[Problem] iptables/nhipt Einstellungen bleiben nicht bestehen

[MyKey0815]

Ich habe eine W920V mit dem aktuellen freetz-trunk 9446 geflashed. Habe IPTables drauf und möchte die NHIPT als Konfiguration benutzen. Die Einstellungen werden auch vorgenommen und greifen.

Wenn ich den Dienst iptabels aber neustarte, dann gehen die Einstellungen auch dann verloren, wenn ich vorher in NHIPT die Schaltfläche "persist rules" drücke - ist danach auch grün hinterlegt.

Woran kann es liegen bzw. welche Infos werden noch benötigt

Boxtyp:W920V_7570 AVM-Firmwareversion:04.91 Sprache:en Kernelversion:2.6.19.2 (4059) (gcc version 3.4.6) Freetz-Version:freetz-devel-9446 Erstellungsdatum:05.10.2012 16:59:53 Ursprünglicher Dateiname:W920V_7570_04.91-freetz-devel-9446.en_20121005-165953.image

FREETZ_HAVE_DOT_CONFIG=y
FREETZ_AVM_VERSION_7270_04_86=y
FREETZ_TYPE_FON_WLAN_7570=y
FREETZ_TYPE_LANG_EN=y
FREETZ_TYPE_LANGUAGE="en"
FREETZ_TYPE_ALIEN_HARDWARE=y
FREETZ_TYPE_SPEEDPORT_W920V_7570=y
FREETZ_AVM_VERSION_STRING="7270_04.86"
FREETZ_FILESYSTEM_MTD_SIZE=0
FREETZ_TYPE_PREFIX="7570"
FREETZ_TYPE_PREFIX_ALIEN_HARDWARE="W920V_"
FREETZ_INSTALL_BASE=y
FREETZ_REPLACE_BUSYBOX=y
FREETZ_SHOW_ADVANCED=y
FREETZ_REPLACE_KERNEL_AVAILABLE=y
FREETZ_TARGET_IPV6_SUPPORT=y
FREETZ_TARGET_REF_16MB=y
FREETZ_TARGET_REF="16mb"
FREETZ_KERNEL_REF_16MB=y
FREETZ_KERNEL_REF="16mb"
FREETZ_KERNEL_MTD_SIZE=246
FREETZ_HAS_AVM_PTY_SUPPORT=y
FREETZ_HAS_AVM_AURA_USB=y
FREETZ_HAS_AVM_NTFS=y
FREETZ_HAS_AVM_IPV6=y
FREETZ_HAS_AVM_WEBDAV=y
FREETZ_HAS_AVM_INETD=y
FREETZ_HAS_AVM_TR069=y
FREETZ_HAS_AVM_TR069_FWUPDATE=y
FREETZ_HAS_AVM_CHRONYD=y
FREETZ_HAS_AVM_DECT=y
FREETZ_HAS_AVM_OPENSSL_LIBS=y
FREETZ_HAS_AVM_PHONE=y
FREETZ_HAS_AVM_TAM=y
FREETZ_HAS_AVM_USB_HOST=y
FREETZ_HAS_AVM_WLAN=y
FREETZ_HAS_AVM_JFFS2=y
FREETZ_HAS_AVM_CTLMGR_STRUCT_V1=y
FREETZ_LANG_DE=y
FREETZ_LANG_STRING="de"
FREETZ_PATCH_FREETZMOUNT=y
FREETZ_USBSTORAGE_AUTOMOUNT=y
FREETZ_AUTOMOUNT_FAT=y
FREETZ_AUTOMOUNT_NTFS=y
FREETZ_REMOVE_ASSISTANT=y
FREETZ_REMOVE_AURA_USB=y
FREETZ_REMOVE_CHRONYD=y
FREETZ_REMOVE_DTRACE=y
FREETZ_REMOVE_HELP=y
FREETZ_REMOVE_PRINTSERV=y
FREETZ_REMOVE_PRINTSERV_MODULE=y
FREETZ_REMOVE_SUPPORT=y
FREETZ_REMOVE_TR069=y
FREETZ_REMOVE_UPNP=y
FREETZ_REPLACE_DTRACE=y
FREETZ_REPLACE_ONLINECHANGED=y
FREETZ_TYPE_SPEEDPORT_W920V_LED_MODULE=y
FREETZ_AVMDAEMON_DISABLE_IGD=y
FREETZ_AVMDAEMON_DISABLE_NTP=y
FREETZ_AVMDAEMON_DISABLE_TR069=y
FREETZ_PACKAGE_DNSMASQ=y
FREETZ_PACKAGE_HASERL=y
FREETZ_PACKAGE_INETD=y
FREETZ_PACKAGE_NETSNMP=y
FREETZ_PACKAGE_OPENNTPD=y
FREETZ_PACKAGE_HOL=y
FREETZ_PACKAGE_WOL=y
FREETZ_PACKAGE_AVM_FIREWALL=y
FREETZ_PACKAGE_SYSLOGD_CGI=y
FREETZ_PACKAGE_WOL_CGI=y
FREETZ_SHOW_UNSTABLE_PACKAGES=y
FREETZ_PACKAGE_IPTABLES=y
FREETZ_PACKAGE_IPTABLES_IS_SELECTABLE=y
FREETZ_PACKAGE_IPTABLES_SAVE_RESTORE=y
FREETZ_PACKAGE_IPTABLES_XML=y
FREETZ_PACKAGE_IPTABLES_CGI=y
FREETZ_PACKAGE_NHIPT=y
FREETZ_PACKAGE_IPTABLES_STANDARD_MODULES=y
FREETZ_PACKAGE_IPTABLES_KERNEL_MODULES=y
FREETZ_MODULE_ip_conntrack=y
FREETZ_MODULE_ip_conntrack_ftp=y
FREETZ_MODULE_ip_conntrack_h323=y
FREETZ_MODULE_ip_conntrack_irc=y
FREETZ_MODULE_ip_conntrack_pptp=y
FREETZ_MODULE_ip_conntrack_rtsp=y
FREETZ_MODULE_ip_conntrack_tftp=y
FREETZ_MODULE_ip_nat=y
FREETZ_MODULE_ip_nat_ftp=y
FREETZ_MODULE_ip_nat_h323=y
FREETZ_MODULE_ip_nat_irc=y
FREETZ_MODULE_ip_nat_pptp=y
FREETZ_MODULE_ip_nat_rtsp=y
FREETZ_MODULE_ip_nat_tftp=y
FREETZ_MODULE_iptable_filter=y
FREETZ_MODULE_iptable_mangle=y
FREETZ_MODULE_iptable_nat=y
FREETZ_MODULE_iptable_raw=y
FREETZ_MODULE_ip_tables=y
FREETZ_MODULE_ipt_iprange=y
FREETZ_MODULE_ipt_layer7=y
FREETZ_MODULE_ipt_ipp2p=y
FREETZ_MODULE_ipt_LOG=y
FREETZ_MODULE_ipt_comment=y
FREETZ_MODULE_ipt_MASQUERADE=y
FREETZ_MODULE_ipt_owner=y
FREETZ_MODULE_ipt_REDIRECT=y
FREETZ_MODULE_ipt_REJECT=y
FREETZ_MODULE_ipt_TCPMSS=y
FREETZ_MODULE_ipt_tos=y
FREETZ_MODULE_ipt_TOS=y
FREETZ_MODULE_ipt_ttl=y
FREETZ_MODULE_x_tables=y
FREETZ_MODULE_xt_helper=y
FREETZ_MODULE_xt_CLASSIFY=y
FREETZ_MODULE_xt_comment=y
FREETZ_MODULE_xt_conntrack=y
FREETZ_MODULE_xt_esp=y
FREETZ_MODULE_xt_length=y
FREETZ_MODULE_xt_limit=y
FREETZ_MODULE_xt_mac=y
FREETZ_MODULE_xt_multiport=y
FREETZ_MODULE_xt_mark=y
FREETZ_MODULE_xt_MARK=y
FREETZ_MODULE_xt_NFQUEUE=y
FREETZ_MODULE_xt_NOTRACK=y
FREETZ_MODULE_xt_iprange=y
FREETZ_MODULE_xt_pkttype=y
FREETZ_MODULE_xt_physdev=y
FREETZ_MODULE_xt_quota=y
FREETZ_MODULE_xt_realm=y
FREETZ_MODULE_xt_state=y
FREETZ_MODULE_xt_statistic=y
FREETZ_MODULE_xt_string=y
FREETZ_MODULE_xt_tcpudp=y
FREETZ_MODULE_xt_tcpmss=y
FREETZ_PACKAGE_IPTABLES_SHARED_LIBS=y
FREETZ_LIB_libipt_addrtype=y
FREETZ_LIB_libipt_ah=y
FREETZ_LIB_libipt_CLUSTERIP=y
FREETZ_LIB_libipt_DNAT=y
FREETZ_LIB_libipt_ecn=y
FREETZ_LIB_libipt_ECN=y
FREETZ_LIB_libipt_icmp=y
FREETZ_LIB_libipt_ipp2p=y
FREETZ_LIB_libipt_LOG=y
FREETZ_LIB_libipt_MASQUERADE=y
FREETZ_LIB_libipt_MIRROR=y
FREETZ_LIB_libipt_NETMAP=y
FREETZ_LIB_libipt_realm=y
FREETZ_LIB_libipt_REDIRECT=y
FREETZ_LIB_libipt_REJECT=y
FREETZ_LIB_libipt_SAME=y
FREETZ_LIB_libipt_SNAT=y
FREETZ_LIB_libipt_ttl=y
FREETZ_LIB_libipt_TTL=y
FREETZ_LIB_libipt_ULOG=y
FREETZ_LIB_libipt_unclean=y
FREETZ_LIB_libxt_CLASSIFY=y
FREETZ_LIB_libxt_comment=y
FREETZ_LIB_libxt_connbytes=y
FREETZ_LIB_libxt_connmark=y
FREETZ_LIB_libxt_CONNMARK=y
FREETZ_LIB_libxt_CONNSECMARK=y
FREETZ_LIB_libxt_conntrack=y
FREETZ_LIB_libxt_dscp=y
FREETZ_LIB_libxt_DSCP=y
FREETZ_LIB_libxt_esp=y
FREETZ_LIB_libxt_hashlimit=y
FREETZ_LIB_libxt_helper=y
FREETZ_LIB_libxt_iprange=y
FREETZ_LIB_libxt_length=y
FREETZ_LIB_libxt_limit=y
FREETZ_LIB_libxt_mac=y
FREETZ_LIB_libxt_mark=y
FREETZ_LIB_libxt_MARK=y
FREETZ_LIB_libxt_multiport=y
FREETZ_LIB_libxt_NFLOG=y
FREETZ_LIB_libxt_NFQUEUE=y
FREETZ_LIB_libxt_NOTRACK=y
FREETZ_LIB_libxt_owner=y
FREETZ_LIB_libxt_physdev=y
FREETZ_LIB_libxt_pkttype=y
FREETZ_LIB_libxt_quota=y
FREETZ_LIB_libxt_rateest=y
FREETZ_LIB_libxt_RATEEST=y
FREETZ_LIB_libxt_sctp=y
FREETZ_LIB_libxt_SECMARK=y
FREETZ_LIB_libxt_standard=y
FREETZ_LIB_libxt_state=y
FREETZ_LIB_libxt_statistic=y
FREETZ_LIB_libxt_string=y
FREETZ_LIB_libxt_tcpmss=y
FREETZ_LIB_libxt_TCPMSS=y
FREETZ_LIB_libxt_tcp=y
FREETZ_LIB_libxt_time=y
FREETZ_LIB_libxt_tos=y
FREETZ_LIB_libxt_TOS=y
FREETZ_LIB_libxt_TRACE=y
FREETZ_LIB_libxt_u32=y
FREETZ_LIB_libxt_udp=y
FREETZ_PACKAGE_MOD=y
FREETZ_PACKAGE_MOD_ETCSERVICES=y
FREETZ_PACKAGE_MODCGI=y
FREETZ_DL_KERNEL_SITE=""
FREETZ_DL_KERNEL_SOURCE="${FREETZ_AVM_VERSION_STRING}-release_kernel.tar.xz"
FREETZ_DL_KERNEL_SOURCE_MD5="61e92063b3c9164c7d85f614d53a4afb"
FREETZ_DL_SITE="@AVM/fritzbox.fon_wlan_7570/firmware/english"
FREETZ_DL_SOURCE="FRITZ.Box_Fon_WLAN_7570_vDSL.en-de-fr.75.04.91.image"
FREETZ_DL_SOURCE_MD5="caa18aa1888a6b4990fccaf386d1d86a"
FREETZ_DL_SITE2="@TELEKOM/Speedport/Speedport W 920V"
FREETZ_DL_SOURCE2="Speedport_W_920V.AnnexB.65.04.78.image"
FREETZ_DL_SOURCE2_MD5="829972b62ae54bd4e526fe727c5c460b"
FREETZ_VERBOSITY_LEVEL=2
FREETZ_SIZEINFO_COMPRESSED=y
FREETZ_JLEVEL=2
FREETZ_CHECK_CHANGED=y
FREETZ_DL_SITE_USER=""
FREETZ_OPTIONS_ETCSERVICES=y
FREETZ_SECURITY_LEVEL=1
FREETZ_STYLE_COLORED=y
FREETZ_STYLE="colored"
FREETZ_SKIN_legacy=y
FREETZ_FAVICON_NONE=y
FREETZ_FAVICON_STRING="none"
FREETZ_TAGGING_NONE=y
FREETZ_TAGGING_STRING="none"
FREETZ_DEVELOPER_VERSION_STRING=y
FREETZ_USER_DEFINED_COMMENT=""
FREETZ_CREATE_SEPARATE_OPTIONS_CFG=y
FREETZ_SQUASHFS_BLOCKSIZE_65536=y
FREETZ_SQUASHFS_BLOCKSIZE=65536
FREETZ_KERNEL_VERSION_2_6_19=y
FREETZ_KERNEL_VERSION="2.6.19.2"
FREETZ_KERNEL_VERSION_2_6_13_MIN=y
FREETZ_KERNEL_VERSION_2_6_19_MIN=y
FREETZ_KERNEL_VERSION_2_6_19_MAX=y
FREETZ_KERNEL_VERSION_2_6_28_MAX=y
FREETZ_KERNEL_VERSION_2_6_32_MAX=y
FREETZ_KERNEL_LAYOUT_UR8=y
FREETZ_KERNEL_LAYOUT="ur8"
FREETZ_MODULES_KVER="2.6.19.2"
FREETZ_BUSYBOX_BLKID=y
FREETZ_BUSYBOX_BLKID_TYPE=y
FREETZ_BUSYBOX_ETHER_WAKE=y
FREETZ_BUSYBOX_INETD=y
FREETZ_BUSYBOX_IP=y
FREETZ_BUSYBOX_FEATURE_IP_ADDRESS=y
FREETZ_BUSYBOX_FEATURE_IP_LINK=y
FREETZ_BUSYBOX_FEATURE_IP_ROUTE=y
FREETZ_BUSYBOX_FEATURE_IP_TUNNEL=y
FREETZ_BUSYBOX_MD5SUM=y
FREETZ_BUSYBOX_REALPATH=y
FREETZ_BUSYBOX_STUN_IP=y
FREETZ_BUSYBOX_TAR_OLDGNU_COMPATIBILITY=y
FREETZ_BUSYBOX_VOLUMEID=y
FREETZ_BUSYBOX_VOLUMEID_FAT=y
FREETZ_BUSYBOX_VOLUMEID_NTFS=y
FREETZ_BUSYBOX_WGET=y
FREETZ_BUSYBOX_FEATURE_PREFER_IPV4_ADDRESS=y
FREETZ_LIB_libuClibc__=y
FREETZ_LIB_libz=y
FREETZ_LIB_libpcre=y
FREETZ_LIB_libpcreposix=y
FREETZ_LIB_ld_uClibc=y
FREETZ_LIB_libcrypt=y
FREETZ_LIB_libdl=y
FREETZ_LIB_libm=y
FREETZ_LIB_libnsl=y
FREETZ_LIB_libpthread=y
FREETZ_LIB_libresolv=y
FREETZ_LIB_librt=y
FREETZ_LIB_libuClibc=y
FREETZ_LIB_libgcc_s=y
FREETZ_LIB_libctlmgr=y
FREETZ_LIB_libctlmgr_WITH_STRUCT_V1=y
FREETZ_STRIP_BINARIES=y
FREETZ_STRIP_MODULES_FREETZ=y
FREETZ_TARGET_ARCH_LE=y
FREETZ_TARGET_ARCH="mipsel"
FREETZ_TARGET_CROSS="mipsel-linux-uclibc-"
FREETZ_TARGET_MAKE_PATH="toolchain/target/bin"
FREETZ_KERNEL_CROSS="mipsel-unknown-linux-gnu-"
FREETZ_KERNEL_MAKE_PATH="toolchain/kernel/bin"
FREETZ_DOWNLOAD_TOOLCHAIN=y
FREETZ_GCC_3_4_COMPILED_KERNEL=y
FREETZ_UCLIBC_0_9_29_BASED_BOX=y
FREETZ_KERNEL_COMPILER_GCC_3_4=y
FREETZ_KERNEL_GCC_VERSION="3.4.6"
FREETZ_KERNEL_BINUTILS_VERSION="2.18"
FREETZ_TARGET_UCLIBC_VERSION_0_9_29=y
FREETZ_TARGET_COMPILER_GCC_4_6=y
FREETZ_STDCXXLIB_USE_UCLIBCXX=y
FREETZ_TARGET_UCLIBC_VERSION="0.9.29"
FREETZ_TARGET_GCC_VERSION="4.6.3"
FREETZ_GNULIBSTDCXX_VERSION="6.0.16"
FREETZ_STDCXXLIB="uclibcxx"
FREETZ_TARGET_BINUTILS_VERSION="2.22"
FREETZ_TARGET_UCLIBC_REF="mod"
FREETZ_TARGET_CFLAGS="-Os -pipe -Wa,--trap"
FREETZ_TARGET_LFS=y
FREETZ_TOOLCHAIN_MINIMIZE_REQUIRED_GLIBC_VERSION=y

 

[sf3978]

Wenn ich den Dienst iptabels aber neustarte, dann gehen die Einstellungen auch dann verloren, wenn ich vorher in NHIPT die Schaltfläche "persist rules" drücke - ist danach auch grün hinterlegt.

Das ist Absicht, damit Du dich nicht aussperren kannst. Hast Du die Möglichkeit einen externen Datenträger an deinem Router zu benutzen?

 

[MyKey0815]

ja, ich könnte einen usbstick nehmen. gibt es keine möglickeit, es im flash abzulegen?

 

[sf3978]

Hast Du die "GUT GEMEINTE RATSCHLÄGE" von cando gelesen?

..., es im flash abzulegen?

Siehe diesen Thread:

http://www.ip-phone-forum.de/showthread.php?t=201779

 

[MyKey0815]

Guten Morgen,

ich hab nochmal geschaut, was in dem Link gesagt wird. Dort heißt es doch, wenn ich "Persist Rules" drücke, dass dann die Einstellungen dauerhaft gespeichert werden und die dann beim reboot wieder gelesen werden. Nur leider passiert das nicht.

 

[sf3978]

..., dass dann die Einstellungen dauerhaft gespeichert werden ...

In welchem Speicherbereich deines Routers, sollen die Einstellungen dauerhaft gespeichert werden?

 

[MyKey0815]

Es sollte so sein, das wenn der Router oder auch der Dienst iptables neugestartet wird, dass dann die Einstellungen wieder gelesen werden - also die, die ich mit "Persist rules" gespeichert habe.

Beim "speichern" sagt NHIPT:

STAGE1 - complete bootfile written
STAGE4 - settings saved
Exit Code 0 - Rules & services written to /tmp/flash/nhipt.cfg
old nhipt.cfg saved in /var/flash/backup
Writing 2104 bytes to /var/flash/freetz ... done.

Starte ich den Dienst "iptables" neu kommt:

rmmod: can't unload 'x_tables': Resource temporarily unavailable
rmmod: can't unload 'ip_conntrack': Resource temporarily unavailable
rmmod: can't unload 'ip_nat': Resource temporarily unavailable
rmmod: can't unload 'ip_tables': Resource temporarily unavailable
Flushing rules and unloading modules ... done.
Loading modules ... done.
Loading table list ... done.

Und die Einstellungen sind in NHIPT nicht mehr vorhanden

 

[sf3978]

Beim "speichern" sagt NHIPT:
...
Starte ich den Dienst "iptables" neu kommt:
...
Und die Einstellungen sind in NHIPT nicht mehr vorhanden

Poste mal von deinem Router (... Konsole, telnet), nach dem "speichern" und vor dem Neustart von iptables, die Ausgaben von:

lsmod | grep x_tables

lsmod | grep ip_

 

[MyKey0815]

Hier die Ergebnisse der beiden Abfragen - verschiedene Einstellungen in iptabels sind vorgenommen und noch kein Neustart des Dienstes - die Regeln werden auch ausgeführt

root@fritz:/var/mod/root# lsmod | grep x_tables
x_tables 10704 13 xt_tcpudp,xt_multiport,xt_MARK,xt_mark,xt_mac,xt_state,ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,iptable_nat,ipt_REJECT,ipt_LOG,ip_tables

root@fritz:/var/mod/root# lsmod | grep ip_
ip_conntrack_ftp 5465 0
ip_nat 13428 3 ipt_REDIRECT,ipt_MASQUERADE,iptable_nat
ip_conntrack 37966 5 xt_state,ipt_MASQUERADE,ip_conntrack_ftp,iptable_nat,ip_nat
ip_tables 10830 2 iptable_nat,iptable_filter
x_tables 10704 13 xt_tcpudp,xt_multiport,xt_MARK,xt_mark,xt_mac,xt_state,ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,iptable_nat,ipt_REJECT,ipt_LOG,ip_tables

 

[sf3978]

... und noch kein Neustart des Dienstes - ...

OK, und wie machst Du jetzt den Neustart von iptables (d. h. bei dir "des Dienstes")?

 

[MyKey0815]

Ich gehe in die freetz-Oberfläche - wähle die Ansicht Status - Dienste. Und in der Rubrik Statische Pakete drücke ich in der Zeile iptables auf "restart"

oder:
Ich gehe in die freetz-Oberfläche - wähle die Ansicht Iptables - Einstellungen. Und in der Rubrik Status drücke ich in der Zeile iptables auf "restart"

 

[sf3978]

... in der Rubrik Status drücke ich in der Zeile iptables auf "restart"

Ist das was Du für den Neustart von iptables benutzt, aus NHIPT oder das iptables-cgi?

 

[MyKey0815]

das ist das iptables-cgi

 

[sf3978]

... iptables-cgi

Ich weiß nicht ob man iptables-cgi mit NHIPT, gleichzeitig benutzen soll. Mein Vorschlag: Weder iptables-cgi, noch NHIPT benutzen. NHIPT ist experimental, unstable und wird nicht mehr gewartet. Wenn Du dich mit iptables auskennst, ein Freetz-Image ohne iptables-cgi und ohne NHIPT, d. h. nur mit iptables kompilieren und flaschen. iptables dann mit einem eigenen Script (konfigurieren und) benutzen. Eine freetz-devel revision benutzen die eine AVM-Firmware benötigt, in der iptables von AVM noch nicht kastriert worden ist.

 

[MyKey0815]

Hmm - leider ist das so ein Problem mit meinen iptables-Kenntnissen. Daher war ich sehr froh dies Oberfläche NHIPT nutzen zu können: einfach und intuitive Bedienung.

Schade halt, das die Einstellungen immer wieder mal weg sind - aber ich werde mal schauen, ob ich das durch ein anderes Image (ohne die iptables-cgi) hinbekomme. Nur dann wüsste ich nicht, wie ich den Dienst starten könnte?. Das war der Grund, warum ich den iptable-cgi mitrein genommem habe

 

[sf3978]

Nur dann wüsste ich nicht, wie ich den Dienst starten könnte?. Das war der Grund, warum ich den iptable-cgi mitrein genommem habe

Das (experimentale/unstable) NHIPT hast doch ein start-stop-Script:

http://svn.freetz.org/trunk/make/nhipt/files/root/etc/init.d/rc.nhipt

*)
		echo "Usage: $0 [load|unload|start|stop|restart|status]" 1>&2

Versuch mal in der Konsole (telnet):

sh -x /etc/init.d/rc.nhipt restart

und

sh -x /etc/init.d/rc.nhipt status

BTW: iptables kannst Du nur mit einem (eigenen) Script voll ausschöpfen (ausreizen), d. h. ohne cgi's bzw. ohne WEB-IF's. Aber dafür sind iptables-Kenntnisse erforderlich.