[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...

[olistudent]

Das erste prüft ob die Parameterdatei in der Ram-Disk ist (wenn der Boot bereits über debug.cfg stattgefunden haben sollte) und wenn nicht wird die Startdatei der Regeln aus dem Flashspeicher geladen und gestartet (iptables - Urlader)

Und wo wird die Datei /tmp/flash/nhiptboot.cfg geschrieben? Ich finde nichts in deinem Paket.

MfG Oliver

 

[Silent-Tears]

Geschrieben wird sie irgendwo, denn ich hab da was drinstehen

Edit: Ich hab grad mal noch ein wenig im code aufgeräumt und eingechecked.

 

[cando]

Das macht die nhipt.cfg, wenn man sie mir einem entsprechenden Parameter darum bittet

Jene 2 Zeilen in der rc.nhipt tun so was.

...
		export NHIPT_CONFIG='box'
		. $NHIPT_ROOT/cgi-bin/nhipt.cgi
...

Die callback Funktion des UI kann alternativ die exportierten Variablen einlese und das "GUI-POST" simulieren. Dann werden alle checks durchlaufen und die Bootdateien, die Config-datei etc. mit den neuen Werten versorgt und wenn nötig mit modsave flash gespeichert. Das Protokoll der Aktion wandert in eine temp datei, die dann im iptables Interface unten im Log Bereich ausgegeben wird....

Wenn der Schalter erkannt wird, wird auf die HTML Ausgabe der Maske verzichtet und das script beendet sich "graceful"

 

[cando]

Ich hoffe, Du hast beim Aufräumen nichts wichtiges weggeschmissen

 

[Silent-Tears]

Probiers aus, und wenn was fehlt, korrigiers nach in ungefähr dem Stil

 

[cando]

Danke

Vielen Dank für's Aufräumen. Ich habe mal mit meld drüber geschaut, ich vermisse bilang nichts. Aber schaut wirklich ordentlich aus. Ich gelobe Besserung...


(Es sieht auch gleich nach viel mehr aus....)

 

[Silent-Tears]

Es gibt im Wiki nen Styleguide. Wenn du noch irgnedwo was änderrst wär es toll, würdest du ein wenig mehr in die Richtung geht.
Dann kann man das auch weitaus besser pflegen....

 

[alpha1974]

version bump iptables 1.4.5

Bin gerade über das gestolpert. Ist ein Update überhaupt erforderlich (solange sich der Kernel nicht ändert)? Davon abgesehen fehlt das iptables-binary jedenfalls auf meinem Build-System auch in der Version 1.4.5 nicht.

 

[cando]

ip6tables patch

Also iptables (ipv4) funktioniert, soweit ich es beurteilen kann, recht gut.

Der Patch bezieht sich auf ipv6 Erweiterungen für die gemeinsamen Kernel Module und shared libraries. Ich habe kein ipv6 auf der Box und blocke alles, was damit im Entferntesten zu tun haben könnte.

Ich habe aber mal der Vollständigkeit halber während der Entwicklung des GUIs ipv6 enabled und mit ip6tables ein paar Regeln eingetragen. Die Box hat nicht gemeckert und die Regeln waren im System drin. Inwieweit die Regeln wirklich funktionieren, kann ich nicht beurteilen, da wie gesagt, keiner meiner Rechner darf ipV6 (protokoll nebst Tunnel-Protokolle deinstalliert) und somit kam kein wirklicher Traffic durch die Box zustande.

Wenn aber jemand hier im Forum tatsächlich mit ipv6 experimentiert, würde ich mich auf ein Feedback freuen.

 

[marcp75]

Komische DST-Adresse

Ist das richtig, dass bei einer INPUT-Regel die Fritzbox selbst (z.B. ein SSH-Server) mit DST=169.254.2.1 angesprochen wird? Ich dachte, es wäre bei der FB selbst immer die 0.0.0.0?

 

[cando]

Hä? Wie meinst Du denn das????

Die Fritzbox hat viele Interfaces, für jedes Interface hat sie einen Namen und meist auch eine IP Adresse, wie jedes andere Gerät auch.

Wenn Du im LAN bist und z.B. von der Box per DHCP eine IP Adresse zugewiesen bekommst, setzt Dir die Box ja auch gleich ein default Gateway.

Nehmen wir an Du bekommst folgendes Zugewiesen

ip adresse : 192.168.16.21
netmask: 255.255.255.0
default gateway: 192.168.16.1

Dann hat die fritzbox im LAN die Adresse 192.168.16.1

Wenn Du z.B. kein gebridgetes WLAN hast (eigenes Segment) und über WLAN folgende Adresse bekommst:

ip adresse : 192.168.180.41
netmask: 255.255.255.0
default gateway: 192.168.180.1

dann hat die Box auf dem WLAN Interface die Adresse 192.168.180.1

Vom Internet her bekommt die Box eine Internet Adresse vom Provider zugewiesen.

Also es ist weder richtig noch falsch. Es kommt darauf an, wie die Interfaces konfiguiriert sind und welche Adresse im jeweioligen Pfad liegt oder geblockt / freigeschaltet werden soll und an welche IP Adresse / Interface / Port der jeweilige Dienst gebunden wurde..

Die 0.0.0.0 ist die default Route, für alles was die Box nicht kennt und zeigt normalerweise ins Internet auf das dsl Interface. Wenn man aus dem Internet ein Portforwarding auf die Box selbst machen will, wird das von AVM verhindert - aus Sicherheitsgründen - denn das soll so nicht sein. AVM Liest dazu die Adressen der Box auf allen Interfaces und verweigert für alle bekannten Adressen den Eintrag in die Vorwarding Tabelle.

Wenn man aber ein Forwarding auf 0.0.0.0 macht kann man AVM austricksen. Das hat aber nichts mit einer INPUT Regel bei iptables zu tun.

Wenn Du wissen willst, welche ipadressen deine Interfaces haben, kannst Du ifconfig auf der Box aufrufen, mit route bekommst Du das routing angezeigt.

 

[byteeater]

@cando: first of all, fettes gratz & thxs für dein nhipt :rock:

abba... ich hab da nen prob...

/var/mod/root # iptables -A TRANS -p tcp  -s 192.168.0.0/24 -m multiport --dport 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT
iptables v1.4.1.1: Couldn't load target `standard':File not found

Try `iptables -h' or 'iptables --help' for more information.
/var/mod/root # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
lsmod
Module                  Size  Used by    Tainted: P
rtc_sysfs               2704  0
rtc_proc                3847  0
rtc_dev                 5493  1
sch_sfq                 5619  4
sch_llq                 9102  1
sch_tbf                 5664  1
xt_state                1603  0
xt_multiport            2846  0
iptable_filter          2158  0
ipt_REJECT              3581  0
ipt_LOG                 7037  0
ip_tables              11822  1 iptable_filter
x_tables               13427  5 xt_state,xt_multiport,ipt_REJECT,ipt_LOG,ip_tables
ip_conntrack_ftp        6519  0
ip_conntrack           46260  2 xt_state,ip_conntrack_ftp
rfcntl                 60107  0
avm_audio              33506  3 rfcntl
userman                33702  2
wlan_scan_ap            8441  1
wlan_acl                4090  1
wlan_wep                6034  0
wlan_tkip              12401  2
wlan_ccmp               8404  1
wlan_xauth              1182  0
ath_pci               152091  0
ath_rate_atheros       61891  1 ath_pci
wlan                  229052  9 wlan_scan_ap,wlan_acl,wlan_wep,wlan_tkip,wlan_ccmp,wlan_xauth,ath_pci,ath_rate_atheros
ath_dfs                39236  2 ath_pci,wlan
ath_hal               237652  4 ath_pci,ath_rate_atheros,ath_dfs
avm_ath_extensions     41318  5 rfcntl,ath_pci,ath_rate_atheros,wlan,ath_hal
kdsldmod              873485  7 userman
musb_hdrc              36999  0
usbcore               126440  2 musb_hdrc
dect_io                21126  2
avm_dect              390881  1 dect_io
capi_codec            142935  0
isdn_fbox_fon5        761750  0
pcmlink               258446  3 avm_dect,capi_codec,isdn_fbox_fon5
rtc_avm                 6573  2 pcmlink
rtc_core                7083  4 rtc_sysfs,rtc_proc,rtc_dev,rtc_avm
rtc_lib                 2712  3 rtc_sysfs,rtc_avm,rtc_core
dsl_ur8               173781  1
jffs2                 115345  1
Piglet_noemif          36534  0
led_modul_Fritz_Box_7270plus    63229  9 ath_hal

hilfe?

 

[RalfFriedl]

hilfe?

man iptables ?

 

[cando]

du kannst keine chain TRANS addressieren, wenn Du keine chain TRANS anlegst.

iptables -N TRANS

Dann klappts auch mit der Anweisung.

Wenn Du das nhipt Interface benutzen würdest, könnte Dir sowas eigentlich nicht passieren

Du kannst Deine Anweisung aber auch gleich in die FORWARD Chain reinschreiben:

iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT

Macht natürlich nur dann Sinn, wenn Dein LAN die Adresse 192.168.0.0/24 hat (hast Du die so eingestellt?) sonst solltest Du die IP Adresse Deines Netzes eintragen....

Aber schön, dass Du wenigstens die WiKi liest....

 

[byteeater]

ich muss mich hier was iptables angeht als :lamer: outen.
wollte eigendlich das hier nutzen, um mich da reinzufusseln.

/var/mod/root # iptables -N TRANS
/var/mod/root # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain TRANS (0 references)
target     prot opt source               destination    

/var/mod/root # iptables -A TRANS -p tcp  -s 192.168.0.0/24 -m multiport --dport 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT
iptables v1.4.1.1: Couldn't load target `standard':File not found

/var/mod/root # iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dpor
ts 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT
iptables v1.4.1.1: Couldn't load target `standard':File not found

sorry für meine dumbo fragen, aber ich blicks nicht...

 

[cando]

Hast Du alle iptables Bibliotheken in Deiner Firmware integriert? (Kernel Module + shared Libraries)? Du brauchst beides!

Poste mal Deine .Config

Die Regel ist in Ordnung, ich kann sie so ausführen

[B]/var/mod/root # [/B]iptables -N TRANS
[B]/var/mod/root # [/B]iptables -A TRANS -p tcp  -s 192.168.0.0/24 -m multiport --dport 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT
[B]/var/mod/root # [/B]iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N TRANS
-A TRANS -s 192.168.0.0/24 -p tcp -m multiport --dports 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT 
[B]/var/mod/root # [/B]lsmod

[B]lsmod:[/B]
...
iptable_filter          3872  1 
xt_multiport            3552  1 
ip_tables              21200  1 iptable_filter
x_tables               25832  2 xt_multiport,ip_tables
...

das sind meine Libraries:

libipt_CLUSTERIP
libipt_DNAT
libipt_ECN
[B]libipt_LOG[/B]
libipt_MASQUERADE
libipt_MIRROR
libipt_NETMAP
libipt_REDIRECT
[B]libipt_REJECT[/B]
libipt_SAME
libipt_SET
libipt_SNAT
libipt_TTL
libipt_ULOG
[B]libipt_addrtype[/B]
libipt_ah
libipt_ecn
[B]libipt_icmp[/B]
libipt_ipp2p
[B]libipt_policy[/B]
libipt_realm
libipt_set
libipt_ttl
libipt_unclean
libxt_CLASSIFY
libxt_CONNMARK
libxt_CONNSECMARK
libxt_DSCP
libxt_MARK
libxt_NFQUEUE
libxt_NOTRACK
libxt_RATEEST
libxt_SECMARK
libxt_TCPMSS
libxt_TOS
libxt_TRACE
libxt_comment
libxt_connbytes
libxt_connmark
[B]libxt_conntrack[/B]
libxt_dscp
libxt_esp
libxt_hashlimit
[B]libxt_helper[/B]
[B]libxt_iprange[/B]
libxt_length
libxt_limit
libxt_mac
libxt_mark
[B]libxt_multiport[/B]
libxt_owner
libxt_physdev
[B]libxt_pkttype[/B]
libxt_quota
libxt_rateest
libxt_sctp
[B]libxt_standard[/B]
[B]libxt_state[/B]
libxt_statistic
libxt_string
[B]libxt_tcp[/B]
libxt_tcpmss
libxt_time
libxt_tos
libxt_u32
[B]libxt_udp[/B]

Die Fetten wirst Du wahrscheinlich immer brauchen. Da ist auch die libxt_standard, die er anmeckert....:-Ö

 

[byteeater]

an den libs fehlts. das "standard" libxt_standard ist, hab ich nicht gefunden.
danke.
den rest bekomm ich den hoffentlich selber hingefrickelt.
:groesste:

 

[cando]

Neuer Patch Fuer Den Trunk

Hallo,

Ich habe mal noch ein paar Bugs am CGI gefixt.
Bitte mal bei Gelegenheit in den Trunk einspielen...

FIX: Admin IP liess sich nicht von der freetz Oberfläche ändern
FIX: Tabellen Anzeige im Explorer bei leeren Feldern kein Rahmen

 

[Silent-Tears]

Ohne Versionsänderung ist Absicht?

 

[cando]

Du hast doch gesagt, dass das Schmarrn ist und man mit

make nhipt-dirclean

auch bauen kann, ohne Versionen zu ändern... ;-)

Und ich habe den Kernel Config samt Schalter aus dem Patch herausgelöscht.