann nächste Woche nach den auschecken mal testen.
mfg
Wonderdoc
ich meine den Fix zu "Löschprobleme" beim Forwarding.
Habs auch gerade gesehen, daß es nun eingecheckt ist.
Ich werde es dann nächste Woche nach den auschecken mal testen.
mfg
Wonderdoc
Moin Jörg,
kurze Frage: Besteht deinerseits Interesse das Paket noch weiter auszubauen?
Die Frage deshalb, weil meiner Meinung nach das Web-Interface zu den Regeln die Box echt aufwertet! Allerdings fehlen aus meiner Sicht noch ein paar Optionen ... Außerdem will mir die oft geäußerte Meinung, man müsse die Regeln jeweils zweimal eintragen (lowinput und highoutput), nicht ganz einleuchten. Jedenfalls beziehen sich lowinput und highoutput tatsächlich auf ein- bzw. ausgehende Verbindungen. Die lowinput-Regeln machen natürlich nur Sinn, wenn ein entsprechendes Forwarding dazu verwendet wird. Schön wäre, wenn die stateful-Optionen (outgoing/incoming-related) noch berücksichtigt würden. Außerdem wäre es nett, wenn sich die Checkboxen zum Logging die Auswahl nach dem Aktivieren merken würden. Evtl. mit dem Hinweis, dass dies nach einem Neustart der Box hinfällig ist (bitte mich ggf. korrigieren, wenn ich hier falsch liegen sollte.)
Ich habe für das Logging das Paket Syslogd mitinstalliert. Wie könnte ich ohne das Paket die Meldungen des dsld sehen, via telnet?
MfG
kurze Frage: Besteht deinerseits Interesse das Paket noch weiter auszubauen?
Die Frage deshalb, weil meiner Meinung nach das Web-Interface zu den Regeln die Box echt aufwertet! Allerdings fehlen aus meiner Sicht noch ein paar Optionen ... Außerdem will mir die oft geäußerte Meinung, man müsse die Regeln jeweils zweimal eintragen (lowinput und highoutput), nicht ganz einleuchten. Jedenfalls beziehen sich lowinput und highoutput tatsächlich auf ein- bzw. ausgehende Verbindungen. Die lowinput-Regeln machen natürlich nur Sinn, wenn ein entsprechendes Forwarding dazu verwendet wird. Schön wäre, wenn die stateful-Optionen (outgoing/incoming-related) noch berücksichtigt würden. Außerdem wäre es nett, wenn sich die Checkboxen zum Logging die Auswahl nach dem Aktivieren merken würden. Evtl. mit dem Hinweis, dass dies nach einem Neustart der Box hinfällig ist (bitte mich ggf. korrigieren, wenn ich hier falsch liegen sollte.)
Ich habe für das Logging das Paket Syslogd mitinstalliert. Wie könnte ich ohne das Paket die Meldungen des dsld sehen, via telnet?
MfG
Zuletzt bearbeitet:
Eigentlich wollte ich ja nur ganz kurz mal ein paar Vorschläge zu den ersten Ansätzen der GUI machen und habe es dann quasi geerbt ..... ;-)Besteht deinerseits Interesse das Paket noch weiter auszubauen?
Ich hielt "meine Lösung" auch für eine weder besonders gut programmierte Anwendung, noch eine mit sehr vielen Anwendungsfällen. Aber scheinbar gibt es ja doch Anwender.
Zu deinen Fragen:
- Die Checkboxen hatte ich eigentlich absichtlich nicht weggeschrieben, aber das mit abzuspeichern sollte kein Problem sein...
- Bezieht sich das mit dem "zweimal eintragen" auf das Blog von "Sascha 'Real-RIOT' Schmidt"? Auch meiner Meinung nach gibt es nur die Unterscheidung in ein- und ausgehnde Regeln und sie müssen nicht zweimal eingetragen werden...
- Ob und wie ich das mit den "related" Sachen noch reinbekomme weiß ich nicht. Ein Problempunkt ist, dass schon jetzt die GUI eine größere Breite benötigt. Dann wäre das vermutlich nur mit "zweizeiligen" Regeln möglich...
- Ich habe das Ansehen auch immer mit dem Syslogd gemacht.
Jörg
Hallo Jörg,
Danke für die schnelle Antwort. Schön, dass du es geerbt hast, denn so passiert da noch was. Ja, meine Aussage bezog sich auf den Blog. Also ich habe es auch so verstanden, dass sich lowinput auf eingehende Verbindungen bezieht: Wenn man eigene Server Dienste mit forwarding laufen hat kann man dort eben eingehend auch noch filteren, so zumindest lt. meinen ersten Tests. Wenn ich highoutput Port 80 sperre kann ich zwar nicht mehr von einem Rechner hinter der Box brausen, aber von außen immer noch auf einen internen Web-Server zugreifen. Naja, es fehlt eben an einer umfangreichen Doku zu den Regeln, die wir von AVM aber wohl kaum bekommen werden.
Connection related könnte man evtl. auch über eine Checkbox machen, braucht ja nicht so viel Platz.
Was noch nicht ganz klappt ist das Löschen aller Regeln (highinput). Es zerhagelt zwar die cfg nicht mehr, danach neu angelegte Regeln werden aber in der ersten Zeile eingerückt und auch so in der Übersicht angezeigt (nach rechts verschoben), auch schön mit dem FBE in der cfg zu sehen.
Herzliche Grüße
Danke für die schnelle Antwort. Schön, dass du es geerbt hast, denn so passiert da noch was.
Ja, meine Aussage bezog sich auf den Blog. Also ich habe es auch so verstanden, dass sich lowinput auf eingehende Verbindungen bezieht: Wenn man eigene Server Dienste mit forwarding laufen hat kann man dort eben eingehend auch noch filteren, so zumindest lt. meinen ersten Tests. Wenn ich highoutput Port 80 sperre kann ich zwar nicht mehr von einem Rechner hinter der Box brausen, aber von außen immer noch auf einen internen Web-Server zugreifen. Naja, es fehlt eben an einer umfangreichen Doku zu den Regeln, die wir von AVM aber wohl kaum bekommen werden. Connection related könnte man evtl. auch über eine Checkbox machen, braucht ja nicht so viel Platz.
Was noch nicht ganz klappt ist das Löschen aller Regeln (highinput). Es zerhagelt zwar die cfg nicht mehr, danach neu angelegte Regeln werden aber in der ersten Zeile eingerückt und auch so in der Übersicht angezeigt (nach rechts verschoben), auch schön mit dem FBE in der cfg zu sehen.
Herzliche Grüße
Neueste Beiträge
-
FRITZ!Box 4060 - Labor 7.90 - Sammelthema- Letzte: Bugs Bunny
-
[Gelöst] 7490 mit anderen IP-Adressen (als 192.168.178.1) recovern- Letzte: BenGurion_
-
[Sammlung] Aktuelle Konditionen für Vertragsverlängerung
- Letzte: Martin
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: joto
-
Fritz!DECT 302 regelt nicht mehr- Letzte: Jstessi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: Multireed