ip Kommando geht nicht ?

[jowag12]

Für die IP tables wollte ich den Firewall Bulder verwenden, bei dem allerdings das iptables Script mit einem Fehler ("iproute not found") beendet wird. Dir Ursache ist offensichtlich, dass das Kommando "ip link ls" keinen ordentlichen Output generiert.
Ich habe mal versucht von Hand mit dem "ip" Kommando was zu machen, da kommen aber immer Fehler raus.
z.B

ip link ls
BusyBox v1.1.2 (2006.04.15-10:46+0000) multi-call binary

Usage: ip [ OPTIONS ] { address | link | route | tunnel } { COMMAND | help }

ip [ OPTIONS ] OBJECT { COMMAND | help }
where OBJECT := { link | addr | route | tunnel }
OPTIONS := { -f[amily] { inet | inet6 | link } | -o[neline] }

Nicht mal "ip route" geht.
Von welchem Paket ist denn das "ip" Kommando?
Hat jemand irgendwelche Antworten, warum nichts rauskommt?

Ich verwende ds_2.0.8

Danke

 

[gandalf94305]

Da es hier um ds-mod geht, habe ich den Thread mal dort hinverschoben.

--gandalf.

 

[danisahne]

Kann sein, dass da nicht alle Optionen mit einkompiliert sind. Bau dir am besten die Toolchain und konfiguriere und kompiliere dir die Busybox neu. ip ist in der Busybox enthalten. Zum kompilieren der Busybox gehst einfach nach [wiki=software:ds-mod:howtos#busybox_konfigurieren_und_kompilieren]dieser Anleitung[/wiki] vor.

Ist die Busybox erfolgreich kompiliert muss du nur noch das Image mit `make' erneut erstellen.

Mfg,
danisahne

 

[olistudent]

Wahrscheinich wirst du das Package iproute2 benötigen.

MfG Oliver

 

[jowag12]

Boah - das ist ja kompliziert.
Also ich habe gefunden, dass die BusyBox die Unterkommandos von 'ip' nicht enthält ebensowenig ist 'iproute' dabei.
Aber beim Ausführen der ganzen Schritte sind einige Fehler hochgekommen. Das ging mit 'missing bison' :noidea: los und dann kamen immer mehr Fehler dazu.
Außerdem habe ich bei den tausend Zeilen Consolen Output den Überblick und etwas das Vertrauen verloren, ob die Fritzbox hinterher noch funktioniert.
Gibt es da noch etwas Einfacheres??
Könnte das z.B. im nächsten ds-mod drinsein?

Danke

 

[olistudent]

Für dich gibts natürlich was einfacheres => machen lassen ;-)

MfG Oliver

 

[jowag12]

Sieht so aus, als ob du mir richt schwer Hilfe anbietest ,
jetzt muss ich nur noch rauskriegen, wie ich das in den ds-mod reinkriege.
Ähh, vielleich find' ich's gleich .... :noidea:

Edit 23:28 Uhr: Nach /root/usr/bin kopieren und kompilieren??

Edit 23:57 Uhr: Also immerhin kann ich es jetzt über /usr/bin/ip ausführen und es scheint die richtigen Ausgaben zu machen.
Ohne Pfadangabe wird noch das ip aus der BusyBox aufgerufen. Da muss ich die Scripte des FwBuilders dann entsprechend modifizieren.
Kann man das irgenwie noch in die Busybox einbauen?

Danke

Edit 01:34 Uhr: Funktioniert, nachdem ich noch den IP Pfad im FwBuilder auf /usr/bin/ip umgebogen habe und plink/pscp eingetragen habe, lassen sich die Regeln kompilieren und installieren.

So ist es ein ganz starkes System. Rules erstellen mit Drag and Drop und per Klick auf der FritzBox installieren.

Bin begeistert.

Danke allen aus diesem Thread.

 

[ptweety]

Bin begeistert.

Für mich klingt das hier nach einem sehr schönen Ansatz, um die Firewall sinnvoll nutzen zu können. Damit aber auch Joe User begeistert wird, würde ich mir nun wünschen, dass dieses Vorgehen etwas schicker dokumentiert würde und eine Anleitung für Anfänger herauskommt. Ich habe mir nämlich den FWBuilder angesehen und bei der Flut von Optionen nur noch mit den Ohren geschlackert.

Daher mache ich mal den Anfang und schreibe einzelne Schritte - so wie ich es verstanden habe - hin.

im dsmod:

• iproute2 als Paket in den dsmod aufnehmen (zumindest ip unter root/usr/bin)
• evtl. ip Applet in busybox deaktivieren
• firewall Paket auswählen
• alle (zumindest einige, welche?) Module und Libs für die Firewall auswählen

zusätzliche ToDos:

• im fwbuilder Einstellungen passend zur FB setzen (Pfade, Utils) => kleines HowTo schreiben?
• unter fwbuilder ein Template passend für die Situation der Fritz!Boxen erstellen => zum Download anbieten?
• in einem anfängertauglichen HowTo mit obigem Template ein funktionerendes aber minimales Firewall-Ruleset erstellen und auf der FB installieren.

Wer wagt sich nun an diese ToDos ran?

BTW: so was könnte und sollte dann wohl im Wiki dokumentiert werden.

siehe auch:

• http://www.fwbuilder.org/
• http://kris.koehntopp.de/artikel/fwbuilder/fwbuilder.html

MFG pTweety

 

[jowag12]

Ich werde das noch mal zusammenschreiben, ich will bloß noch alles fertig testen, gestern war es zu spät dazu ;-)


23:04
Das war's noch nicht ganz, ich kämpfe noch. Die Regeln werden zwar übertragen aber es gobt noch ein paar Probleme.

1. Fehler
ls: *_nat_*: No such file or directory

aus dem Script Kommando
ls *_conntrack_* *_nat_*

Wenn ich das richtig interpretiere findet das Script nicht 'nat'

Wahrscheinlich daher auch die folgende Meldung:

iptables v1.3.5: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
der Befehl ist wohl:

$IPTABLES -t nat -A POSTROUTING -o dsl -s 192.168.1.0/24 -j MASQUERADE


2. Ich kann mit aktivierter Firewall noch nicht telefonieren (eventuell ist in den Regel noch was falsch oder es liegt an den o.g. Fehlern)


3. eher zu vernachlässigen:
sh: pkill: not found
Ohne das ist das Abbauen der Session nicht ganz sauber.


Also ich suche weiter....

 

[jowag12]

Ist es möglich, dass iptables_nat nicht im ds-mod ist??
Siehe letzter Beitrag.

 

[danisahne]

Hast du es denn unter "Advanced options" aktiviert?

 

[jowag12]

Jo, habe ich. Im moment kämpfe ich allerdings mit dem Telefon.
Unter Advanced ist iptable_nat.o mit drei Strichen versehen ---. Ich nehme an, das ist dann einfach drin (oder ist es dann auf keinen Fall drin??)
Dann habe ich mal alles angekreuzt, was als IP_nat drinsteht, das bringt aber nur neue Fehler.

Das Telefonproblem:
Nachdem ich den Port 5060 für die 1&1 Phone Registrierung auf der Firewall freigeschalten habe, crashed die Fritzbox bei jedem Anruf.

 

[jowag12]

Ich gebe auf, die Telefonie crasht jedesmal die Fritzbox egal was ich für Filterregeln erstelle. Ich komme einfach nichr weiter.

Die Regeln des FwBuilders sehen gut aus, da gibt es keine Probleme, das NAT habe ich rausgenommen, da kommen keine Fehler mehr, und da der Internetzugang funktioniert, scheint das ja in Ordnung zu sein.

Im Moment gehen mir die Ideen aus, ich brauche erst mal 'ne Pause.

 

[heini66]

Das Telefonproblem:
Nachdem ich den Port 5060 für die 1&1 Phone Registrierung auf der Firewall freigeschalten habe, crashed die Fritzbox bei jedem Anruf.

versuchs mal mit 3478-79, 5000-10, 5061-64, 5070-71, 9999-10009, 30000-30006. sind die bnötigten ports für 1und1

 

[jowag12]

Wieder eine Nacht mit neuen Erfahrungen

Danke für die Ports, die Box crasht tatsächlich nur dann, wenn man in der Telefonie nicht sämtliche Ports durchlässt, die benötigt werden, dann scheint die Box irgenwie immer mehr zu puffern, die Ping Antworten werden immer länger und irgendwann ist sie weg. Mit ner Regel 'erlaube alles zu allem' geht das wenigstens. Aber so will ich ja meine Box auch nicht laufen lassen.

Aber damit sind die Probleme nicht gelöst.
Die Regeln für NAT habe ich ja schon rausgenommen (siehe älterer Beitrag), dann habe ich an den anderen Regeln weiter gespielt. Dabei musste ich feststellen, dass die Box mit Filtern (sogar schon mit einem) unheimlich langsam wird. Die Ping Antworten gehen von 1 ms ohne Filter auf 54 ms, wenn der/die Filter aktiv sind. Damit leidet die IP Sprachqualität deutlich.
Also selbst bei der einfachsten aktivierten Policy ist das so.

Kann ja sein, dass die Box nicht schnell ist, aber so einen Einbruch hatte ich nicht erwartet. Hat jemand dazu andere/gleiche Erfahrungen ?
Überschreiben die ip-tables die QoS einstellungen?

Ja, jedenfalls habe ich dann die Originalsoftware wieder draufgetan (was soll's ohne Filter) , vorher moduninstall, eine vorher gesicherte config drauf (- und mich schlafen gelegt).
Komisch ist bloß, dass die Box immer noch meckert, dass nicht alle Parameter original AVM sind .. keine Garanitie blah, blah...
Wie setze ich sie ganz zurück (auch Werkseinstellungen helfen nicht), so dass sie aussieht, wie ausgepackt??

Danke.

 

[jowag12]

Ahhhhh, (ich konnte es nicht lassen) nach intensivem Suchen habe ich gefunden, dass das Firewall logging die Box so bremst, ist das aus, sieht die Welt schon ganz anders aus.

Also weiter.... auf in die nächste Nacht.

 

[jowag12]

Vielleicht interessiert es ja jemanden ;-)

Ich habe die sache jetzt so einigermaßen am Laufen, da ist sicher noch viel zu tun, aber erst mal ein Update.

Policies im FWBuilder:

0. 192.168.1.0/24 -> Fritzbox, ssh,dns,http,TCP81, accept
1. 192.168.1.0/24 -> Fritzbox, ICMP-all, accept
2. Fritzbox -> beliebig, UDPdest5060, accept
3. Fritzbox -> beliebig, UDPsrc7078, accept
4. Fritzbox -> beliebig, DNS, accept
5. Fritzbox -> beliebig, beliebig, deny
6. Beliebig -> Fritzbox, beliebig, deny
7. 192.168.1.0/24-> beliebig, beliebig, allow

0 regelt den Zugriff aus meinem Netz (192.168.1.0/24) auf die Fritzbox

1 Damit ich die Fritzbox pingen kann. Allerdings bringt das einen Fehler der aus dem Befehl:
iptables -A INPUT -p icmp -m icmp -s 192.168.1.0/24 -m state ...
resultiert.

iptables v1.3.5: Couldn't load match `icmp':File not found
Try `iptables -h' or 'iptables --help' for more information.

Der Match 'icmp' kann nicht gefunden werden, Vielleicht hat jemand eine gute Idee.

2, 3 Für die Telefonie zu 1&1 (mehr brauche ich tatsächlich nicht !!)

4 Klar, die DNS requests, die die Fritzboy für 1&1 braucht

5 Den Rest von der Fritzbox abgehend wegschmeißen

6 Alles wegschmeißen, was in die Fritzbox sonst noch kommt. Die Telefoniekommunikation wird über die filter 2 und 3 auch zur Fritzbox definiert.

7 Schließlich alles aus meinem lokalen Netz ins Internet (incl zurück) will


Wenn ich jetzt was aus dem lokalen Netz sperren will definiere ich das direkt auf dem Ethernet Interface.
Z.B. 192.168.1.0/24 -> Fritzbox, TCP8080, incoming, deny


Die Telefone laufen sauber, Internet geht, langam geht es vorwärts.

Ein weiteres Problem, grade festgestellt: wenn ich mit aktivierten ip-tables (also aktiven Regeln) auf die Webseiten der Fritzbox Telefonie zugreife (Anrufliste, Konfiguration ... ), stürzt die Fritzbox einfach ab. Sind die Regeln nicht aktiv, komme ich auf alles drauf. Die anderen Seiten der Weboberfläche funktionieren prima, auch die DS-Seiten. :-(

 

[olistudent]

1. Eventuell fehlt die Lib oder das Modul für das icmp. Ich kann dir aber jetzt nicht genau sagen was du da brauchst.
2. Für die Telefonie würde ich noch die Ports 7079-7085 freigeben, das steht so auch in der ar7.cfg. Die werden für gleichzeitige Gespräche benötigt.
3. Der telefon der Fritz läuft auf Port 1011. Kannst du nicht alles für localhost freigeben?

/var/mod/root # netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 fritz.box:ssh           oliver:4373             ESTABLISHED
tcp        0      0 localhost:1011          localhost:1116          ESTABLISHED
tcp        0      0 localhost:1116          localhost:1011          ESTABLISHED

MfG Oliver

 

[jowag12]

Ich hätte es wissen müssen
Das Problem, dass die Anruflisten und anderen Telefoniesachen im im Webinterface der Box nicht gehen ist mit einem Filter leicht zu beheben:

lo -> lo (also 127.0.0.1 ->127.0.0.1), alle dienste (hatte keine Lust das zu probieren), allow

Das muss sowas wie ein RPC oder so was sein, das von der Box auf die Box zugreift.


Danke für die Information zu den Ports 7079-7085, ich hätte mich wahrscheinlich gewundert, wenn beim ersten parallelen Anruf nichts mehr funktioniert hätte.

Nur das mit dem Port 1011 habe ich nicht verstanden, wozu ist der?


Tschüß

 

[jowag12]

Ich habe eine komplette Anleitung hier erstellt:

http://www.ip-phone-forum.de/showthread.php?t=111219