Hatte ich noch nicht gemacht...
Das hat auch schon geholfen!!!
Super, make ist durchgelaufen... werde ich morgen dann mal testen!
Danke erstmal!!
MfG
doktorknow
[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...
- Ersteller cando
- Erstellt am
Hatte ich noch nicht gemacht...
Das hat auch schon geholfen!!!
Super, make ist durchgelaufen... werde ich morgen dann mal testen!
Danke erstmal!!
MfG
doktorknow
Irgendwie wird bei mir (7270) die GUI anders angezeigt (benutzte Freetz-Trunk). Im 1. Beitrag (Screenshots) waren unter Pakete > iptables UND nhipt sichtbar.
1. Wie bekomme ich das hin? Wie komme ich in den Advanced Modus?
2. Was muss ich einstellen, damit ich nicht jedesmal nach dem Booten "iptables -S" aufrufen muss? make kernel-menuconfig > autoload ist aktiviert?
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
1. Wie bekomme ich das hin? Wie komme ich in den Advanced Modus?
2. Was muss ich einstellen, damit ich nicht jedesmal nach dem Booten "iptables -S" aufrufen muss? make kernel-menuconfig > autoload ist aktiviert?
[Edit frank_m24: Sinnfreies Vollzitat vom Beitrag direkt darüber gelöscht, siehe Forumregeln.]
Zuletzt bearbeitet:
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Vergiss den Screenshot vom ersten Beitrag in Bezug zu iptables-cgi.
Ich hatte in meiner Box beides installiert, das alte iptables-cgi, dass imho sehr langsam und unflexibel mir erschien und mich motiviert hat das nhipt zu schreiben. Nachdem ich fertig war habe ich es wieder entfernt. (siehe screenshot)
Wenn Du "beides" drauf haben willst, musst du auch das iptables-cgi anwählen beim Bauen. Du solltest dich aber für eins der beiden entscheiden, da die Regeln-Ablage und der Bootmechanismus unterschiedlich ist. Ich würde nicht beide gleichzeitig nebeneinader aktiv betreiben.
In der normalen Oberfläche ist es egal, aber beim Booten kann es passieren, dass beide interfaces nacheinander ihre Regeln starten, der normale Bootprozess fügt die regeln ja immer an, so dass du möglicherweise alles doppelt im Regelwerk hast, wenn Du den iptabels-cgi Dienst auf autoload setzt.
Du musst nicht jedes mal iptables -S aufrufen.
Das machst Du nur beim aller ersten Mal.
Dann richtest Du über nhipt Paket dein Web Interface ein und setzt es auf running, speicherst und klickst auf den Knopf EDIT FIREWALL RULES.
Dort machst Du Deine Einstellungen und speicherst das Ganze mit PERSIST RULES.
Das sorgt dafür, dass ab diesem Moment IP Tabels mit Deinem Regelwerk künftig beim Reboot immer automatisch geladen werden. Deshalb brauchst Du auch nicht mit Modprobe oder einem händischen iptables kommando nachhelfen.
Das Interface ist auch immer erreichbar, der Web Dienst wird beim Boot wie konfiguriert immer mitgestartet, so dass Du künfig sofort in die Konfig gehen kannst.
EDIT:
Das mit dem ersten Starten von Hand habe ich wegen den vergangenen Diskussionen im Forum extra eingebaut, damit iptables / nhipt nach der Integration in die Firmware nicht automatisch gestartet wird. Es gab Hinweise und Wünsche das so zu machen, dass vorhandene Pakete nicht automatisch aktiviert werden, sondern bewußt vom Benutzer eingerichtet & benutzt werde sollen.
Wenn sie aber einmal eingerichtet sind, überleben sie auch Firmware Updates und bieten einen dauerhaften verläßlichen Schutz, solange die Module von iptables in die folgenden Firmwareversionen integriert werden.
Ich hatte in meiner Box beides installiert, das alte iptables-cgi, dass imho sehr langsam und unflexibel mir erschien und mich motiviert hat das nhipt zu schreiben. Nachdem ich fertig war habe ich es wieder entfernt. (siehe screenshot)
Wenn Du "beides" drauf haben willst, musst du auch das iptables-cgi anwählen beim Bauen. Du solltest dich aber für eins der beiden entscheiden, da die Regeln-Ablage und der Bootmechanismus unterschiedlich ist. Ich würde nicht beide gleichzeitig nebeneinader aktiv betreiben.
In der normalen Oberfläche ist es egal, aber beim Booten kann es passieren, dass beide interfaces nacheinander ihre Regeln starten, der normale Bootprozess fügt die regeln ja immer an, so dass du möglicherweise alles doppelt im Regelwerk hast, wenn Du den iptabels-cgi Dienst auf autoload setzt.
Du musst nicht jedes mal iptables -S aufrufen.
Das machst Du nur beim aller ersten Mal.
Dann richtest Du über nhipt Paket dein Web Interface ein und setzt es auf running, speicherst und klickst auf den Knopf EDIT FIREWALL RULES.
Dort machst Du Deine Einstellungen und speicherst das Ganze mit PERSIST RULES.
Das sorgt dafür, dass ab diesem Moment IP Tabels mit Deinem Regelwerk künftig beim Reboot immer automatisch geladen werden. Deshalb brauchst Du auch nicht mit Modprobe oder einem händischen iptables kommando nachhelfen.
Das Interface ist auch immer erreichbar, der Web Dienst wird beim Boot wie konfiguriert immer mitgestartet, so dass Du künfig sofort in die Konfig gehen kannst.
EDIT:
Das mit dem ersten Starten von Hand habe ich wegen den vergangenen Diskussionen im Forum extra eingebaut, damit iptables / nhipt nach der Integration in die Firmware nicht automatisch gestartet wird. Es gab Hinweise und Wünsche das so zu machen, dass vorhandene Pakete nicht automatisch aktiviert werden, sondern bewußt vom Benutzer eingerichtet & benutzt werde sollen.
Wenn sie aber einmal eingerichtet sind, überleben sie auch Firmware Updates und bieten einen dauerhaften verläßlichen Schutz, solange die Module von iptables in die folgenden Firmwareversionen integriert werden.
Anhänge
Zuletzt bearbeitet:
Vielen Dank für die schnelle Antwort.
Bei mir erscheint leider oben rechts nicht die Box, wo "persist rules" steht. Mache ich etwas falsch? Habe ich irgendetwas vergessen?
Bei mir erscheint leider oben rechts nicht die Box, wo "persist rules" steht. Mache ich etwas falsch? Habe ich irgendetwas vergessen?
Zuletzt bearbeitet:
Du kannst mal bitte dein Posting editieren, denn sinnfreie fullquotes werde hier nicht allzu gern gesehen vom Team (und ich stimme da zu)
Hier meine Übersicht. Hier fehlt doch was oder?
...und: "iptables -S" muss ich tatsächlich nach jedem Reboot eingeben, sonst bleibt der Bildschirm bei der Konfiguration leer.
...und: "iptables -S" muss ich tatsächlich nach jedem Reboot eingeben, sonst bleibt der Bildschirm bei der Konfiguration leer.
Anhänge
Zuletzt bearbeitet:
man, man, man... jetzt mache ich schon etwa 1 Jahr mit Freetz rum und ich habe noch nie bemerkt, dass man die Punkte unter "Dienste" auch direkt anklicken kann...
Danke für die Info!
MfG
doktorknow
@marcp75
Du hast noch keine Regeln angelegt. Probier mal aus, ob sich etwas ändert, wenn Du eine Rule eingefügt hast.
Du hast noch keine Regeln angelegt. Probier mal aus, ob sich etwas ändert, wenn Du eine Rule eingefügt hast.
Wenn ich unter INPUT die im Screenshot abgebildete Regel hinzufügen will, erscheint folgende Fehlermeldung:
iptables: No chain/target/match by that name
Exit Code 1 - iptables -t filter -A INPUT -s 192.168.0.0/24 -d 0.0.0.0 -p tcp --dport 22 -j ACCEPT
WAS MACHE ICH FALSCH?
EDIT:
Hab den Fehler bei mir gefunden!
ICh habe zusätzlich zu "iptables -S" alle Module per "modprobe" geladen, dann ging's.
Anhänge
Zuletzt bearbeitet:
Wenn ich wieder zu Haue bin, schau ich mir obige Lösung zu dem "man sieht nichts"-Problem noch einmal an...
@doktorknow: *lach* Ich wusste es auch nur, weil ich es selber eingebaut hab
(und noch Fehler drin sind...)
@doktorknow: *lach* Ich wusste es auch nur, weil ich es selber eingebaut hab
(und noch Fehler drin sind...)
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Gib mal eine Regel ein, z.B. einfach nur eine leere Zeile mit ACCEPT. und speichere die, ich will nur sehen, ob das Interface irgendwie reagiert....
(Du musst schon den INSERT Knopf drücken...)
Wenn keine Regeln da sind, brauchst Du auch kein iptables. Es gibt logischerweise nichts zu speichern und iptables werden auch nicht gebraucht, deshalb îst auch nichts zu sehen.
Ich werde mir aber überlegen, ob ich trotzdem die menus anzeige, damit es nicht so verwirrend ist
Viele Grüße
cando
(Du musst schon den INSERT Knopf drücken...)
Wenn keine Regeln da sind, brauchst Du auch kein iptables. Es gibt logischerweise nichts zu speichern und iptables werden auch nicht gebraucht, deshalb îst auch nichts zu sehen.
Ich werde mir aber überlegen, ob ich trotzdem die menus anzeige, damit es nicht so verwirrend ist
Viele Grüße
cando
Zuletzt bearbeitet:
Danke für den TIPP
Na klar habe ich INSERT gedrückt.Ich habe mittlerweile weiter getestet. Das Problem scheint irgendwie mit dem Freetz-Trunk zu tun zu haben. Jedesmal, wenn ich andere iptables-Module einlade, gibt's andere Probleme beim INSERT. Diesmal brachte er z.B. "couldn't load target 'standard'"
Ich werd's weiter beobachten und berichten.
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
@doktornow
Hast Du den Patch vorher mit drauf gepackt, bevor du kompiliert hast? Ich glaube er hat bislang noch nicht den Weg in den Trunk gefunden, da die devs ziemlich viel zu tun haben.
Du kannst es aber manuell aktivieren, weiter unten ist beschrieben, wie das geht. (Post weiter unten 226-228, Patch auf Post 232).
Viele Grüße
cando
Hast Du den Patch vorher mit drauf gepackt, bevor du kompiliert hast? Ich glaube er hat bislang noch nicht den Weg in den Trunk gefunden, da die devs ziemlich viel zu tun haben.
Du kannst es aber manuell aktivieren, weiter unten ist beschrieben, wie das geht. (Post weiter unten 226-228, Patch auf Post 232).
Viele Grüße
cando
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Was denn für Probleme, gibts da eine Fehlermeldung in der Fußzeile?
Ich nehme mal, Dir ist es mittlerweile gelungen regeln zu erstellen.
Kannst Du mir mal Deine config erklären / posten?
Hast Du den AVM Kernel oder replaced Kernel?
Hast Du Autoload Modules?
Welche Modules hast Du im Image?
Ich habe das seit langem bei mir iptabels im Einsatz und habe bislang keine Probleme gehabt. Du schreibst, du musstest mit modprobe die Module erst laden. Ich nehme mal an, dass Du entweder den AVM Kernel noch hast oder den Schalter nicht gesetzt hast. Dann funktionieren iptables nur "halbautomatisch"
Die Basismodule musst Du in diesem Fall ein mal von Hand laden, wie beschrieben:
Das absolute Minimum, um eine tcp - Portregel einzufügen sind folgende Module:
ip_tables, iptable_filter, x_tables, xt_tcpudp wenn Du mehr als ein Port in der Zeile hast: xt_multiport und für state / conntrack: xt_state ip_conntrack
Ich nehme mal, Dir ist es mittlerweile gelungen regeln zu erstellen.
Kannst Du mir mal Deine config erklären / posten?
Hast Du den AVM Kernel oder replaced Kernel?
Hast Du Autoload Modules?
Welche Modules hast Du im Image?
Ich habe das seit langem bei mir iptabels im Einsatz und habe bislang keine Probleme gehabt. Du schreibst, du musstest mit modprobe die Module erst laden. Ich nehme mal an, dass Du entweder den AVM Kernel noch hast oder den Schalter nicht gesetzt hast. Dann funktionieren iptables nur "halbautomatisch"
Die Basismodule musst Du in diesem Fall ein mal von Hand laden, wie beschrieben:
Code:
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe iptable_filter
modprobe x_tables
modprobe xt_multiport
modprobe xt_state
modprobe xt_tcpudpDas absolute Minimum, um eine tcp - Portregel einzufügen sind folgende Module:
ip_tables, iptable_filter, x_tables, xt_tcpudp wenn Du mehr als ein Port in der Zeile hast: xt_multiport und für state / conntrack: xt_state ip_conntrack
Zuletzt bearbeitet:
Nein, den Patch habe ich vorher nicht kopiert.
Habe jetzt alles zum Laufen gebracht (habe einfach alle iptables_Module eingeladen...)
Habe "Replace Kernel" gewählt. Die Module mit modprobe nachzuladen hat jetzt auch geklappt.
Ich vermute, mein Fehler lag daran, dass ich in Freetz nach "make menuconfig" anschließend ein "make config-clean-deps" ausgeführt habe. Danach wurden jede Menge iptables-Module wieder abgewählt (obwohl ich ALLE Module gewählt habe).
Jetzt's gehts: SUPER ARBEIT VON DIR! DANKE!
Habe jetzt alles zum Laufen gebracht (habe einfach alle iptables_Module eingeladen...)
Habe "Replace Kernel" gewählt. Die Module mit modprobe nachzuladen hat jetzt auch geklappt.
Ich vermute, mein Fehler lag daran, dass ich in Freetz nach "make menuconfig" anschließend ein "make config-clean-deps" ausgeführt habe. Danach wurden jede Menge iptables-Module wieder abgewählt (obwohl ich ALLE Module gewählt habe).
Jetzt's gehts: SUPER ARBEIT VON DIR! DANKE!
Ich habe CONFIG_KMOD und CONFIG_MODULE_FORCE_UNLOAD im kernel wieder daktiviert, weil es unvorhersehbare Probleme mit dem bluetooth gab.
Ergo ist händisch laden Pflicht.
Edit: Und hab gleich noch obigen Patch eingespielt, der das Startverhalten in Ordnung bringen soll.
Ergo ist händisch laden Pflicht.
Edit: Und hab gleich noch obigen Patch eingespielt, der das Startverhalten in Ordnung bringen soll.
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Danke!
Sagen wir mal, automatisches Laden muss man weiterhin selbst konfigurieren - es haben ja die wenigsten Blauzahn auf der Box, mit dem Autoload ist es immerhin wesentlich komfortabler. Ergo händisch laden Pflicht für Blauzahn-User (sollte man in die WiKi schreiben).
Wenn ich etwas Zeit finde, baue ich noch einen Knopf in Freetz ein, der iptables + Basis Module lädt und mache die Speicheroption von Anfang an sichtbar, auch wenn's IMHO unsinnig ist. Wird aber den Support Aufwand hoffentlich senken
Da es erst mal so läuft, werde ich die CR's erst eine Zeit lang sammeln und schauen, wo die normalen User drüberstolpern - und die Schönheitsreparaturen dann alle mit einem neuen Patch nachreichen oder beim nächsten BUG gleich mit fixen.
Vielen Dank noch mal für die Unterstützung!
Sagen wir mal, automatisches Laden muss man weiterhin selbst konfigurieren
- es haben ja die wenigsten Blauzahn auf der Box, mit dem Autoload ist es immerhin wesentlich komfortabler. Ergo händisch laden Pflicht für Blauzahn-User (sollte man in die WiKi schreiben).Wenn ich etwas Zeit finde, baue ich noch einen Knopf in Freetz ein, der iptables + Basis Module lädt und mache die Speicheroption von Anfang an sichtbar, auch wenn's IMHO unsinnig ist. Wird aber den Support Aufwand hoffentlich senken
Da es erst mal so läuft, werde ich die CR's erst eine Zeit lang sammeln und schauen, wo die normalen User drüberstolpern - und die Schönheitsreparaturen dann alle mit einem neuen Patch nachreichen oder beim nächsten BUG gleich mit fixen.
Vielen Dank noch mal für die Unterstützung!
Neueste Beiträge
-
-
[Problem] Tonwahl beim T48S- Letzte: NDiIPP
-
[Frage] Dect-WS500S Verbindungen an Compact 4000
- Letzte: oezi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: provisorischerFtmmsch
-
[Frage] Kompletter Ausfall von DNS over TLS (DoT)- Letzte: stoney
