iptables unter Freetz/7270

[olistudent]

Hi.
Bei mir sieht das eigentlich gar nicht schlecht aus. Wie bekomm ich die Auflistung wie sie auf der ersten Seite bei dir steht?

 # cat /proc/net/ip_conntrack
tcp      6 431742 ESTABLISHED src=192.168.1.20 dst=192.168.1.1 sport=14091 dport=10090 [UNREPLIED] src=192.168.1.1 dst=192.168.1.20 sport=10090 dport=14091 use=1
unknown  2 498 src=192.168.1.3 dst=224.0.0.22 [UNREPLIED] src=224.0.0.22 dst=192.168.1.3 use=1
tcp      6 431700 ESTABLISHED src=192.168.1.20 dst=192.168.1.1 sport=65047 dport=14360 [UNREPLIED] src=192.168.1.1 dst=192.168.1.20 sport=14360 dport=65047 use=1
tcp      6 431726 ESTABLISHED src=192.168.1.1 dst=192.168.1.20 sport=42140 dport=27373 [UNREPLIED] src=192.168.1.20 dst=192.168.1.1 sport=27373 dport=42140 use=1
tcp      6 431731 ESTABLISHED src=192.168.1.1 dst=192.168.1.20 sport=27273 dport=46528 [UNREPLIED] src=192.168.1.20 dst=192.168.1.1 sport=46528 dport=27273 use=1
unknown  2 494 src=192.168.1.20 dst=224.0.0.22 [UNREPLIED] src=224.0.0.22 dst=192.168.1.20 use=1
unknown  2 488 src=192.168.1.1 dst=224.0.0.1 [UNREPLIED] src=224.0.0.1 dst=192.168.1.1 use=1
unknown  2 492 src=192.168.1.23 dst=224.0.0.22 [UNREPLIED] src=224.0.0.22 dst=192.168.1.23 use=1

MfG Oliver

 

[RalfFriedl]

Zunächst braucht man Regeln, die etwas ins Log schreiben:

iptables -A INPUT $BEDINGUNGEN -j LOG --log-prefix "Text "
z.B:
iptables -A INPUT -p icmp -j LOG --log-prefix "ICMP "

Diese Regel sollte unter anderem auf Ping an die Box ansprechen.

Und dann dmesg oder anscheined "cat /dev/debug", wobei letzteres wohl eine AVM Eigenheit ist.

 

[olistudent]

Es tut sich was:

ICMP IN=lan OUT= PHYSIN=eth0 MAC=00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:00:00 SRC=192.168.1.23 DST=192.168.1.1 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=21568 SEQ=1
...

Kommt halt nicht von außen.

MfG Oliver

 

[dsteinkopf]

Das ist ja großartig - sieht ja nach einem vernünftigen Log-Eintrag aus!

Was genau hast Du gemacht? Schickst Du ggf. mal Deine .config (EDIT: vor allem die vom Kernel)? Wie hast Du die Module geladen? Welche?

Vielleicht schickst Du auch mal das Ergebnis von

lsmod | grep '^ip\|^nf\|^xt'

NB. in dmesg kommen die Logs bei mir nicht. Nur bei cat /dev/debug. (Was letzteres eigentlich ist, weiß ich auch nicht.

dirk

 

[olistudent]

# lsmod | grep '^ip\|^nf\|^x'
ip_conntrack 44202 0
ip_tables 11822 0
x_tables 13427 1 ip_tables

MfG Oliver

 

[dsteinkopf]

Bist Du Dir sicher, dass diese Liste entstand während die iptables-Regel aktiv war? Wenn ich nur diese Module lade, bekomme ich eine Fehlermeldung:

root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko                 
root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_tables.ko            
root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_conntrack.ko   
root@fritz:/mod/root > iptables -A INPUT -p icmp -j LOG --log-prefix "ICMP "                               
iptables v1.3.7: can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
root@fritz:/mod/root >

Schicke doch bitte nochmal die ganze Modulliste und schreib, wie Du die Module geladen und gebaut hast.
Vielen Dank.


Dirk

 

[olistudent]

Natürlich hab ich zum Loggen auch die 2 Log-Module geladen. Gebaut hab ich die Module mit make. Wie denn sonst?

MfG Oliver

 

[dsteinkopf]

Natürlich hab ich zum Loggen auch die 2 Log-Module geladen.

Welche zwei Module? Ich kenne nur ipt_LOG.ko Schreib doch mal bitte, welche Module geladen sind währen dein obiger Output entstand.

Gebaut hab ich die Module mit make. Wie denn sonst?

Sorry, wenn ich so dumme Fragen stelle, aber dass sie mit make gebaut wurden war auch mir klar

Ich fragte das, weil es bei mir nicht klappt - und irgendwas musst du ja anders gemacht haben. Ich dachte vor allem an die beiden .config.

EDIT: make kernel-dirclean habe ich schon versucht...

Hier zur Sicherheit mal die Module, die ich geladen habe:

 root@fritz:/mod/root > lsmod | head -20
Module                  Size  Used by    Tainted: P  
ipt_LOG                 7185  1 
xt_conntrack            2203  0 
iptable_filter          2158  1 
ip_conntrack           49397  1 xt_conntrack
ip_tables              12320  1 iptable_filter
x_tables               13427  3 ipt_LOG,xt_conntrack,ip_tables
userman                32611  2 
...

Vielleicht gibt es ja noch jemanden, bei dem es klappt?

Vielen Dank!


Dirk

 

[alxweb]

Am einfachsten rauszufinden, welche Module benötigt werden, ist es auf dem PC auszuprobieren, da dort die benötigten Module automatisch geladen werden:

A2600 anwender # modprobe x-tables
A2600 anwender # iptables -A INPUT -p icmp -j LOG --log-prefix "ICMP "
A2600 anwender # lsmod
Module                  Size  Used by
ipt_LOG                 4928  1 
iptable_filter          2112  1 
ip_tables               9544  1 iptable_filter
x_tables                9988  2 ipt_LOG,ip_tables
..

Hier werden z.B. die conntrack-Module noch gar nicht benötigt

A2600 anwender # iptables -A INPUT -m state --state NEW -p icmp -j LOG --log-prefix "ICMP "
A2600 anwender # lsmod
Module                  Size  Used by
nf_conntrack_ipv4      12104  1 
xt_state                1856  1 
nf_conntrack           49388  2 nf_conntrack_ipv4,xt_state
nfnetlink               4120  2 nf_conntrack_ipv4,nf_conntrack
ipt_LOG                 4928  2 
iptable_filter          2112  1 
ip_tables               9544  1 iptable_filter
x_tables                9988  3 xt_state,ipt_LOG,ip_tables
..

Hier werden die Conntrack-Module benötigt und geladen

 

[dsteinkopf]

Ja ok danke.

Leider habe ich z.b. nf_conntrack nicht. Aber das ist erstmal nicht so wichtig.

Ich habe jetzt zum x-ten Mal die Module geladen - nochmal ganz genau die auch von dir angegebenen 4 und bekomme wieder solche Ausgaben:

root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko
root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_tables.ko
root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/iptable_filter.ko
root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_LOG.ko
root@fritz:/mod/root > insmod $nachladenroot/lib/modules/2.6.19.2/kernel/net/netfilter/nfnetlink.ko
root@fritz:/mod/root > iptables -A INPUT -p icmp -j LOG --log-prefix "ICMP "
root@fritz:/mod/root > cat /dev/debug 
<4>ICMP IN=lan OUT= MAC=00:1C:4A:63:74:64:00:1D:60:17:43:4B:08:00 SRC=32.50.48.48 DST=56.32.49.50 LEN=55525 TOS=0x1E PREC=0x60 TTL=32 ID=11296 MF FRAG:4145 PROTO=77 
<4>ICMP IN=lan OUT= MAC=00:1C:4A:63:74:64:00:1D:60:17:43:4B:08:00 SRC=32.50.48.48 DST=56.32.49.50 LEN=7424 TOS=0x1E PREC=0xE0 TTL=32 ID=11296 MF FRAG:4145 PROTO=77 
<4>ICMP IN=tun0 OUT= MAC= SRC=1.0.0.0 DST=0.0.0.0 LEN=17606 TOS=0x18 PREC=0xA0 TTL=38 ID=1548 MF FRAG:4626 PROTO=134 
<4>ICMP IN=tun0 OUT= MAC= SRC=1.0.0.0 DST=0.0.0.0 LEN=51896 TOS=0x18 PREC=0xA0 TTL=168 ID=46528 DF FRAG:1162 PROTO=174

Ich tippe nach wie vor, dass es weniger daran liegt, welche Module ich laden, sondern, dass sie irgendwie nicht zum Kernel passen. Daher würde ich mich freuen, wenn mir mal jemand, bei dem es (mit der 7270) geht, seine .config des Kernel schickt (source/ref-8mb_26-7270/kernel/linux/.config).


dirk

 

[olistudent]

Ich wüßte nicht, dass ich was an der .confgi geändert hab. Aber ich kann nochmal nachschauen.

MfG Oliver

 

[dsteinkopf]

Also ich glaub, ich geb auf - ich komme wirklich nicht weiter. Ich habe jetzt nochmal versucht, alles komplett neu auszuchecken und neu zu bauen, indem ich das Freetz-Package iptables wähle.

Unter build/modified/filesystem fehlt dann schon x_tables.ko. Selbst wenn ich dann (in der Hoffnung irgendeine Abhängigkeit bring es hinein) alle kernel-Module und libs für iptables auswähle, fehlt es immer noch.

Unter kernel/modules-8mb_26-7270/ ist es da. Wenn ich von dort die 4 "Basis-Module" x_tables.ko, ip_tables.ko, iptable_filter.ko, ipt_LOG.ko lade und z.B. die obige iptables-Log-Zeile ausführe, erhalt ich über cat /dev/debug wieder die kaputten logs.


Anbei mal meine beiden config. (Oli ich will dich nicht drängeln, ich weiß Du machst hier ne Menge und ich kann nicht erwarten, dann du dich auch noch hierum kümmerst - vielleicht findet sich ja jemand anderes, der sich dafür interessiert).

Dirk

 

[olistudent]

Hi.
Die x*-Module kommen nicht ins Image, weil das noch niemand eingebaut hat. Mit "copy all modules" waren sie aber drin?

MfG Oliver

 

[dsteinkopf]

Ja, mit "export DS_MODULES_ALL=y" wurden sie alle reinkopiert, das ist nicht mein Problem.

Dirk

 

[olistudent]

Du darfst die Module natürlich gerne in kernel/Config.in einpflegen. Und zwar alle aus net/netfilter (?). Mit einem "depends_on DS_AVM_VERSION_7270". Am Besten noch den Hilfetext aus dem Kernel-Source hinkopieren. So wie es halt für die anderen Module ist.
Patch erstellen (svn diff > kernel_config_in.patch) und hier anhängen. Dann bau ich das ein.

MfG Oliver

 

[frank_m24]

... und dabei auch direkt die Abhängigkeiten der Module untereinander beachten.

 

[dsteinkopf]

Das werde ich gerne versuchen, wenn es bei mir erstmal läuft...

Dirk

 

[Elvar]

Ich habe jetzt auch mal ein wenig getestet - und zwar mit der 7270. Wie mir scheint, haben einige hier iptables auf einer 7170 zum laufen gebracht. Auf der 7270 können jetzt zwar alle Module geladen werden (nachdem man tatsächlich alle Module *und* modules.dep ins Image gebracht hat). Ich bekomme ebenfalls keine Lade-Fehler mehr (modprobe oder insmod).
Setze ich aber ein paar LOG-targets auf, wird nur Datenmüll produziert - wie auch dsteinkopf beobachtet hat.

Leider passt das Kernel-config offenbar immer noch nicht zum AVM-Kernel. Ich frage mich, warum die die .config Datei nicht rausrücken, es würde uns manche Arbeit erspart! Vielleicht stimmen ja mittlerweile in der AVM-Open-Source-Datei auch andere Dinge nicht mehr - die Datei steht auf dem Stand von 04.49.

Zu den "nf_*" Modulen: Auf meiner SUSE werden die auch benötigt, weil im Kernel-Config halt so gewählt. Für Freetz sind die nicht aktiviert.

E.

 

[Elvar]

O.K. Hab´s hinbekommen. LOG-Targets bringen vernünftigen Output. Ursache ist natürlich eine falsche Konfiguration im Kernel-Config: Es darf in der Netzwerk-Konfig *nicht* "QoS and/or fair queueing" gewählt sein.

make kernel-menuconfig - Networking - Networking Options - QoS and/or fair queueing abwählen. make kernel.

Ursache ist, dass die internen Socket-Datenstrukturen (skb) von dieser Option abhängen. Wenn sich Kernel und Modul dann nicht einig sind, kann es nicht funktionieren. Möchte nicht wissen, wieviel Probleme dieser Art wir hier noch haben... (oder eigentlich will ich es wissen..)

Deshalb nochmal die Bitte an AVM (falls jemand mitliest): Die .config Datei bitte!

E.

 

[olistudent]

Hi.
Redest du von "CONFIG_NET_SCHED"? Das hab ich nämlich ausgewählt. Und bei mir funktioniert es trotzdem!?
Welche Firmware nutzt du?

MfG Oliverx