iptables unter Freetz/7270

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Hey, super.
Bei mir hat das Abschalten von CONFIG_NET_SCHED viel gebracht. Das Log sieht jetzt vernünftig aus.

Allerdings werden nicht alle Pakete geloggt. Beim Loggen aller INPUT-ICMP-Pakete (s.o.) wird bei einem "ping fritz.box" nur jedes 2. Paket geloggt:

Code: 
<4>ICMP IN=lan OUT= MAC=00:1C:4A:63:74:64:00:1D:60:17:43:4B:08:00 SRC=192.168.40.8 DST=192.168.40.254 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=13612 SEQ=2 
<4>ICMP IN=lan OUT= MAC=00:1C:4A:63:74:64:00:1D:60:17:43:4B:08:00 SRC=192.168.40.8 DST=192.168.40.254 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=13612 SEQ=4 
<4>ICMP IN=lan OUT= MAC=00:1C:4A:63:74:64:00:1D:60:17:43:4B:08:00 SRC=192.168.40.8 DST=192.168.40.254 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=13612 SEQ=6 
<4>ICMP IN=lan OUT= MAC=00:1C:4A:63:74:64:00:1D:60:17:43:4B:08:00 SRC=192.168.40.8 DST=192.168.40.254 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=13612 SEQ=8
Trotzdem vielen Dank schonmal.


Dirk
 
Exakt. CONFIG_NET_SCHED darf nicht gesetzt sein (und alle Unter-Konfigs sicher auch nicht). Ich benutze die 7270 mit der FW 52.04.52. Natürlich mit dem Original-Kernel, sonst würde wohl iptables funktionieren, aber der Rest nicht...

E.
 
1. @Elvar: Hast du das Problem auch, dass nicht alle Pakete protokolliert werden?

2. @all: Haben wir denn wirklich keine Chance die .config zu bekommen oder herauszufinden? Ich nehme an, wir haben auch keine rechte Handhabe, Druck auf AVM auszuüben. Nochmal lieb betteln? Aber schon meine Anfrage nach aktuellem Source-Code wurde ignoriert...


Dirk
 
@dsteinkopf: Bei mir werden alle Pakete gelogged.

Und die FW ist natürlich 54.04.52...

E.
 
Zuletzt bearbeitet:
Magst Du mal Deine kernel-.config hier posten?
Danke.


Dirk
 
Hier ist sie.
 

Anhänge

  • config.txt
    34.3 KB · Aufrufe: 17
:):):):)
Ich bin mir jetzt zwar nicht ganz sicher, ob es wirklich durch die Konfig von dir kam, weil ich habe jetzt immer noch sporadische Aussetzer im Log. Aber zu funktionieren scheint es jetzt wirklich.

Ich werde noch genauer untersuchen, ob doch das CONFIG_NET_SCHED alleine den Durchbruch gebracht hat, damit wir das dann entsprechend in Freetz einbauen können.


Dirk
 
Ich bin gespannt. Diese "Fehlkonfiguration" kommt daher, dass ich mich an einer .config aus den Sourcen des Fritz!Media orientiert habe. Anscheinend passt da nicht alles.

MfG Oliver
 
Hallo,

ich habe bisher CONFIG_NET_SCHED (by Elvar) und CONFIG_NETFILTER_NETLINK - die beide nicht gesetzt sein dürfen - als Ursache für die Probleme ausgemacht. Letzteres scheint aber nur was mit dem Connection Tracking zu tun zu haben.

Ich wollte mal schauen, worin sich jetzt meine kernel-.config vom der Freetz-Default unterscheidet. Aber make kernel-dirclean samt make hat wieder genau die gleiche kernel-.config erzeugt. Wie bekommen ich eine "jungfräuliche"?

Dirk
 
Code: 
svn diff make/linux
MfG Oliver
 
So! Jetzt haben wir hier zu Hause eine Riesen-Umbauaktion hinter uns und ich hatte heute endlich mal wieder Zeit.

Ich habe jetzt nochmal alles frisch augecheckt (um ganz sicher zu sein) und gebaut. Die Kernel-Module werden jetzt alle richtig konfiguriert und erzeugt.
Allerdings werden folgende Module, die ich brauche, nicht nach build/modified/filesystem kopiert:

kernel/net/netfilter/xt_conntrack.ko
kernel/net/netfilter/xt_multiport.ko
kernel/net/netfilter/xt_state.ko

Ich weiß nicht, ob man das als Fehler bezeichnen muss. Für mich ist jetzt alles gut.


NB. Noch zwei Kleinigkeiten:
1. Der Config-Dialog (make menuconfig) heißt noch "DS-Mod_26 (ds26) Configuration" in der Titelzeile.
2. Es scheint eine Abhängigkeit zu fehlen zwischen tools/config/mconf und tools/config/mconf.c


Gibt es inzwischen andere Erfahrungen mit iptables in der 7270?


Dirk
 
Keiner der xt* module wird kopiert (gebaut werden sie aber), muß man selbst tun.

iptables funktioniert bei mir einwandfrei. Ich habe z.B. ein OpenVPN auf tap0 und habe auf dieses Interface Masquerading-Rules definiert. Funktioniert.

E.
 
Elvar schrieb:
Keiner der xt* module wird kopiert (gebaut werden sie aber), muß man selbst tun.
Zum Vergrößern anklicken....

Habe gerade r2026 installiert und jetzt kann man die xt* module in make menuconfig auswählen und sie werden auch ins Image kopiert. Keine Handarbeit mehr nötig. Super!

E.
 
Habe gerade versucht, aus Rev. 2849 iptables auf meiner 7270 zu installieren, jedoch ohne Erfolg.

Code: 
insmod: error inserting '/lib/iptables/libipt_conntrack.so': -1 Invalid module format

Ich wäre sehr dankbar für ein paar Hinweise, wie ich das hinkriegen könnte. Muss ich dazu zuerst einen Kernel-Make machen, damit die Module dann zum Kernel passen?
Gibts inzwischen eine config, die zum 7270-Kernel passt? Oder wie geht das?

Danke
 
Module haben die Endung .ko und sind in lib/modules/... Geladen werden die über modprobe.

MfG Oliver
 
Ok, dann wurde bei mir die iptables-Module nicht reinkopiert.

Habe jetzt mal noch folgendes probiert:
Code: 
make dirclean
make kernel-dirclean
make kernel-menuconfig  # CONFIG_NET_SCHED off
make kernel-precompiled
make precompiled
make

Sollten damit die Module dabei sein, oder fehlt da noch was?

Ich hoffe sehr, dass die Hardware und CPU in kernel-.config aus der Wahl der Box in .config bereits richtig eingestellt sind. Oder irre ich mich da?
 
Du musst iptables und die Module schon im menuconfig auswählen, sonst kommen die nicht ins Image packages->unstable.

Warum wählst du NET_SCHED ab?

MfG Oliver
 
Das ist mir schon klar, habe ich natürlich vorher schon so probiert. Die Module waren trotzdem nicht drin...

NET_SCHED habe ich wegen dem hier abgewählt.
 
@olistudent: Prima, jetzt klappts! Yippeeeh!

Die Module sind da und ich kann sie auch laden. Bei mir liegen sie aber unter /sys/module!??

Gibt's sowas wie Auto-Load, um sie nicht manuell laden zu müssen?

Und wie/wo speichere ich die Rules am besten weg?

Vielen Dank
 
zum automatischen laden, kannst du die unter "Einstellungen -> modules" im Webif eintragen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 651 (Mitglieder: 19, Gäste: 632)

Neueste Beiträge

Statistik des Forums

Themen
246,149
Beiträge
2,246,964
Mitglieder
373,668
Neuestes Mitglied
Stripi
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück