AVM-Firewall package für Freetz

[MaxMuster]

Hi,

eigentlich kannst du da wenig falsch machen...

Könntest du bitte mal schauen, ob die Datei "/mod/etc/conf/avm-firewall.cfg" existiert? Z.B. indem du in der RudiShell ausführst:

cat /mod/etc/conf/avm-firewall.cfg

Jörg

 

[modern world]

Das ganze sieht dann so aus:

export AVM_FIREWALL_DO_ACTIVATE=''
export AVM_FIREWALL_RULESTABLE_LI='deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any eq 135 /*AVM*/
deny tcp any any eq 135 /*AVM*/
deny udp any any range 137 139 /*AVM*/
deny tcp any any range 137 139 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 520 /*AVM*/
deny udp any any eq 111 /*AVM*/
deny udp any any eq 22289 /*AVM*/
deny udp any any eq 1710 /*AVM*/
deny udp any any eq 1048 /*AVM*/
deny udp any any eq 158 /*AVM*/
deny udp any any eq 515 /*AVM*/'
export AVM_FIREWALL_RULESTABLE_HO='reject ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
reject ip any 169.254.0.0 255.255.0.0 /*AVM*/
reject udp any any eq 135 /*AVM*/
reject tcp any any eq 135 /*AVM*/
reject udp any any range 137 139 /*AVM*/
reject tcp any any range 137 139 /*AVM*/
reject udp any any range 161 162 /*AVM*/
reject udp any any eq 520 /*AVM*/
reject udp any any eq 111 /*AVM*/
reject udp any any eq 22289 /*AVM*/
reject udp any any eq 1710 /*AVM*/
reject udp any any eq 1048 /*AVM*/
reject udp any any eq 158 /*AVM*/
reject udp any any eq 515 /*AVM*/
reject icmp any 149.1.1.0 255.255.255.0 /*AVM*/'
export AVM_FIREWALL_GUI=''
export _cgi_width='1004'
export AVM_FIREWALL_POLICY_LI='permit'
export AVM_FIREWALL_POLICY_HO='permit'
export AVM_FIREWALL_LOG=''
export AVM_FIREWALL_LOG_DROPPED=''
export AVM_FIREWALL_FORWARDINGRULES='udp 0.0.0.0:5060 0.0.0.0:5060'

 

[MaxMuster]

... hmm, das sieht eigentlich gut aus. Könntest du dich mal per telnet auf die Box verbinden, und dann versuchen, die GUI "von Hand" zu starten um die Ausgabe zu sehen?!?

/etc/init.d/rc.avm-firewall start

Jörg

 

[modern world]

da kommt nicht viel, wie die Fehlermeldung im Log.

 

[gnieder]

@Jörg,

im svn 2683 - das ist jetzt zwar nicht weltbewegend aber der Vollständigkeit halber - fehlt
noch die 255.255.255.254 Maske.

Gruß

Wanninger

 

[MaxMuster]

Moin,

@gnieder
das ist mit Absicht rausgelassen, weil es so ein Netz eigentlich nicht gibt (es bestände nur aus Netz- und Broadcast-IP).
Falls man nun tatsächlich zufällig zwei IPs so maskieren könnte, muss man halt selbst Hand anlegen und vor dem Übernehmen die Regel entsprechend editieren ;-)

@modern world
O.k., dann müssten wir etwas tiefer graben....
Bitte Poste doch mal das Ergebnis hiervon (als Text, nicht als Screenshot, bitte)

cp /mod/etc/init.d/rc.avm-firewall /tmp/
cd /tmp
sed -i '/FWDSPACES=/,/esac/ s/load)/load)\nset -x\necho "CONFIG=$CONFIG"/' rc.avm-firewall
/tmp/rc.avm-firewall

Jörg

 

[modern world]

Hi Jörg,

auch hier kommt nicht viel dabei raus,aber Dir wird es wohl was aussagen.

/tmp/rc.avm-firewall: line 61: syntax error: redirection unexpected /var/tmp #

 

[MaxMuster]

Bitte poste doch den gesamten Output und nicht eine Zeile, sonst "ist dir nicht zu helfen" ;-). Das war doch nicht alles, oder?

Wenn du es so aus der Telnet Session nicht kopieren kannst, nutze bitte dies leicht abgewandelte in der "RudiShell"

cp /mod/etc/init.d/rc.avm-firewall /tmp/
cd /tmp
sed -i '/FWDSPACES=/,/esac/ s/load)/load)\nset -x\necho "CONFIG=$CONFIG"/' rc.avm-firewall
/tmp/rc.avm-firewall  2>&1

Jörg

 

[modern world]

moin Jörg,

das war der gesamte Output, mehr kam in Telnet nicht heraus.
Bei RudiShell ist es da auch nicht mehr.

/tmp/rc.avm-firewall: line 61: syntax error: redirection unexpected

 

[maSpro]

Kleine Anmerkung zu den subnet masks: Ich "brauche" den 240er eigentlich nicht. Hinter 224.0.0.0 mask 240.0.0.0 steckt lediglich der Multicast-Bereich für IPTV. Tut ja nicht weh, muss ich's nicht von Hand eintippen.

Schön, dass sich noch andere mit dem Paket beschäftigen!

Herzliche Grüße an's Forum

 

[MaxMuster]

@modern world:
O.k., neuer Versuch:

Testest du mal bitte dies:

cd /tmp
CONFIG=blabla
echo -e "MY_LOG=xy\nMY_cgi='GUI'\nMY_TEST=NIX" > blabla
echo "Zuerst:"
cat $CONFIG
echo "`cat $CONFIG | grep '_cgi\|_LOG' `" > $CONFIG
echo "dann:"
cat $CONFIG

Gibt es dabei auch einen Fehler?

Ansonsten teste doch mal bitte auch mal dies hier

sh --help 2>&1
cp /mod/etc/init.d/rc.avm-firewall /tmp/
cd /tmp
sed -i '/FWDSPACES=/,/esac/ {s/load)/load)\nset -x\nmv $CONFIG ${CONFIG}.bak"/ ; s/cat \$CONFIG/cat \${CONFIG}.bak/}' rc.avm-firewall
/tmp/rc.avm-firewall 2>&1

Hast du übrigens eine besondere Shell ausgewählt?

Jörg

 

[modern world]

zu 1. kann ich keinen Fehler ausmachen!

Zuerst:
MY_LOG=xy
MY_cgi='GUI'
MY_TEST=NIX
dann:
MY_LOG=xy
MY_cgi='GUI'

zu 2. was meinst Du mit besonderer Shell, also ich habe da keine gewählt!

BusyBox v1.11.3 (2008-10-30 01:15:52 CET) multi-call binary

No help available.

/tmp/rc.avm-firewall: line 157: syntax error: Unterminated quoted string

Sollte ich doch mal besser ein "make dirclean" ausführen?

 

[MaxMuster]

OOps, falschen String kopiert (da war ein " zuviel hinter dem bak). Sorry, machst du bitte das nochmal?

sh --help 2>&1
cp /mod/etc/init.d/rc.avm-firewall /tmp/
cd /tmp
sed -i '/FWDSPACES=/,/esac/ {s/load)/load)\nset -x\nmv $CONFIG ${CONFIG}.bak/ ; s/cat \$CONFIG/cat \${CONFIG}.bak/}' rc.avm-firewall
/tmp/rc.avm-firewall 2>&1

Jörg

 

[modern world]

und hier nocheinmal....

BusyBox v1.11.3 (2008-10-30 01:15:52 CET) multi-call binary

No help available.

/tmp/rc.avm-firewall: line 61: syntax error: redirection unexpected

 

[MaxMuster]

Auch wenn mir die Möglichkeiten bald ausgehen, noch gebe ich nicht auf ;-)

Erste Möglichkeit: Statt der Variable ($CONFIG) direkt den Pfad eingeben:

cp /mod/etc/init.d/rc.avm-firewall /tmp/
cd /tmp
sed -i '/FWDSPACES=/,/esac/ {s/load)/load)\nset -x/ ; s%\$CONFIG%/mod/etc/conf/avm-firewall.cfg%g}' rc.avm-firewall
/tmp/rc.avm-firewall 2>&1

Du könntest ansonsten mal "nur den angemeckerten Teil" extrahieren und das hier probieren...

cp /mod/etc/init.d/rc.avm-firewall /tmp/
cp /mod/etc/conf/avm-firewall.cfg /tmp
cd /tmp
sed -in '/CONFIG/{ s%/mod/etc/conf%/tmp% ; p}' rc.avm-firewall
cat /tmp/rc.avm-firewall 2>&1
echo "alte Config"
cat /tmp/avm-firewall.cfg
/tmp/rc.avm-firewall 2>&1
echo "neue Config"
cat /tmp/avm-firewall.cfg

Danke für deine Ausdauer ;-)

Jörg

 

[Darkyputz]

hiho...habe ebne mal den spass gemacht und mir den neuesten trunk mit dem avm-firewall bugfixes gezogen...
ich weiß nicht wo ihr uere fehlermeldung herbekommt...aber die avm firewall rennt perfekt...

 

[modern world]

Hallo Jörg,

zu 1. welchen Pfad meinst Du? ich habe es direkt eingegeben.

/tmp/rc.avm-firewall: line 60: syntax error: redirection unexpected

zu 2. was genau soll ich extrahieren

[Edit frank_m24: Bitte benutzt CODE Tags für lange Ausgaben.]

CONFIG=/tmp/avm-firewall.cfg
               echo "`cat $CONFIG | grep '_cgi\|_LOG' `" > $CONFIG
               echo "export AVM_FIREWALL_DO_ACTIVATE=''" >> $CONFIG
               echo "export AVM_FIREWALL_GUI=''" >> $CONFIG
               echo "`cat $CONFIG | grep '_cgi\|_LOG' `" > $CONFIG
	       echo "export AVM_FIREWALL_DO_ACTIVATE=''" >> $CONFIG
	       echo "export AVM_FIREWALL_GUI=''" >> $CONFIG
               echo "export AVM_FIREWALL_RULESTABLE_LI='""$LIRULES""'" >> $CONFIG
               echo "export AVM_FIREWALL_RULESTABLE_HO='""$HORULES""'" >> $CONFIG
               echo "export AVM_FIREWALL_POLICY_LI='""$LIPOL""'" >> $CONFIG
               echo "export AVM_FIREWALL_POLICY_HO='""$HOPOL""'" >> $CONFIG
               echo "export AVM_FIREWALL_FORWARDINGRULES='""$FWDRULES""'" >> $CONFIG
                echo "`sed -e "s/\*gui\*//g" $CONFIG`" > $CONFIG
alte Config
export AVM_FIREWALL_DO_ACTIVATE=''
export AVM_FIREWALL_RULESTABLE_LI='deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any eq 135 /*AVM*/
deny tcp any any eq 135 /*AVM*/
deny udp any any range 137 139 /*AVM*/
deny tcp any any range 137 139 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 520 /*AVM*/
deny udp any any eq 111 /*AVM*/
deny udp any any eq 22289 /*AVM*/
deny udp any any eq 1710 /*AVM*/
deny udp any any eq 1048 /*AVM*/
deny udp any any eq 158 /*AVM*/
deny udp any any eq 515 /*AVM*/'
export AVM_FIREWALL_RULESTABLE_HO='reject ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
reject ip any 169.254.0.0 255.255.0.0 /*AVM*/
reject udp any any eq 135 /*AVM*/
reject tcp any any eq 135 /*AVM*/
reject udp any any range 137 139 /*AVM*/
reject tcp any any range 137 139 /*AVM*/
reject udp any any range 161 162 /*AVM*/
reject udp any any eq 520 /*AVM*/
reject udp any any eq 111 /*AVM*/
reject udp any any eq 22289 /*AVM*/
reject udp any any eq 1710 /*AVM*/
reject udp any any eq 1048 /*AVM*/
reject udp any any eq 158 /*AVM*/
reject udp any any eq 515 /*AVM*/
reject icmp any 149.1.1.0 255.255.255.0 /*AVM*/'
export AVM_FIREWALL_GUI=''
export _cgi_width='1004'
export AVM_FIREWALL_POLICY_LI='permit'
export AVM_FIREWALL_POLICY_HO='permit'
export AVM_FIREWALL_LOG=''
export AVM_FIREWALL_LOG_DROPPED=''
export AVM_FIREWALL_FORWARDINGRULES='udp 0.0.0.0:5060 0.0.0.0:5060'
neue Config
export _cgi_width='1004'
export AVM_FIREWALL_LOG=''
export AVM_FIREWALL_LOG_DROPPED=''
export AVM_FIREWALL_DO_ACTIVATE=''
export AVM_FIREWALL_GUI=''
export AVM_FIREWALL_RULESTABLE_LI=''
export AVM_FIREWALL_RULESTABLE_HO=''
export AVM_FIREWALL_POLICY_LI=''
export AVM_FIREWALL_POLICY_HO=''
export AVM_FIREWALL_FORWARDINGRULES='

übrigens Danke für Deine Ausdauer
wäre vielleicht doch angebracht, alles neu anzusetzen?

 

[MaxMuster]

zu 1. welchen Pfad meinst Du? [...]zu 2. was genau soll ich extrahieren

... das sollte jeweils nur beschreiben, was die Eingabe die du da "quasi blind machst", bewirken soll...

Leider ist das Ergebnis nicht so, wie ich es wollte, denn der zweite Teil der Ausgabe ist eigentlich nur der "Code-Ausschnitt", der im gesamten Skript den Fehler erzeugt. Nur warum gibt er jetzt keinen Fehler?!?

Du kannst es ja mal "neu aufsetzen", am einfachsten ist aber, du bringst erstmal die Datei "make/avm-firewall/files/root/etc/init.d/rc.avm-firewall" nochmal neu auf die Box (z.B. nach /tmp) und führst die nochmal aus....

Könntest du auch mal "/bin/sh -x /etc/init.d/rc.avm-firewall 2>&1" ausführen?

Wenn alles nix hilft, sähe ich nur noch, die Möglichkeit, wenn ich mal "direkt auf die Box" schauen dürfte. Wenn das eine Option wäre, melde dich doch per PN bei mir.


Jörg

 

[modern world]

Hi Jörg,

so, ich habe es neu aufgesetzt und siehe da,
es funktioniert wunderbar...
Ich muß aber gestehen das ich ein make dirclean
gemacht habe. Es wird wohl im Ordner von freetz-trunk/avm-firewall
irgend eine nicht gelöschte Datei gewesen sein, die diesen Konflikt ausgelöst haben kann, meine Vermutung?
Trotzdem Danke für Deine Bemühungen und Ausdauer mit mir.

 

[wonderdoc]

Hallo,

ich habe gerade mal Trunc2894 ausgescheckt.
Ich mußte bei meiner 7170 nun die Default-Konfig im AVM-Webmenü laden.
Nun wollte ich meine Portforwarding Regel über das Freetz WebIf wieder einrichten.
Installiert ist die Version 2.0.4_rc2 aus dem Trunc.
Ich kann dort problemlos Regeln anlegen und vorhandene ändern oder löschen.
Diese Änderungen werden aber mit dem Button Übernehmen leider nicht gespeichert.
Ich habe mal manuell in die ar7.cfg geschaut. Dort wurde die Änderung auch wirklich nicht durchgeführt.

mfg
Wonderdoc