iptables im ds-mod 0.2.9 auf Fritzbox Fon Wlan 7170 29.04.29

[WEARENOTALONE]

Guten Tag,
seit Anfang der Woche beschäftige ich mich ausgiebig mit der FritzBox Fon WLAN 7170 und dem ds-mod. Die Installation und Konfiguration hat bis auf einen einzigen Punkt funktioniert: Ich bekomme die iptables nicht ans Laufen! Der Aufruf von

/var/mod/root $ iptables --list

führt zu

modprobe: module ip_tables not found
modprobe: failed to load module ip_tables
iptables v1.3.6: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Auf der FritzBox befindet sich zwar die Datei iptables.o aber es fehlen ip_tables.o, iptable_filter.o und iptable_nat.o. Also habe ich die Dateien über ftp geladen und versucht mit insmod zu laden. Das führt dann dazu:

/var/mod/home/ftp $ insmod ip_tables.o
insmod: cannot insert 'ip_tables.o': Success (8): Success

/var/mod/home/ftp $ insmod iptable_filter.o
insmod: cannot insert 'iptable_filter.o': Success (8): Success

/var/mod/home/ftp $ insmod iptable_nat.o
insmod: cannot insert 'iptable_nat.o': Success (8): Success

/var/mod/home/ftp $ insmod iptables.o
insmod: cannot insert 'iptables.o': Success (8): Success

/var/mod/home/ftp $ lsmod
Module                  Size  Used by    Tainted: P
userman                30240  2
kdsldmod              540128  5 userman
usbahcicore            25616  0
usbcore               113232  2 usbahcicore
isdn_fbox_fon4        896096  0
ubik2                  69360  1 isdn_fbox_fon4
tiatm                 107296  1 ubik2
Piglet                  9312  0

/var/mod/home/ftp $ modprobe ip_tables
modprobe: module ip_tables not found
modprobe: failed to load module ip_tables

Mir ist aufgefallen, dass in der Datei /usr/bin/modload die Variable netfilterdir gesetzt wird, obwohl der angegebene Pfad nicht existiert.

...
# firewall-cgi workaround
netfilterdir=/lib/modules/2.4.17_mvl21-malta-mips_fp_le/kernel/net/ipv4/netfilter
...

Ich habe folgende Packages installiert:

ds-0.2.9_26-13-1.patch.bz2
ds-0.2.9_26-13.tar.bz2
openssl-0.9.8d-dsmod.patch.bz2
openssl-0.9.8d-dsmod-0.1.tar.bz2
openvpn-2.1_rc1-dsmod-0.6b.patch.tar.bz2
backup-restore_haserl-0.9.16.tar.bz2

Die Original Firmwareversion der FritzBox Fon WLAN 7170 war 29.04.29. Der ds-mod wurde mit FriBoLi v0.4 kompiliert. Welche Packages, Module, Einstellungen etc. muss ich bei "make menuconfig" tätigen, damit die iptables laufen? Gibt es eine andere Möglichkeit um zu verhindern, dass ein OpenVPN Netzwerk (OpenVPN Server läuft auf der FritzBox) auf das LAN zugreift?

Mit freundlichen Grüßen
WANA

 

[olistudent]

Den Eintrag für netfilterdir hab ich vergessen anzupassen. Du kannst die *.o-Module aus dem 2.4er Kernel natürlich nicht unter dem 2.6er laden.
Mögliche Fehler:
1. Die Module sind nicht da.

/ $ find | grep netfilter
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_tables.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_LOG.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_iprange.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_mac.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_multiport.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_state.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_filter.ko
./lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_nat.ko
/ $

2. Sind die Module in der modules.dep eingetragen?

/ $ cat /lib/modules/2.6.13.1-ohio/modules.dep |grep netfilter
/ $

Bei mir sind sie nicht drin, weil ich einen Fehler beim Image bauen gemacht hab... ;-)

MfG Oliver

 

[WEARENOTALONE]

Keiner der Befehle hat eine Ausgabe:

/ $ find | grep netfilter
/ $ cat /lib/modules/2.6.13.1-ohio/modules.dep | grep netfilter

Was genau muss ich ändern, damit die Module geladen werden?

Mit freundlichen Grüßen
WANA

 

[olistudent]

Das versteh ich jetzt nicht. Wenn du firewall-cgi im menuconfig auswählst, dann sollte iptables mit Libs und die Module installiert sein.

MfG Oliver

 

[WEARENOTALONE]

Momentan habe ich bei

make menuconfig

unter Advanced Options > Kernel Modules > net > Alle Module ausgewählt, das firewall-cgi Package aber nicht! Bei meinem ersten Versuch wars genau anders herum, die Fehler aber die Selben.

Muss ich also das firewall-cgi und alle Kernel Modules auswählen? Muss ich eventuell noch eine Einstellung vornehmen?

Mit freundlichen Grüßen
WANA

 

[olistudent]

Wenn du das firewall-cgi auswählst, dann sollten die benötigten Kernelmodule mit selektiert werden. Weiter musst du nichts machen.
Schau mal in ds-0.2.9_26-13/kernel/modules-04.29 ob du die iptables-Module dort finden kannst.

MfG Oliver

 

[WEARENOTALONE]

Ich sehe gerade, dass ich firewall-cgi doch ausgewählt habe. Den Ordner modules-4.29 gibts bei mir nicht, bei mir ist dies vermutlich der Ordner modules-8mb_26-4.29. Darin befinden sich allerdings keinerlei Module. Die Dateien ip_tables.o, ip_tables.ko etc. sind in einem Unterordner von ds-0.2.9_26-13/source/ref...

Mit freundlichen Grüßen
WANA

 

[olistudent]

Dann mach mal ein "make kernel-precompiled". Solange die Module nicht in kernel/modules-8mb_26.04.29 sind werden sie auch nicht ins Image kopiert.

MfG Oliver

 

[WEARENOTALONE]

Work in Progress...

Führt "make precompiled" die Operationen von "make kernel-precompiled" nicht aus?

MfG
WANA

 

[WEARENOTALONE]

Kaum macht man es richtig, schon funktionierts! Die Kernel Module befinden sich nun auf der FritzBox und der Aufruf von "iptables --list" führt endlich zum gewünschten Ergebnis!

Vielen Dank olistudent

Mit freundlichen Grüßen
WANA

 

[olistudent]

Führt "make precompiled" die Operationen von "make kernel-precompiled" nicht aus?

Normalerweise schon. Da hat wohl irgendwas gehakt...

MfG Oliver

 

[jampr]

Hi, ich habe das selbe Problem.

bin seit gestern dabei, auf meine 7050 iptables drauftubekommen. Ich habe den ds-mod 0.2.9_26-14 und habe nur das Firewall-CGI ausgewählt. Die Page Firewall ist auch da. Aber beim Start kommt exakt die Meldung aus dem ersten Posting.

In dem Verzeichnis kernel/modules-4mb_26-04.29/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter sind *.ko Dateien enthalten.

Ich muss gestehen, dass ich hiervon wenig Ahnung habe. Ich möchte aber gerne dazulernen. Ich kenn z.B. noch nicht den Unterschied zwischen *.ko und *.o Dateien. Und wie bekomme ich raus, ob die Libs für den Userspace da sind?

Eigentlich wollte ich mit den iptables lan a und lan b trennen, bzw nur einige Ports im lan a zugänglich machen.

Hmm, so langsam glaube ich, dass ich mir etwas zu viel vorgenommen habe. Aber immerhin läuft der DS-Mod schon mal.

Ich hoffe, jemand hat Zeit und lust, meine Wissenslücken zu schließen.

Update: Ups, ich habe nicht gesehen, dass im Titel die 7170 steht. Sorry. Nächstes Mal mache ich einen neuen Thread auf, mit Link.

have fun,
jampr

 

[kriegaex]

Seit Kernel 2.6 haben Kernelmodule die Erweiterung .ko, um sie leicht von normalen Objektmodulen unterscheiden zu können. Für uns DS-Modder ist das praktisch, denn so können wir immer gleich erkennen, ob jemand mit Kernel 2.4 oder 2.6 herum spielt bzw. ob er falsche Kernelmodule zu verwenden versucht. Siehe http://tldp.org/LDP/lkmpg/2.6/html/x181.html.

 

[jampr]

Ok, aber wieso sind die iptables Module nicht geladen?

ich habe gerade einmal die Option Replace Kernel ausprobiert. Jetzt ist der Firewall Menüpunkt weg.

mein Vorgehen:

AVM Recover x.x.31
Firmware Upgrade mit neu compilierter Firmware

 

[kriegaex]

Installiere mal aus #1 das Menuconfig-Update, dann wird die Iptables-Konfiguration schon viel übersichtlicher. "Replace kernel" solltest Du nicht brauchen. Davon abgesehen, sind Iptables und Firewall-CGI bei mir in beiden Fällen auswählbar.

 

[gnieder]

Ich spiele momentan auch ein wenig mit iptables rum.
(ds26_14.3 mit menuconfig Änderung)

Auf der 7170 läuft es. Aber nur wenn ich "replace-kernel" angebe.

Auf der 7050 und 7141 habe ich es auch versucht.
Da läuft iptables in beiden Fällen nicht. Es gibt hier auch keine
"Replace Kernel" option.

Dann habe ich die Abhängigkeit von Replace kernel in Config.in zur 7170
entfernt, um den Punkt auch bei anderen Boxen angeboten zu bekommen,
und habe die 7141 mit replace kernel gebaut.
Natürlich habe ich nicht erwartet, dass die 7141 noch einwandfrei läuft,
was sie auch nicht tat. Aber immerhin konnte ich dann die iptables module
alle laden. - Das war nur ein Versuch, weils mich interressiert hat. -

Irgendwas passt hier noch nicht so recht zusammen. Bei mir lief
iptables noch nie ohne "replace kernel".




@kriegaex

"Replace kernel" solltest Du nicht brauchen

Das sagst Du so einfach - es läuft aber nicht ohne.
Was könnte hier falsch laufen?


Gruß, gnieder

 

[olistudent]

iptables sollte laufen, wenn man im Kernel-Menuconfig den Module-Autoloader deaktiviert.

MfG Oliver

 

[jampr]

Oh, habe auch Replace Kernel mit override firmware source verwechselt.

newbie Fehler. Probiere gleich mal den Hinweis von Oliver.

Grüße
jampr

 

[jampr]

Ääh, wie deaktiviere ich denn den Module-Autoloader?

 

[gnieder]

Das ist in der Kernel menuconfig drin. Nicht im ds-mod menuconfig.

Das findest du z.B. unter "ds-0.2.9_26/source/ref-8mb_26-04.29/kernel/linux"

cd in dieses dir, make menuconfig ARCH=mips, die autoloader Funktion
deaktivieren, menuconfig mit speichern verlassen.

Dann hast du eine neue .config

Die gehört dann nach ds-0.2.9_26/make/linux mit dem richtigen Namen.

Zuletzt musst du den Kernel neu bauen.

make kernel-precompiled

Gruß, gnieder