iptables im ds-mod 0.2.9 auf Fritzbox Fon Wlan 7170 29.04.29

Etwas genauer:
  • make kernel-menuconfig (ist einfacher ;-))
  • Loadable module support -> Automatic kernel module loading (symbolischer Name CONFIG_KMOD) -> ausschalten
  • make kernel-clean
  • make kernel-menuconfig
  • make kernel-precompiled
Vielleicht baue ich eine Art kleinen Hilfetext oder Warnung dazu in die ds26-Menuconfig ein. Man könnte das auch ganz automatisieren, aber da werde ich mich erst mal mit Oliver besprechen, ob wir das wirklich machen sollen.
 
Zuletzt bearbeitet:
Ich denke mal dann braucht auch das firewall.cgi ändern, um die Module
die dann ja nicht mehr automatisch geladen werden, bei Bedarf nachzuladen.

gnieder
 
Olistudent hat das gerade umgebaut, so daß jetzt explizit modprobe bzw. rmmod benutzt werden zum Laden und Entladen. Kommt demnächst im Patch.
 
Aber den Punkt ReplaceKernel muss ich noch in der Config.in für die 7050 einblenden. Nach meinem Verständnis könnte ich sonst in der Kernel-Menuconfig etwas ändern, ohne dass es auf der Box ist?!?
 
...langsam!

Mach es einfach so wie kriegaex es beschrieben hat.

Wenn du dann dein Image baust wird dieser geänderte Kernel ins Image gebaut.

Dann kannst du die Kernelmodule laden und iptables starten. Das läuft.

Ich würde aber noch ein wenig warten, bis der nächste Patch fertig ist.
Dann ist das Thema Standard, und das firewall.cgi läuft auch automatisch.

gnieder
 
Das heißt also, dass der original AVM Kernel weiter benutzt wird, die Iptables Module dann nur dazu geladen werden. So richtig? Möche schon gerne den Zusammenhang verstehen.
 
...grob betrachtet kannst du es so beschreiben, und es funktioniert auch.
Ich hab's gerade nochmal auf der 7141 ausprobiert.

gnieder
 
Hmm, soweit, so schlecht.

bei mir hat' s nicht funktioniert.
mein Vorgehen:

* make menuconfig (iptables firewall.cgi)
* dann make kernel-menuconfig (autoloader entfernt)
* make kernel-toolchain
* make kernel precompiled
* make precompiled
* make

Firmware wurde einwandfrei gebaut, Firewall Reiter ist da. Aber die iptables funktionieren nicht.

Ergebnis ist, dass das Firewall cgi da ist aber:

Code:
/ $ iptables --list
iptables v1.3.6: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
/ $ find / -name ipt*.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_LOG.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_iprange.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_mac.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_multiport.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_state.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/iptable_filter.ko
/ $ insmod /lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/iptable_filter.ko
insmod: cannot insert '/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/iptable_filter.ko': Success (2): Success

Na ja. Ich mach erst einmal schluss für heute.

have fun
jampr
 
Da die Module nicht automatisch geladen werden, musst du sie in der richtigen Reihenfolge insmodden. Oder versuch es mal mit modprobe.

MfG Oliver
 
Davon abgesehen, was Oliver schrieb, scheinst Du make kernel-clean vergessen zu haben, außerdem fehlt ein Bindestrich in make kernel-precompiled.
 
Versuch es mal mit:

Code:
        modprobe ip_tables
        modprobe ip_conntrack hashsize=255
        modprobe ipt_LOG
        modprobe iptable_filter
        modprobe ipt_state
        modprobe ip_conntrack_ftp
        modprobe ipt_mac
        modprobe ipt_multiport
        modprobe ipt_iprange

vor dem Start der FW.

Entladen mit rmmod in umgekehrter Reihenfolge

In der nächsten Version von firewall.cgi wird dies wahrscheinlich enthalten sein.

--gnieder
 
@gnieder:

Cool, dann wird es ja bald wieder laufen. Ich hatte schon, bevor ich diesen Thread hier wiederentdeckt habe, darüber nachgedacht, ob ich zu doof dazu bin, den DSMod mit iptables laufen zu lassen. Ich habe die letzten Wochen resigniert und ohne Firewall gearbeitet.

Wann können wir mit einem Patch oder einem neuen Mod inkl. Iptables rechnen?

Hawedieehre.
Fant
 
...die Frage musst Du Oliver oder Alex stellen.

Vermutlich mit dem nächsten Patch, oder der nächsten ds26 Version.

--gnieder
 
Der Patch um die Module zu laden ist nicht das Problem, das hab ich schon eingecheckt. Aber das ip_conntrack-Modul verursacht alle 3h einen Absturz. Das ist etwas unschön.

MfG Oliver
 
Umschön ist gut. Das ist echt ärgerlich. Ich habe vor dem Update auf den aktuellen DSMod leider dieses "kleine" Problem überlesen.

Habt Ihr schon Ideen, woran das liegen könnte? Ist Abhilfe in Sicht?

Ansonsten erstmal D A N K E für die Arbeit, die Ihr leistet. Nicht, daß der Eindruck entsteht, daß immer nur gequengelt wird... ;-)

Hawedieehre,
Fant
 
In welcher alten Version lief Iptables denn besser? Das wäre eine wichtige Information.
 
Wenn ich das richtig sehe, müßte das der DSMOD 14.04.15ds-0.2.9. Das hat sowohl auf mehreren 7050 als auch auf mehreren 7170 in meiner Umgebung ohne Probleme geklappt. Ich glaube mich daran zu erinnern, daß da noch der 2.4er Kernel drauf war. Aber das wißt Ihr ohnehin besser.

Hawedieehre.
Fant
 
Stimmt,
mit dem 14.04.15 lief es bei mir auch alles super.

@kriegaex: sorry für den fehlenden bindestrich. Aber du hast recht, dass ich das make kernel-clean vergessen hatte. war schon spät.

reicht es, wenn ich modprobe ip_tables, modprobe ip..... usw. in die debug.cfg schreibe?
 
@jampr: Kannst auch die 14.4 herunterladen, da sind die modprobes und rmmods integriert.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.