iptables im ds-mod 0.2.9 auf Fritzbox Fon Wlan 7170 29.04.29

[jampr]

Vielen Dank,
werde es gleich einmal ausprobieren...

 

[kriegaex]

Etwas genauer:

• make kernel-menuconfig (ist einfacher ;-))
• Loadable module support -> Automatic kernel module loading (symbolischer Name CONFIG_KMOD) -> ausschalten
• make kernel-clean
• make kernel-menuconfig
• make kernel-precompiled

Vielleicht baue ich eine Art kleinen Hilfetext oder Warnung dazu in die ds26-Menuconfig ein. Man könnte das auch ganz automatisieren, aber da werde ich mich erst mal mit Oliver besprechen, ob wir das wirklich machen sollen.

 

[gnieder]

Ich denke mal dann braucht auch das firewall.cgi ändern, um die Module
die dann ja nicht mehr automatisch geladen werden, bei Bedarf nachzuladen.

gnieder

 

[kriegaex]

Olistudent hat das gerade umgebaut, so daß jetzt explizit modprobe bzw. rmmod benutzt werden zum Laden und Entladen. Kommt demnächst im Patch.

 

[jampr]

Aber den Punkt ReplaceKernel muss ich noch in der Config.in für die 7050 einblenden. Nach meinem Verständnis könnte ich sonst in der Kernel-Menuconfig etwas ändern, ohne dass es auf der Box ist?!?

 

[gnieder]

...langsam!

Mach es einfach so wie kriegaex es beschrieben hat.

Wenn du dann dein Image baust wird dieser geänderte Kernel ins Image gebaut.

Dann kannst du die Kernelmodule laden und iptables starten. Das läuft.

Ich würde aber noch ein wenig warten, bis der nächste Patch fertig ist.
Dann ist das Thema Standard, und das firewall.cgi läuft auch automatisch.

gnieder

 

[jampr]

Das heißt also, dass der original AVM Kernel weiter benutzt wird, die Iptables Module dann nur dazu geladen werden. So richtig? Möche schon gerne den Zusammenhang verstehen.

 

[gnieder]

...grob betrachtet kannst du es so beschreiben, und es funktioniert auch.
Ich hab's gerade nochmal auf der 7141 ausprobiert.

gnieder

 

[jampr]

Hmm, soweit, so schlecht.

bei mir hat' s nicht funktioniert.
mein Vorgehen:

* make menuconfig (iptables firewall.cgi)
* dann make kernel-menuconfig (autoloader entfernt)
* make kernel-toolchain
* make kernel precompiled
* make precompiled
* make

Firmware wurde einwandfrei gebaut, Firewall Reiter ist da. Aber die iptables funktionieren nicht.

Ergebnis ist, dass das Firewall cgi da ist aber:

/ $ iptables --list
iptables v1.3.6: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
/ $ find / -name ipt*.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_LOG.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_iprange.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_mac.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_multiport.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/ipt_state.ko
/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/iptable_filter.ko
/ $ insmod /lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/iptable_filter.ko
insmod: cannot insert '/lib/modules/2.6.13.1-ar7/kernel/net/ipv4/netfilter/iptable_filter.ko': Success (2): Success

Na ja. Ich mach erst einmal schluss für heute.

have fun
jampr

 

[olistudent]

Da die Module nicht automatisch geladen werden, musst du sie in der richtigen Reihenfolge insmodden. Oder versuch es mal mit modprobe.

MfG Oliver

 

[kriegaex]

Davon abgesehen, was Oliver schrieb, scheinst Du make kernel-clean vergessen zu haben, außerdem fehlt ein Bindestrich in make kernel-precompiled.

 

[gnieder]

Versuch es mal mit:

        modprobe ip_tables
        modprobe ip_conntrack hashsize=255
        modprobe ipt_LOG
        modprobe iptable_filter
        modprobe ipt_state
        modprobe ip_conntrack_ftp
        modprobe ipt_mac
        modprobe ipt_multiport
        modprobe ipt_iprange

vor dem Start der FW.

Entladen mit rmmod in umgekehrter Reihenfolge

In der nächsten Version von firewall.cgi wird dies wahrscheinlich enthalten sein.

--gnieder

 

[fant]

@gnieder:

Cool, dann wird es ja bald wieder laufen. Ich hatte schon, bevor ich diesen Thread hier wiederentdeckt habe, darüber nachgedacht, ob ich zu doof dazu bin, den DSMod mit iptables laufen zu lassen. Ich habe die letzten Wochen resigniert und ohne Firewall gearbeitet.

Wann können wir mit einem Patch oder einem neuen Mod inkl. Iptables rechnen?

Hawedieehre.
Fant

 

[gnieder]

...die Frage musst Du Oliver oder Alex stellen.

Vermutlich mit dem nächsten Patch, oder der nächsten ds26 Version.

--gnieder

 

[olistudent]

Der Patch um die Module zu laden ist nicht das Problem, das hab ich schon eingecheckt. Aber das ip_conntrack-Modul verursacht alle 3h einen Absturz. Das ist etwas unschön.

MfG Oliver

 

[fant]

Umschön ist gut. Das ist echt ärgerlich. Ich habe vor dem Update auf den aktuellen DSMod leider dieses "kleine" Problem überlesen.

Habt Ihr schon Ideen, woran das liegen könnte? Ist Abhilfe in Sicht?

Ansonsten erstmal D A N K E für die Arbeit, die Ihr leistet. Nicht, daß der Eindruck entsteht, daß immer nur gequengelt wird... ;-)

Hawedieehre,
Fant

 

[kriegaex]

In welcher alten Version lief Iptables denn besser? Das wäre eine wichtige Information.

 

[fant]

Wenn ich das richtig sehe, müßte das der DSMOD 14.04.15ds-0.2.9. Das hat sowohl auf mehreren 7050 als auch auf mehreren 7170 in meiner Umgebung ohne Probleme geklappt. Ich glaube mich daran zu erinnern, daß da noch der 2.4er Kernel drauf war. Aber das wißt Ihr ohnehin besser.

Hawedieehre.
Fant

 

[jampr]

Stimmt,
mit dem 14.04.15 lief es bei mir auch alles super.

@kriegaex: sorry für den fehlenden bindestrich. Aber du hast recht, dass ich das make kernel-clean vergessen hatte. war schon spät.

reicht es, wenn ich modprobe ip_tables, modprobe ip..... usw. in die debug.cfg schreibe?

 

[kriegaex]

@jampr: Kannst auch die 14.4 herunterladen, da sind die modprobes und rmmods integriert.