iptables unter Freetz/7270

[olistudent]

Und... geht nun das iptable_nat? Bei mir kam vor etwa einer Woche die Fehlermeldung: "unknown symbol ip_xfrm_me_harder".

Mit dem neuen Source (04.67) sollte das Problem nicht mehr auftreten.

MfG Oliver

 

[cando]

Hallo Dunji,

Hier der gewünschte lsmod mit allen Anhängigkeiten...

Module                  Size  Used by    Tainted: P
rfcntl                 59915  0
wlan_scan_ap            8788  1
wlan_acl                3347  1
wlan_wep                6034  0
wlan_tkip              12401  2
wlan_ccmp               7924  1
wlan_xauth              1182  0
ath_pci               141011  0
ath_rate_atheros       55443  1 ath_pci
wlan                  214661  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                23486  1 ath_pci
ath_hal               212696  4 ath_pci,ath_rate_atheros,ath_dfs
avm_ath_extensions     43195  5 rfcntl,ath_pci,ath_rate_atheros,wlan,ath_hal
avm_audio              33506  3 rfcntl
ip_nat_h323             7162  0
ip_conntrack_h323      47976  1 ip_nat_h323
xt_tcpudp               2743  3
xt_tcpmss               1844  0
xt_realm                1286  0
xt_quota                1698  0
xt_pkttype              1481  0
xt_multiport            2846  3
xt_mark                 1445  0
xt_mac                  1509  0
xt_limit                2180  0
xt_length               1547  0
xt_helper               1785  0
xt_esp                  1665  0
xt_conntrack            2203  0
xt_comment              1401  0
xt_NOTRACK              1445  0
xt_NFQUEUE              1545  0
xt_MARK                 1910  0
xt_CLASSIFY             1434  0
iptable_raw             1447  0
iptable_mangle          2104  0
ipt_ttl                 1519  0
ipt_tos                 1231  0
ipt_layer7             12892  0
ipt_iprange             1494  0
ipt_TCPMSS              3490  0
ipt_REJECT              3581  0
ipt_REDIRECT            1562  0
ipt_MASQUERADE          2579  0
ip_nat_ftp              3110  0
ip_nat                 15833  4 ip_nat_h323,ipt_REDIRECT,ipt_MASQUERADE,ip_nat_ftp
xt_state                1603  3
ipt_LOG                 7037  4
iptable_filter          2158  1
ip_conntrack_ftp        6519  1 ip_nat_ftp
ip_conntrack           45658  11 ip_nat_h323,ip_conntrack_h323,xt_helper,xt_conntrack,xt_NOTRACK,ipt_layer7,ipt_MASQUERADE,ip_nat_ftp,ip_nat,xt_state,ip_conntrack_ftp
ip_tables              11822  3 iptable_raw,iptable_mangle,iptable_filter
x_tables               13427  29 xt_tcpudp,xt_tcpmss,xt_realm,xt_quota,xt_pkttype,xt_multiport,xt_mark,xt_mac,xt_limit,xt_length,xt_helper,xt_esp,xt_conntrack,xt_comment,xt_NOTRACK,xt_NFQUEUE,xt_MARK,xt_CLASSIFY,ipt_ttl,ipt_tos,ipt_layer7,ipt_iprange,ipt_TCPMSS,ipt_REJECT,ipt_REDIRECT,ipt_MASQUERADE,xt_state,ipt_LOG,ip_tables
sch_sfq                 5619  4
sch_llq                 9102  1
sch_tbf                 5664  1
ext3                  131149  0
jbd                    62144  1 ext3
ext2                   58569  0
mbcache                 7075  2 ext3,ext2
vfat                   11303  1
fat                    53460  1 vfat
nls_cp437               5368  1
nls_iso8859_1           3714  1
usb_storage            36333  1
sd_mod                 17441  2
scsi_mod               93945  2 usb_storage,sd_mod
kdsldmod              822328  2
musb_hdrc              37265  0
usbcore               125996  3 usb_storage,musb_hdrc
dect_io                21062  2
avm_dect              368213  1 dect_io
capi_codec            128983  0
isdn_fbox_fon5        741481  0
pcmlink               234591  3 avm_dect,capi_codec,isdn_fbox_fon5
rtc_avm                 6228  1 pcmlink
rtc_core                7083  1 rtc_avm
rtc_lib                 2712  2 rtc_avm,rtc_core
dsl_ur8               168711  0
loop                   13938  8
jffs2                 115345  1
Piglet_noemif          33056  0
led_modul_Fritz_Box_7270    57739  7 ath_hal
/var/mod/root #

 

[Dunji]

Vielen Dank!

Ich sehe gerade, dass iptable_nat gar nicht geladen ist. Kann es sein, dass ip_nat dieses ersetzt und es somit gar nicht mehr nötig ist?

 

[cando]

Hallo,

ja wie gesagt, NAT verwende ich nicht bei iptables, das erledigt bei mir noch der dsld Teil mit seiner Firewall. iptables ist im reinen route Betrieb, das dsl interface hat ja eine interne ip adresse im privaten Adressraum:

dsl:  169.254.2.1 PtPP
lan:0 169.254.1.1 VLAN

Der Traffic wird standardmäßig über den dsld geschickt und der NAT-et dann nach außen / kümmert sich um das Portmapping / Forewarding nach innen.

Die NAT Funktionalität von iptables wird erst interessant, wenn man die dsld Mimik komplett mit Open Source Mitteln ersetzt und das DSL Interface selbst ansteuert.

Ich fürchte aber, dass der dsld nicht nur das DSL Modem steuert und das portmapping mit firewall macht, sondern auch die VoIP Interfaces der Box versorgt / routet und damit für den Telefonieteil der FB benötigt wird. (ich kann mich aber auch irren :noidea.

Um den dsld incl. aller Abhängigkeiten zu ersetzen müsste man

• das DSL Modem Verwalten (Einwahl, Authentifizierung, Tunnel?)

• einen DHCP-Client haben, der die öffentliche IP, Gateway und DNS vom Provider bezieht

• einen DNS Forwarder, der nach innen den DNS Server spielt

• eine NAT Engine, die den internen Verkehr bündelt und nach außen stateful führt

• ein Portmapper für inbound Verkehr (Freigabe von Resourcen maskiert im Internet)

• einen Level 3 Router der die Pakete auf jeweilige Interfaces schickt (LAN, WLAN, Tunnel, DSL, VLAN, ...)

• dazu optional die Tunnel Engine für VPN Tunnel

Zusätzlich:

• einen DynDNS Agent, der die aktuelle öffentliche IP ausplaudert

• Die VoIP Engine, die die Interfaces für die Telefonie bereitstellt

• den ntp client, der die Systemzeit stellt

• die Telefonanlage (DECT, VoIP, ISDN, Analog, Faxweiche, AB, Telofonrouting, CAPI / TAPI...)

• die Layer 2 Bridge, die die Ports sinnvoll zusammenschaltet.

• den DHCP Server für die dynamische Vergabe der internen Adressen

Das meiste ist ja in irgend einer Form bereits da um die kiste vollständig zu entfritzen:

dnsmasq
cpmaccfg / bridgeutils
iptables
router
asterisk
openvpn




Aber eine doppelte Firewall ist ja auch nichts Schlechtes.

Viele Grüße und einen guten Rutsch!

Cando

P.S. Irgendwo habe ich gelesen, es gibt ein CGI Interface für iptables, allerdings kann ich es in make menuconfig nirgends finden, wo ist denn das versteckt?

 

[tiscali]

Hallo, ich versuche mit IPtables alles was intern über port 80 kommt auf einen anderen port/proxy weiterleiten

iptables -A PREROUTING -t nat -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j REDIRECT --to-ports 8081

iptables: No chain/target/match by that name

finde leider über diese meldung nichts

 

[sf3978]

iptables -A PREROUTING -t nat -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j REDIRECT --to-ports 8081

Versuch mal das hier:

iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 80 -j REDIRECT --to-port 8081

 

[tiscali]

kommt leider das gleiche, das s hinter port war nur beim hier reinschreiben mit reingekommen.

 

[sf3978]

Und mit "-p tcp" nach "PREROUTING" ? Machst Du nicht "copy & paste"?
Hast Du das target REDIRECT installiert?

 

[olistudent]

Wie siehts denn mit geladenen Modulen aus?

MfG Oliver

 

[tiscali]

[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]

/var/mod/root # modprobe ip_conntrack
/var/mod/root # modprobe ip_conntrack_ftp
/var/mod/root # modprobe iptable_filter
/var/mod/root # modprobe ipt_LOG
modprobe: module ipt_LOG not found
modprobe: failed to load module ipt_LOG: No such file or directory
/var/mod/root # modprobe xt_state
/var/mod/root # modprobe x_tables
/var/mod/root #
/var/mod/root # modprobe ip_nat
/var/mod/root # modprobe ip_nat_ftp
/var/mod/root # modprobe ipt_MASQUERADE
/var/mod/root # modprobe ipt_REDIRECT
/var/mod/root # modprobe ipt_REJECT
/var/mod/root # modprobe ipt_TCPMSS
modprobe: module ipt_TCPMSS not found
modprobe: failed to load module ipt_TCPMSS: No such file or directory
/var/mod/root # modprobe ipt_iprange
/var/mod/root # modprobe ipt_layer7
modprobe: module ipt_layer7 not found
modprobe: failed to load module ipt_layer7: No such file or directory
/var/mod/root # modprobe ipt_tos
modprobe: module ipt_tos not found
modprobe: failed to load module ipt_tos: No such file or directory
/var/mod/root # modprobe ipt_ttl
modprobe: module ipt_ttl not found
modprobe: failed to load module ipt_ttl: No such file or directory
/var/mod/root # modprobe iptable_mangle
modprobe: module iptable_mangle not found
modprobe: failed to load module iptable_mangle: No such file or directory
/var/mod/root # modprobe iptable_nat
/var/mod/root # modprobe iptable_raw
modprobe: module iptable_raw not found
modprobe: failed to load module iptable_raw: No such file or directory
/var/mod/root # modprobe x_tables
/var/mod/root # modprobe xt_CLASSIFY
modprobe: module xt_CLASSIFY not found
modprobe: failed to load module xt_CLASSIFY: No such file or directory
/var/mod/root # modprobe xt_MARK
modprobe: module xt_MARK not found
modprobe: failed to load module xt_MARK: No such file or directory
/var/mod/root # modprobe xt_NFQUEUE
modprobe: module xt_NFQUEUE not found
modprobe: failed to load module xt_NFQUEUE: No such file or directory
/var/mod/root # modprobe xt_NOTRACK
modprobe: module xt_NOTRACK not found
modprobe: failed to load module xt_NOTRACK: No such file or directory
/var/mod/root # modprobe xt_comment
modprobe: module xt_comment not found
modprobe: failed to load module xt_comment: No such file or directory
/var/mod/root # modprobe xt_conntrack
/var/mod/root # modprobe xt_esp
modprobe: module xt_esp not found
modprobe: failed to load module xt_esp: No such file or directory
/var/mod/root # modprobe xt_helper
/var/mod/root # modprobe xt_length
modprobe: module xt_length not found
modprobe: failed to load module xt_length: No such file or directory
/var/mod/root # modprobe xt_limit
/var/mod/root # modprobe xt_mac
modprobe: module xt_mac not found
modprobe: failed to load module xt_mac: No such file or directory
/var/mod/root # modprobe xt_mark
modprobe: module xt_mark not found
modprobe: failed to load module xt_mark: No such file or directory
/var/mod/root # modprobe xt_multiport
/var/mod/root # modprobe xt_pkttype
modprobe: module xt_pkttype not found
modprobe: failed to load module xt_pkttype: No such file or directory
/var/mod/root # modprobe xt_quota
modprobe: module xt_quota not found
modprobe: failed to load module xt_quota: No such file or directory
/var/mod/root # modprobe xt_realm
modprobe: module xt_realm not found
modprobe: failed to load module xt_realm: No such file or directory
/var/mod/root # modprobe xt_state
/var/mod/root # modprobe xt_tcpmss
/var/mod/root # modprobe xt_tcpudp
/var/mod/root # modprobe ip_conntrack_h323
modprobe: module ip_conntrack_h323 not found
modprobe: failed to load module ip_conntrack_h323: No such file or directory
/var/mod/root # modprobe ip_nat_h323
modprobe: module ip_nat_h323 not found
modprobe: failed to load module ip_nat_h323: No such file or directory

 

[cuma]

Bitte nur die Module die du brauchst laden. Davor diese natürlich noch beim Imagebau auswählen

 

[Klaus_Heynen]

Hallo,

nach langem Googeln und Experimenten mit Privoxy kann ich nun Schülervz.net auf eine andere Seite umleiten. Soweit so gut !

Habe nun versucht mit IpTables die HTTP Pakete von XXX.XXX.XXX.27:80 (Rechner meiner Tochter) auf XXX.XXX.XXX.198:8118 (FBF7170 mit Privoxy) umzuleiten.

Aber kein Erfolg!

Habe folgende Konfiguration:

Netzwerk: XXX.XXX.XXX.2 -XXX.XXX.XXX.200
Rechner meiner Tochter: XXX.XXX.XXX.27
FBF7170 mit IpTabels und Privoxy: XXX.XXX.XXX.198
Privoxy IP: 0.0.0.0
Privoxy Port: 8118
FBF7270 an DSL mit 04.54.76: XXX.XXX.XXX.254

Die 7270 hängt am DSL.
Die 7170 ist über LAN1 mit LAN1 der 7270 verbunden.
Bei der 7170 ist "Internetzugang über LAN 1 " und "Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)" ausgewält.
Mein Netzwerk hängt an LAN2 der 7170.
Ist das so korrekt???

Wäre schön wenn mir einer der Profis nochmal hilft und mir ein Bespiel für die erforderlichen IpTables Rules geben würde !!!

Schon mal vielen Dank vorab und Grüße

Klaus

 

[Despy]

Guten Morgen,

ich muss leider den alten Thread ausgraben, weil hier meine Anfrage reinpasst.

Ich spiele mit dem Gedanken mir eine FB 7270 v3 zu besorgen und diese dann mit Freetz zu bestücken. Wert lege ich auf Iptables, daher folgende Anfrage:

Wäre jemand so nett und würde mal einen Screenshot hier posten, damit ich eine Vorstellung habe wie Iptables bzw. das CGI-Interface für Iptables unter Freetz auf der FB ausschaut?

 

[cando]

Hallo,

Guckst du hier

Alternatives schnelles Interface für iptables / ip6tables für fritzbox 71xx / 72xx /73xx
Beschreibung dafür auch im Freetz wiki

Ansonsten gibt es auch die integrierte cgi mit einem freetz konformen Interface.

Für größere Regelwerke ist das aber zu lahm, da bei jedem Seitenaufbau alle Adressen über dns reverse lookup neu aufgelöst werden und der Platz in der freetz UI eher knapp ist für komplexe Regeln. Auch das Logging ist hier bei der 7270 eher problematisch - was aber für eine gute Firewall Konfiguration Voraussetzung ist.

Screenshots dazu findest Du bestimmt auch hier im Forum.

Viele Grüße

cando.

 

[olistudent]

Er wollte doch ein Screenshot. Kannst du mal einen von nhipt machen? Ich füge ihn auch im Trac ein, wenn du das nicht hinbekommst.

Gruß
Oliver

 

[sf3978]

... Wert lege ich auf Iptables, daher folgende Anfrage:

..., damit ich eine Vorstellung habe wie Iptables bzw. das CGI-Interface für Iptables unter Freetz auf der FB ausschaut?

Meine persönliche Meinung: Wenn Du iptables "ausreizen" willst, solltest Du auf CGI-Interfaces verzeichten und die Regeln & Co., mit einem Script setzen/konfigurieren.

 

[cando]

Der Link zum ersten Beitrag NHIPT im Forum führt zu meinem Beitrag mit allen Screenshots (UI, Config etc.) und einer Beschreibung. Besser geht doch wohl nicht. Ich kann aber im trac auch versuchen was hochzuladen

 

[cando]

Meine persönliche Meinung: Wenn Du iptables "ausreizen" willst, solltest Du auf CGI-Interfaces verzeichten und die Regeln & Co., mit einem Script setzen/konfigurieren.

Da stimme ich Dir zu. Das ist die Lösung für statische Systeme. Wenn Du aber iptables noch nicht so gut kennst und einen haufen Fehler bei den Kommandos machst ist ein Script eher schlecht. Mit dem GUI siehst Du sofort, welche Regeln momentan aktiv sind, du kannst gezielt Regeln an bestimmten Stellen einfügen und testen. Wenn alles passt, kannst Du das geladene als Script speichern und somit Reboot-Fest machen. Natürlich kannst Du per script auch Regeln einschießen und dann im GUI das Ergebnis ansehen.

NHIPT liest die aktiven Regeln aus und stellt sie dar, egal wie sie eingegeben wurden (script, shell, andere Programme oder über das UI). Und man kann sie einzeln Editieren, verschieben oder löschen, ohne selbst zeilen zu zählen und per shell Einzelkommandos absetzen zu müssen. Es unterstützt alles, was Script & Kommandozeile hergibt.

 

[Lauser71]

Hallo
ich habe bisher die Iptables mit dem Iptables.cgi am laufen. Jetzt lese ich, daß es am wirkungsvollsten ist, diese über ein Skript zu laden und zu verarbeiten.
Cando läd diese soweit ich gelesen habe über die debug.cfg
Andere User meinen es gäbe noch andere Möglichkeiten die ggf besser geeignet wären.
Nun meine Frage: wie am besten vorgehen ?

 

[olistudent]

Wenn deine Regeln mit Iptables cgi geladen werden und du keine Probleme hast, dann würde ich alles lassen wie es ist...
Prinzipiell ist es ja egal wie die Regeln geladen werden. Hauptsache sie laufen dann.

Gruß
Oliver