iptables auf der 7320 ???

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
iptables auf der 7320

Die Situation hat sich teilweise verändert.

Das Bootproblem liegt nicht an den iptables-Modulen, sondern an der "Vorgeschichte" der Box. D.h. wird das Image über das Freetz-WebInterface geladen, dann bleibt die Box hängen.

Recovert man die Box und lädt das Image dann über das AVM-WebInterface, dann startet die Box auch mit den Modulen "ip_conntrack" und "iptable_nat".

Die anderen Probleme bestehen aber weiterhin:
Code: 
root@fritz:/var/mod/root# [COLOR="Red"]iptables -L[/COLOR]
modprobe: can't load module ip_tables (kernel/net/ipv4/netfilter/[COLOR="Red"]ip_tables.ko[/COLOR]): [COLOR="Red"]unknown symbol in module, or unknown parameter[/COLOR]
iptables v1.4.1.1: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
root@fritz:/var/mod/root# [COLOR="Red"]modprobe ip_tables.ko[/COLOR]
modprobe: can't load module ip_tables.ko (kernel/net/ipv4/netfilter/[COLOR="Red"]ip_tables.ko[/COLOR]): [COLOR="Red"]unknown symbol in module, or unknown parameter[/COLOR]
root@fritz:/var/mod/root# [COLOR="Red"]find / -iname '*.ko'[/COLOR]
...
/lib/modules/2.6.28.10/kernel/lib/lzo/lzo_compress.ko
/lib/modules/2.6.28.10/kernel/lib/lzo/lzo_decompress.ko
/lib/modules/2.6.28.10/kernel/net/ipv4/netfilter/ip_tables.ko
/lib/modules/2.6.28.10/kernel/net/ipv4/netfilter/ipt_LOG.ko
/lib/modules/2.6.28.10/kernel/net/ipv4/netfilter/ipt_MASQUERADE.ko
/lib/modules/2.6.28.10/kernel/net/ipv4/netfilter/ipt_REJECT.ko
/lib/modules/2.6.28.10/kernel/net/ipv4/netfilter/iptable_mangle.ko
/lib/modules/2.6.28.10/kernel/net/ipv4/netfilter/[COLOR="Red"]iptable_nat.ko[/COLOR]
...
Aber es gibt neue Ungereimtheiten für mich. Ich habe ja das Modul "ip_conntrack" in das Image integriert. Im Freetz-Webinterface taucht es unter der FREETZ-Konfiguration bei den Modulen auch auf. Auf der Box ist davon jedoch keine Spur.
Code: 
root@fritz:/var/mod/root# [COLOR="Red"]find / -iname 'ip_conntrack'[/COLOR]
root@fritz:/var/mod/root#
root@fritz:/var/mod/root# [COLOR="Red"]modprobe ip_conntrack[/COLOR]
modprobe:[COLOR="Red"] module ip_conntrack not found in modules.dep[/COLOR]

Wie kriege ich die Module zum "Naten" bloß geladen? :confused:
 
Zuletzt bearbeitet:
hhfreetz schrieb:
...
Im Freetz-Webinterface taucht es unter der FREETZ-Konfiguration bei den Modulen auch auf. Auf der Box ist davon jedoch keine Spur.
...
Zum Vergrößern anklicken....
Hast Du die Module im Freetz-WEB-IF, manuell eingetragen?
 
iptables auf der 7320

Hallo Ralf,
danke für den Tipp.
Vermutlich fehlen Symbole. Was kommt bei dmesg bzw. im Syslog?
Zum Vergrößern anklicken....
Ja, es gibt unbekannte Symbole:
Code: 
root@fritz:/var/mod/root#[COLOR="Red"] iptables -L[/COLOR]
modprobe: can't load module ip_tables (kernel/net/ipv4/netfilter/ip_tables.ko): [COLOR="Red"]unknown symbol[/COLOR] in module, or unknown parameter
iptables v1.4.1.1: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
root@fritz:/var/mod/root# [COLOR="Red"]dmesg[/COLOR]
...
[COLOR="Red"]ip_tables: Unknown symbol xt_free_table_info (-2)
ip_tables: Unknown symbol xt_register_match (-2)
ip_tables: Unknown symbol xt_find_match (-2)
ip_tables: Unknown symbol xt_alloc_table_info (-2)
ip_tables: Unknown symbol xt_check_match (-2)
ip_tables: Unknown symbol xt_unregister_match (-2)
ip_tables: Unknown symbol xt_register_target (-2)
ip_tables: Unknown symbol xt_register_table (-2)
ip_tables: Unknown symbol xt_proto_init (-2)
ip_tables: Unknown symbol xt_replace_table (-2)
ip_tables: Unknown symbol xt_find_table_lock (-2)
ip_tables: Unknown symbol xt_table_unlock (-2)
ip_tables: Unknown symbol xt_proto_fini (-2)
ip_tables: Unknown symbol xt_check_target (-2)
ip_tables: Unknown symbol xt_find_revision (-2)
ip_tables: Unknown symbol xt_unregister_table (-2)
ip_tables: Unknown symbol xt_find_target (-2)
ip_tables: Unknown symbol xt_unregister_target (-2)[/COLOR]
root@fritz:/var/mod/root# cat /var/tmp/log.txt [[COLOR="Red"]syslog[/COLOR]]
Dec 19 21:13:55 fritz syslog.info syslogd started: BusyBox v1.17.4
Dec 19 21:14:10 fritz daemon.info chronyd[2640]: Trimming RTC, error = -1292793099.871 seconds

Aber, wie kann ich denn die Symbole "bekanntmachen"?
 
iptables auf der 7320

Hallo sf3978,
Hast Du die Module im Freetz-WEB-IF, manuell eingetragen?
Zum Vergrößern anklicken....
Nein, ich habe sie dort nicht manuell eingetragen.
Ich meinte damit, dass "ip_conntrack" unter der "Freetz-Info" als Modul gelistet ist und in der Konfiguration auftaucht (FREETZ_MODULE_ip_conntrack=y). "ip_conntrack" ist auf der Box aber nicht zu finden.
 
Schau mal mit:
Code: 
find / -iname 'libip*.so'
und
Code: 
find / -iname 'libxt*.so'
welche iptables-libraries Du auf deiner Box hast.
 
iptables auf der 7320

Schau mal mit: ... welche iptables-libraries Du auf deiner Box hast.
Zum Vergrößern anklicken....
Code: 
root@fritz:/var/mod/root# [COLOR="Red"]find / -iname 'libip*.so'[/COLOR]
/usr/lib/xtables/libip6t_icmp6.so
/usr/lib/xtables/libipt_DNAT.so
/usr/lib/xtables/libipt_LOG.so
/usr/lib/xtables/libipt_MASQUERADE.so
/usr/lib/xtables/libipt_REDIRECT.so
/usr/lib/xtables/libipt_REJECT.so
/usr/lib/xtables/libipt_SNAT.so
root@fritz:/var/mod/root# [COLOR="Red"]find / -iname 'libxt*.so'[/COLOR]
root@fritz:/var/mod/root#
Welche iptables-libraries auf der Box sind, musst DU mir aber sagen. ;-)

Mir fällt bloß auf, dass keine libxt* gefunden werden und die unbekannten Symbole auch so ein xt im Namen haben.
Wie komme ich mit diesen xt's nun weiter?
 
Suche jetzt mal genau diese libraries, d.h. libip*.so und libxt*.so, in deinem Build-System, und poste das Ergebnis.
 
iptables auf der 7320

Suche jetzt mal genau diese libraries, d.h. libip*.so und libxt*.so, in deinem Build-System, und poste das Ergebnis.
Zum Vergrößern anklicken....
Wie mache ich das am besten?
(über 'Nach Dateien suchen' oder doch über die Shell? Wie lauten dann die Befehle?):noidea:
 
Über die shell, gleiche Befehle wie auf der Box. Hat sich aber erledigt, denn ich sehe in deiner .config was Du nicht aktiviert hast:
Code: 
# Select shared libraries (both IPv4 and IPv6)
#
# FREETZ_LIB_libxt_CLASSIFY is not set
# FREETZ_LIB_libxt_comment is not set
# FREETZ_LIB_libxt_connbytes is not set
# FREETZ_LIB_libxt_connmark is not set
# FREETZ_LIB_libxt_CONNMARK is not set
# FREETZ_LIB_libxt_CONNSECMARK is not set
# FREETZ_LIB_libxt_conntrack is not set
# FREETZ_LIB_libxt_dscp is not set
# FREETZ_LIB_libxt_DSCP is not set
# FREETZ_LIB_libxt_esp is not set
# FREETZ_LIB_libxt_hashlimit is not set
# FREETZ_LIB_libxt_helper is not set
# FREETZ_LIB_libxt_iprange is not set
# FREETZ_LIB_libxt_length is not set
# FREETZ_LIB_libxt_limit is not set
# FREETZ_LIB_libxt_mac is not set
# FREETZ_LIB_libxt_mark is not set
# FREETZ_LIB_libxt_MARK is not set
# FREETZ_LIB_libxt_multiport is not set
# FREETZ_LIB_libxt_NFLOG is not set
# FREETZ_LIB_libxt_NFQUEUE is not set
# FREETZ_LIB_libxt_NOTRACK is not set
# FREETZ_LIB_libxt_owner is not set
# FREETZ_LIB_libxt_physdev is not set
# FREETZ_LIB_libxt_pkttype is not set
# FREETZ_LIB_libxt_quota is not set
# FREETZ_LIB_libxt_rateest is not set
# FREETZ_LIB_libxt_RATEEST is not set
# FREETZ_LIB_libxt_sctp is not set
# FREETZ_LIB_libxt_SECMARK is not set
# FREETZ_LIB_libxt_standard is not set
# FREETZ_LIB_libxt_state is not set
# FREETZ_LIB_libxt_statistic is not set
# FREETZ_LIB_libxt_string is not set
# FREETZ_LIB_libxt_tcpmss is not set
# FREETZ_LIB_libxt_TCPMSS is not set
# FREETZ_LIB_libxt_tcp is not set
# FREETZ_LIB_libxt_time is not set
# FREETZ_LIB_libxt_tos is not set
# FREETZ_LIB_libxt_TOS is not set
# FREETZ_LIB_libxt_TRACE is not set
# FREETZ_LIB_libxt_u32 is not set
# FREETZ_LIB_libxt_udp is not set

EDIT:
cando kennt sich mit iptables aus und sagt Folgendes:
Code: 
Mindestens folgende Module sollten im Freetz-Image sein ([COLOR="Red"]wer Platz hat, lieber alle, dann kann das Interface sein Potential voll entfalten[/COLOR]):

    ip_tables, ip_conntrack, ip_conntrack_ftp, ip_conntrack_tftp, ipt_LOG, ipt_REJECT
    ipt_iprange, x_tables, xt_state, xt_conntrack, xt_multiport, xt_tcpudp, iptable_filter
Funktionieren die Module auch ohne die libraries?
 
Zuletzt bearbeitet:
iptables auf der 7320

Habe dennoch schon gesucht (siehe Anhang).

Und was soll ich nun am besten auswählen? Etwa alles?
 

Anhänge

  • found_libip_so.txt
    9 KB · Aufrufe: 0
  • found_libxt_so.txt
    10.1 KB · Aufrufe: 0
sf3978 schrieb:
Siehe EDIT im Beitrag #30.
Zum Vergrößern anklicken....
Das habe ich auch schon einmal gelesen:

Die Module "ip_tables, ip_conntrack, ip_conntrack_ftp, ip_conntrack_tftp, ipt_LOG, ipt_REJECT, ipt_iprange" kann ich anwählen.

Aber wo kann ich die Module "x_tables, xt_state, xt_conntrack, xt_multiport, xt_tcpudp" auswählen? (Ich finde in der 'menuconfig' nichts entsprechendes.)

Und welche Libaries gehören dazu?

Funktionieren die Module auch ohne die libraries?
Zum Vergrößern anklicken....
Fragst du mich das??? Oder doch eher rhetorisch? Dann wüßte ich es auch gern, denn ich weiß es nicht.

PS:
Danke für deine Hilfe!
 
hhfreetz schrieb:
...
Und welche Libaries gehören dazu?

Fragst du mich das??? Oder doch eher rhetorisch? Dann wüßte ich es auch gern, denn ich weiß es nicht.
...
Zum Vergrößern anklicken....
Eher rhetorisch.;) Ich sage ohne die libraries geht es nicht. Denn ich habe auf meiner Box, das ipt_layer7.ko-Modul ohne die library, und das funktioniert bei mir noch nicht. Aber das wird schon noch werden.;)
Wenn Du ausreichnd Platz auf deiner Box hast, dann aktiviere alle. Mit lsmod kannst Du dann feststellen welche Module nicht benötigt werden, und diese kannst Du im nächsten Freetz-Image ja weglassen (d. h. nicht mehr aktivieren).
 
iptables auf der 7320

Soll ich alle möglichen ModuleIPv4 und IPv6 und alle möglichen Libaries IPv4 und IPv6 wählen??? Das wären eine ganze Menge!
Das widerstrebt mir irgendwie. (Ich kann's ja mal probieren - trau mich aber noch nicht so recht ;-) )

Woran erkenne ich denn bei lsmod, ob die Module benötigt werden? (Wenn sie da auftauchen, dann werden sie benötigt und wenn nicht, dann nicht. So oder doch anders?)

Und eins weiß ich immer noch nicht:
Wo kann ich denn die Module "x_tables, xt_state, xt_conntrack, xt_multiport, xt_tcpudp" auswählen? (Ich finde in der 'menuconfig' nichts entsprechendes.)
 
Zuletzt bearbeitet:
@hhfreetz (Auswahl der Module)

Habe Deine Nachricht gerade gelesen. Also es ist ja so, dass Du wahrscheinlich nicht nur die eine erwähnte NAT Regel anwenden willst, sondern vermutlich ein ganzes Firewall Regelwerk nach und nach bauen wirst.

Deshalb ist es immer vernünftig (wenn der Platz im Flash reicht) alle Module und Bibliotheken mitzunehmen. Was nicht gebraucht wird, wird ja in der Regel auch nicht in den Arbeitsspeicher geladen. Ich habe immer das komplette Paket mit gebaut.

Oder möchtest Du bei jeder neuen Regel eine neue Firmware flashen?

(Wenn der Platz wirklich niicht mehr reichen sollte, kann man ja immer noch aussortieren)
 
hhfreetz schrieb:
...
Woran erkenne ich denn bei lsmod, ob die Module benötigt werden? (Wenn sie da auftauchen, dann werden sie benötigt und wenn nicht, dann nicht. So oder doch anders?)
...
Zum Vergrößern anklicken....
Nein, anders. Siehe hier ein Beispiel (Ausgabe von lsmod):
Code: 
Module                  Size  [COLOR="red"][B]Used by    [/B][/COLOR]Tainted: P  
ipt_MASQUERADE          2579  1 
ipt_REJECT              3633 10 
ipt_LOG                 7037 15 
iptable_mangle          2136  1 
iptable_nat             6662  1 
ip_nat                 15885  2 ipt_MASQUERADE,iptable_nat
iptable_filter          2158  1 
ip_tables              12120  3 iptable_mangle,iptable_nat,iptable_filter
xt_tcpudp               2743  7 
xt_tcpmss               1844  [COLOR="red"]0[/COLOR] 
xt_string               1842  [COLOR="red"]0[/COLOR] 
xt_statistic            1809  [COLOR="red"]0[/COLOR] 
xt_state                1603 10 
xt_realm                1286  [COLOR="red"]0[/COLOR] 
xt_quota                1698  [COLOR="red"]0[/COLOR] 
xt_pkttype              1481  [COLOR="red"]0[/COLOR] 
xt_multiport            2846  9 
xt_mark                 1445  1 
xt_mac                  1509  [COLOR="red"]0[/COLOR] 
xt_limit                2180  5 
xt_length               1547  [COLOR="red"]0[/COLOR] 
xt_helper               1785  [COLOR="red"]0[/COLOR] 
xt_esp                  1665  [COLOR="red"]0[/COLOR] 
xt_conntrack            2203  [COLOR="red"]0[/COLOR] 
xt_comment              1401  [COLOR="red"]0[/COLOR] 
xt_NOTRACK              1445  [COLOR="red"]0[/COLOR] 
ip_conntrack           46260  7 ipt_MASQUERADE,iptable_nat,ip_nat,xt_state,xt_helper,xt_conntrack,xt_NOTRACK
xt_NFQUEUE              1545  [COLOR="red"]0[/COLOR] 
xt_MARK                 1910  1 
xt_CLASSIFY             1434  [COLOR="red"]0[/COLOR] 
x_tables               13519 26 ipt_MASQUERADE,ipt_REJECT,ipt_LOG,iptable_nat,ip_tables,xt_tcpudp,xt_tcpmss,xt_string,xt_statistic,xt_state,xt_realm,xt_quota,xt_pkttype,xt_multiport,xt_mark,xt_mac,xt_limit,xt_length,xt_helper,xt_esp,xt_conntrack,xt_comment,xt_NOTRACK,xt_NFQUEUE,xt_MARK,xt_CLASSIFY
D. h., alle Module die "Used by 0" sind (siehe die mit roter 0), werden bei mir z. Zt. nicht benötigt. So ähnlich kannst es dann auf deiner Box auch feststellen und die nicht benötigten Module evtl. wieder entfernen.
 
iptables auf der 7320

Hallo Oliver,

hast Du gerade gegen 17.45 Uhr die Patches
"7320_kernel_modules.patch" und "7320_iptables_modules.patch" neu erstellt?

Wenn ja, habe ich zuvor die vorherigen Patches angewendet. Dann war ich wohl zu voreilig.

Dabei fiel mir aucf, dass es keine "ip_conntrack, ip_conntrack_ftp, ..." mehr gibt, sondern "nf_conntrack, nf_conntrack_ftp, ...). Is it a bug, or a feature? ;-)

Sind die aktuellen Patches denn schon reif zum Testen?

lg
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 818 (Mitglieder: 34, Gäste: 784)

Neueste Beiträge

Statistik des Forums

Themen
246,108
Beiträge
2,246,258
Mitglieder
373,590
Neuestes Mitglied
dmobi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück