AVM-Firewall package für Freetz

[MaxMuster]

Moin,

Zu den "verschobenen Regeln" : Das Skript findet, wenn es keine "lowinput"-Regeln gibt, die "Leerzeichen nicht"...
Habe gerade kein "diff" zur Hand, daher mal so. Versuche doch mal bitte, die Datei rc.avm-firewall so abzuändern. Zunächst mal eine Kopie anlegen und drübermounten,:

cp /mod/etc/init.d/rc.avm-firewall /tmp
mount --bind /tmp/rc.avm-firewall  /mod/etc/init.d/rc.avm-firewall

dann die Datei in /tmp/rc.avm-firewall so abändern

[...]
# Leerzeichen sind
[B]# [/B]SPACES="`echo "$LOWINPUT" | sed -n 's/\(^[ ]*\)"\(permit\|deny\|reject\).*;.*/\1

# Der "accesslit" String (leere Rulestabelle ist ohne accesslist-Eintrag!)
ACCL=`echo "$DSLIFACES" | sed '/accesslist/!d ; q' `
[B]SPACES=`echo "$ACCL" | sed 's/./ /g'`[/B]
POL=`echo "$DSLIFACES" | sed '/policy/!d ; q' | sed 's/\(^.*= "\).*/\1/'`

[...]

(Oder diese Änderung im make-Ordner entsprechend vornehmen und dann das Paket neu bauen lassen)


Jörg

EDIT: ... und hier als Anhang zwei diff-Files:

diff2: Behebt das Fehlerbild oben und noch ein Problem, wenn nur die original Forwardingrules da sind
diff5: Testversion mit "related" Einträgen (als in- oder out-related "Protokoll" wählbar) ...

 

[maSpro]

Mon Jörg,

:groesste:

Werde es heute Abend mal testen.

Herzliche Grüße

 

[MaxMuster]

... gerne ...

Übrigens: jede neue Regel kann, bevor sie "hinzugefügt" wird, in der Zeile belibig ergänzt werden, so dass du solche Sachen wie "related" auch von Hand eintragen könntest.
Gleiches gilt (und deshalb mit besonderer Vorsicht genießen) für die "Debug-Fenster": Die darin vorhandene Config wird ohne weitere Prüfung in die ar7.cfg eingebaut, falls man also faul ist, oder von Hand was ergänzen möchte...


Jörg

 

[maSpro]

Hallo Jörg,

habe im freetz-trunk-Verzeichins rc_2 mit patch -p0 < fw_diff5.txt eingespielt und das image neu gebaut. Im Menü taucht auch die neue Verison auf, irgendwelche Änderungen (related) sind aber nicht zu sehen.

MfG

 

[MaxMuster]

Bau doch mal eine neue Regel und nutze die Protokoll-Dropdown-Liste...

 

[olistudent]

Ist ein "make firewall-cgi-dirclean" nötig?

MfG Oliver

 

[MaxMuster]

... da es eine "neue Version" ist, sollte das nicht nötig sein.
Oder hattest du vorher schonmal mit dem 2-er Diff eine Version gebaut?

Jörg

 

[maSpro]

Moin Jörg,

das mit dem 5-er Diff hat jetzt geklappt (-=> rc2). Schaut für mich soweit gut aus, jetzt kann incoming/outgoing-related in Ruhe getestet werden.

Die Checkboxen für's Logging merken sich den Status noch nicht.

MfG
Marc

 

[MaxMuster]

... hab ich auch gerade gemerkt. Also: "merken" tut die GUI sich die Einstelleungen, nur sie wurden nicht korrekt angezeigt. Versuch es doch mal mit diesem Patch (vorher den 5-er Patch mit "-R" wieder entfernen).

Jörg

 

[maSpro]

Eingespielt. Klappt auch, aber

wenn ich in oder out alle Regeln lösche, neue anlege und die Box gebootet hat taucht jeweils als erste Regel die 'policy = "permit/deny";'-Zeile auf, wiederum etwas eingerückt.

Gruß
Marc

 

[MaxMuster]

Moin,

Der letzte Patch enthielt versehentlich die Korrektur für die "Spaces" nicht mehr (die Änderung der "rc.avm-firewall").
Zudem gibt es auch ein Problem, wenn sowohl die lowinput- als auch die highout-Regeln komplett leer sind, denn dann gibt es keinen "accesslist"-Eintrag mehr in dem untersuchten Bereich. Ich weiß zwar nicht, ob das jemals jemand so macht, aber habe das mal gleich so gebaut, dass das auch kein Problem wäre...


Jörg

 

[maSpro]

Moin Jörg,

danke, incoming schreibt sich nur mit einem "m". Sorry dass ich so hartnäckig bin. :spocht:



MfG
Marc

 

[MaxMuster]

Ja, tut man ;-)

Jörg

PS: Du könntest das übrigens auch direkt im Patch-File verändern...

 

[maSpro]

Längst geschehen.

MfG
Marc

 

[maSpro]

Jörg, mach mal bitte folgendes: Alle Regeln löschen, in und out auf deny, neue Regeln anlegen, übernehmen, box neu booten. Nach dem reboot steht bei in und out wieder die "policy ="-Zeile ganz oben, eingerückt.

Außerdem: Nach dem patchen, wie baue ich am schnellsten ein neues Image? Ich verwende speed2fritz und baue mit ./start-freetz.sh ein neues Image. Im freetz-trunk-Ordner mach immer ein make dirclean vor einem neuen patch ... das geht doch bestimmt einfacher, oder?

Noch etwas: Kann ich den syslogd oder die box in einer telnet session dazu überreden mir nur die drop messages auszugeben?

MfG
Marc

 

[MaxMuster]

Moin,

hängst du bitte mal kurz an, wie das bei dir aussieht, also den Regel-Ausschnitt aus der ar7.cfg? Ist das auch vor dem Reboot schon so?

Danke!

 

[matze1985]

@msSpro: es müsste reichen, wenn du ein make avm-firewall-dirclean machst, denn mehr hat sich ja nicht geändert.

du kannst mit logread bzw logread -f die syslog ausgaben ausgeben bzw verfolgen.

 

[maSpro]

@matze: Danke.

@Jörg: In der ar7.cfg ändert sich nichts, aber die Darstellung im Web-Interface ist falsch.

MfG
Marc

 

[MaxMuster]

Moin Marc,

versuchst du bitte mal diese Änderung an der rc.avm-firewall?

# Die eigentlichen Rules rauslesen (Am Anfang Leereichen und " loeschen, am Ende die ", oder "; Kombination)
LIRULES=`echo "$LOWINPUT"| sed  -n "s/^[ ]*\"//g ; /^permit\|[B]^[/B]deny\|[B]^[/B]reject/ {s/\"[,;]//g;s/[ ]*$//gp}"`
LIPOL="`echo "$LOWINPUT" | grep "policy =" | sed  's/^.*policy.*"\(.*\)";/\1/'`"

HIGHOUTPUT="`echo "$DSLIFACES" | sed -n '/highoutput/,/}/p'`"
HORULES=`echo "$HIGHOUTPUT"| sed  -n "s/^[ ]*\"//g ; /^permit\|[B]^[/B]deny\|[B]^[/B]reject/ {s/\"[,;]//g;s/[ ]*$//gp}"`
HOPOL="`echo "$HIGHOUTPUT" | grep "policy =" | sed  's/^.*policy.*"\(.*\)";/\1/'`"

(jeweils in den Zeilen von "LIRULES" und "HORULES" vor "deny" und "permit" noch ein ^ hinzufügen)

Das Problem ist übrigens unabhängig vom Löschen, es liegt nur am Ändern der Default-Policy auf "deny"...


Jörg

 

[maSpro]

Moin Jörg,

vielen Dank für deine Bemühungen, sieht für mich soweit gut aus. Jetzt kann mal ausgiebig getestet werden ...

Btw, macht es Sinn die AVM-Firewall unter freetz/Dienste anzubieten? Start/Stop/Restart ist ja nicht möglich: "Firewall is running by AVM per default" (Stop), "ERROR: Can only used by GUI." (Restart).

Herzliche Grüße
Marc