[Frage] ebtables verfügbar? Wie einbinden?

[dwichmann]

Doch noch Probleme.
Irgendwie lässt der Kernel der 7170 die Übersetzung von ebtables nicht zu. Es fehlen Headerdateien aus dem Kernel.
@MaxMuster: Wie ist die Übersetzung geglückt?

In file included from extensions/ebt_802_3.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_among.c:15:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_arp.c:14:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_arpreply.c:14:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_ip6.c:22:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_ip.c:18:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_limit.c:16:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_log.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_mark.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_mark_m.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_nat.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_nflog.c:17:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_pkttype.c:14:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_redirect.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_standard.c:12:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_stp.c:13:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_ulog.c:15:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebt_vlan.c:15:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebtable_broute.c:10:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebtable_filter.c:10:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from extensions/ebtable_nat.c:10:0:
extensions/../include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from ebtables.c:30:0:
include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from communication.c:23:0:
include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from ebtables-standalone.c:2:0:
include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
getethertype.c: In function 'getethertypeent':
getethertype.c:91:7: warning: incompatible implicit declaration of built-in function 'strpbrk'
In file included from libebtc.c:30:0:
include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory
compilation terminated.
In file included from useful_functions.c:25:0:
include/ebtables_u.h:28:38: fatal error: linux/netfilter/x_tables.h: No such file or directory

 

[RalfFriedl]

Vermutlich verwendest Du eine Version von ebtables, die für den Kernel der 7170 zu neu ist.

 

[dwichmann]

Das will ich nicht verneinen. Nur: Warum ging das bei MaxMuster? Oder verwendet die Telekom einen anderen Kernel?

 

[MaxMuster]

Hm, habe ich auf einem anderen PC gebaut, jetzt hier "nachgestellt" habe ich den Fehler auch (die includes von iptables werden nicht gefunden...).

Versuche mal, ebtables.mk zu erweitern; einmal zusätzlich ein "$(PKG)_DEPENDS_ON += iptables" aufnehmen, und dann noch die Zeile mit den
CFLAGS so erweitern, dass noch "-I$(FREETZ_BASE_DIR)/$(IPTABLES_DIR)/include" hinzukommt:

...
$(PKG)_SITE:=@SF/$(pkg)

[B]$(PKG)_DEPENDS_ON += iptables[/B]

$(PKG)_REBUILD_SUBOPTS += FREETZ_KERNEL_VERSION


...

$($(PKG)_BINARY): $($(PKG)_DIR)/.configured
	$(SUBMAKE) -C $(EBTABLES_DIR) static \
		CC="$(TARGET_CC)" \
		CFLAGS="-Iinclude [B]-I$(FREETZ_BASE_DIR)/$(IPTABLES_DIR)/include[/B] $(TARGET_CFLAGS)" \
		KERNEL_INCLUDES="$(FREETZ_BASE_DIR)/$(KERNEL_SOURCE_DIR)/include"

 

[dwichmann]

Es funktioniert mit dem Änderungen an Include Strukturen!

Danke, nun werde ich morgen mal das Image auf eine 7170 flashen.

 

[dwichmann]

Leider kommt bei der Ausführung der ebtables rules ein neuer Fehler:
Unable to update the kernel. Two possible causes:
1. Multiple ebtables programs were executing simultaneously. The ebtables
userspace tool doesn't by default support multiple ebtables programs running
concurrently. The ebtables option --concurrent or a tool like flock can be
used to support concurrent scripts that update the ebtables kernel tables.
2. The kernel doesn't support a certain ebtables extension, consider
recompiling your kernel or insmod the extension.
.
root@fritz:/var/mod/root#

Kann es sein, dass die doppelten Kernelmodule ein Problem für die 7170 sind? Einmal in Kernel menuconfig und ein zweites mal im ebtables.mk.gz?

 

[MaxMuster]

Wie, "doppelte Kernelmodule"? Hast du die Module als fest einzubauen gewählt oder als Module? Module auch vorher geladen?
Welche Rules willst du denn genau ausführen? Bei manchen Regeln hatte ich diese Meldung auch. Es kann ja durchaus auch sein, dass nicht alles mit diesem Kernel funktioniert.

 

[dwichmann]

Hallo nochmal.
Ich habe die kernelmodule zum kernel hinzugefügt:
1. In der make kernel-menuconfig
2. Dem neuen makefile ebtables aus dem obigen post.
Die Regeln habe ich oben mal aufgeführt,sie blocken ip4 auf port 67 und 68 als udp.

 

[MaxMuster]

Also, hat etwas gedauert, aber: "Deine" Regeln führen auch bei mir zu Fehlermeldungen ("kernel msg: ebtables bug: please report to author: match->check failed").

Da scheint es tatsächlich so, dass ebtables von "neueren" Kernels ausgeht und deshalb bei dem recht alten Kernel der 7170 auf einen Fehler läuft. Bei mir läuft es auf der 7170 mit einem zusätzlichen "-DEBT_MIN_ALIGN=4" in den CFLAGS (nur "abgeschaut"). Bei der 7390 haben die "so" funktioniert? Eventuell muss man das auch bei anderen Kernel-Versionen noch definieren, aber für die 7170 sollte es so erstmal klappen..

Versuche doch mal dieses ebtables.mk, damit gehen auch die etwas "komplexeren" Regeln

root@Speedport:/var/mod/root# insmod  /lib/modules/2.6.*/kernel/net/bridge/netfilter/ebtables.ko
root@Speedport:/var/mod/root# for x in $(ls /lib/modules/2.6.*/kernel/net/bridge/netfilter/ebt*.ko | grep -v ebtables.ko); do insmod $x; done
root@Speedport:/var/mod/root# 
root@Speedport:/var/mod/root# lsmod
Module                  Size  Used by    Tainted: P  
ebtable_nat              864  0 
ebtable_broute           672  0 
ebt_vlan                1712  0 
ebt_ulog                4048  0 
ebt_stp                 2240  0 
ebt_snat                 896  0 
ebt_redirect            1056  0 
ebt_pkttype              480  0 
ebt_mark_m               576  0 
ebt_mark                 544  0 
ebt_log                 2176  0 
ebt_limit                928  0 
ebt_dnat                 960  0 
ebt_arpreply            1088  0 
ebt_arp                 1664  0 
ebt_among               2176  0 
ebt_802_3                736  0 
ebtable_filter           832  1 
ebt_ip                  1376  4 
ebtables               19904 19 ebtable_nat,ebtable_broute,ebt_vlan,ebt_ulog,ebt_stp,ebt_snat,ebt_redirect,ebt_pkttype,ebt_mark_m,ebt_mark,ebt_log,ebt_limit,ebt_dnat,ebt_arpreply,ebt_arp,ebt_among,ebt_802_3,ebtable_filter,ebt_ip
userman_mod            30544  2 
tiap                  385328  0 
kdsldmod              769712  7 userman_mod
capi_codec            240768  0 
isdn_fbox_fon4        867888  7 capi_codec
ubik2                  69248  8 capi_codec,isdn_fbox_fon4
tiatm                  91440  1 ubik2
jffs2                  94752  1 
Piglet                  5184  0 
root@Speedport:/var/mod/root# 
root@Speedport:/var/mod/root# ebtables -L
Bridge table: filter

Bridge chain: INPUT, entries: 0, policy: ACCEPT

Bridge chain: FORWARD, entries: 0, policy: ACCEPT

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
root@Speedport:/var/mod/root# 
root@Speedport:/var/mod/root# ebtables -A INPUT --in-interface tap0 --protocol 0x0800 --ip-protocol udp --ip-source-port 67:68 -j DROP
root@Speedport:/var/mod/root# ebtables -A INPUT --in-interface tap0 --protocol 0x0800 --ip-protocol udp --ip-destination-port 67:68 -j DROP
root@Speedport:/var/mod/root# ebtables -A FORWARD --in-interface tap0 --protocol 0x0800 --ip-protocol udp --ip-destination-port 67:68 -j DROP
root@Speedport:/var/mod/root# ebtables -A FORWARD --in-interface tap0 --protocol 0x0800 --ip-protocol udp --ip-source-port 67:68 -j DROP
root@Speedport:/var/mod/root# 
root@Speedport:/var/mod/root# ebtables -L
Bridge table: filter

Bridge chain: INPUT, entries: 2, policy: ACCEPT
-p 0x800 -i tap0 --ip-proto udp --ip-sport 67:68 -j DROP 
-p 0x800 -i tap0 --ip-proto udp --ip-dport 67:68 -j DROP 

Bridge chain: FORWARD, entries: 2, policy: ACCEPT
-p 0x800 -i tap0 --ip-proto udp --ip-dport 67:68 -j DROP 
-p 0x800 -i tap0 --ip-proto udp --ip-sport 67:68 -j DROP 

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
root@Speedport:/var/mod/root#

 

[dwichmann]

Es funktioniert!
Ja, es geht auch auf der 7170 mit dem veränderten Parametern. Danke für die viele Unterstüzung auch von denen, die dank euch nun wieder einen DHCP Server laufen lassen können.

 

[renne]

Es funktioniert!
Ja, es geht auch auf der 7170 mit dem veränderten Parametern. Danke für die viele Unterstüzung auch von denen, die dank euch nun wieder einen DHCP Server laufen lassen können.

Ist ebtables schon irgendwie im Trunk?
Ich möchte Tinc auf einem Speedport W900V (= kastrierte FB7170-Firmware + DECT-Hardware) nutzen und ebenfalls DHCP-Broadcasts IN das VPN blocken.

 

[dwichmann]

Hallo renne,

anfang des Jahres hatte ich die FBs gerade wieder auf Stand gebracht. Da war ebtables noch nicht als Softwarepaket dabei. Wohl dabei waren (schon immer) die notwendigen Kernelpakete dabei.

Da ich auf die neue Buildumgebung wechseln durfte und dieses Forum nocheinmal durchgegangen bin, gehe ich nicht davon aus, daß sich daran was geändert hat.

 

[renne]

Inzwischen habe ich herausgefunden, dass ebtables zum Unterdrücken von DHCP/Router-Advertisement nicht notwendig ist. Es reicht, wenn im Kernel die Option "CONFIG_BRIDGE_NETFILTER=y" gesetzt wird und das IPTables-Paket mit physdev- und ICMP-Modulen aktiviert wird. Durch "CONFIG_BRIDGE_NETFILTER=y" laufen die IP-Pakete der Bridge durch die FORWARD-Chain von IPTables. Mit dem physdev-match kann man dann das Quell-/Zieldevice der Bridge matchen. Allerdings geht der Speedport W900V in eine Reboot-Schleife, wenn ich "CONFIG_BRIDGE_NETFILTER=y" per make "kernel-dirclean" -> "make kernel-menuconfig" -> "make kernel-precompiled" -> "make" aktiviere.

Hat jemand eine Idee, woran das liegen kann?

@dwichmann:
Wie startest Du tinc? Die Konfigurationsdateien habe ich als Addon eingebunden, weiß allerdings noch nicht, wie Freetz Dienste startet. Irgenwie muss ein "tincd -n <netname> && brctl addif lan <netname>" ausgeführt werden.

Freetz ist übrigens der aktuelle 1.2-Download.

P.S.: Frohe Ostern

 

[dwichmann]

Hallo und Frohe Ostern,

also ich starte Tinc über eine autorun.sh Datei. Im Freetz kann man im Menü Freetz, Punkt Freetzmount diese Datei beim Start der Box aufrufen lassen.
Der Inhalt sieht so aus:

#!/bin/ash

##########################################################
# Skripte:
##########################################################
#find USB-Stick:
usbstick=/var/media/ftp/uStor01
#=======================================================
# Create VPN connection (not yet)
#=======================================================
echo "kill TInc VPN"
# Alten Tinc beenden
tincd -k
sleep 2

echo "start Tinc VPN"

#create tun-device
mknod /var/tmp/tun0 c 10 200

#Datei schreibgeschützt setzen, damit eine Warning verschwindet...
chmod 700 ${usbstick}/tincnet/rsa_key.priv

#start openvpn
echo "start tun0 / tap0"
tincd -c ${usbstick}/tincnet -d0 --logfile=${usbstick}/tincnet.log

Ich hoffe, es hilft Dir weiter.


Gruß,
dwichmann

 

[dwichmann]

Hallo Leute,

nachdem nun AVM mit der 7390 die Version 6.03 herausgebracht hat, wollte ich nun auch dort das Tinc mit EBTables wieder zum Laufen bringen, vergeblich.
Sobald ich auch nur in dem Kernel-menuconfig den Ebtables MOD aktivere, egal ob <M> oder <*> startet die Box in einer Endlosschleife.

Keine Ahnung, was das sein soll.

Ich wäre daher für jede Hilfe dankbar, denn ohne die Kernel-EbTables Module kann ich den Filter nicht aktivieren.

Meine freetz Trunkversion ist: Revision 11805.
Die aktuelle Stable Version ist ebenfalls 11805 und unterstützt die AVM FW Version 6.03 leider nicht, daher bin ich wohl auf die Trunkversion angewiesen.


Gruß,
dwichmann

 

[olistudent]

Ich kann mir nicht vorstellen, dass ebtables mit der 6.01 funktioniert hat. Hat es denn mit der letzten 5.5X? Firmware funktioniert?

AVM bitten, dass sie aufhören sollen an netfilter rumzubauen hat wohl wenig Aussicht auf Erfolg...

Gruß
Oliver

 

[dwichmann]

Moin Oliver,

da hast Du Recht, die letzte Version, mit der es lief war die:
7390_05.53-freetz-devel-11026M.de_20130922-104036
Da das System lief und ich die ursprünglich neuen Features der 6.01 nicht benötigte, wollte ich abwarten, ob das Problem sich löst. Die aktuelle Sicherheitslage bei AVM setzt mich leider unter Druck.


Gruß.

 

[dwichmann]

Hallo noch einmal,

leider bekomme ich auch ein geroutetes Netz unter Freetz nicht zum Laufen. Das Problem ist immer, daß zwar alle Tinc Knoten miteinander arbeiten, die Routen in den Boxen aber nicht so einstellbar sind, daß PCs "auf die andere Seite pingen" können.
Die Boxen können zwar sich gegenseitig pingen, kommen aber ebenfalls nicht "hinter" sich.
Daher wollte ich damals auch ein bridged network einrichten.
Ist zum Mäuse melken.... grr...