[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...

[cando]

Über die Konfiguration für den syslogd. Die kannst Du dir z.B. auf den Stick legen lassen oder einfach nur im Ringpuffer die letzten Ausgaben lesen. Iptables Log in der syslog funktioniert auf der 7270 nicht ohne den speziellen Patch. Dafür gibt es aber den komfortableren log-deamon im UI.

 

[alpha1974]

ip_nat vs. iptable_nat

Hi,
auf der 7170 kommt folgende Fehlermeldung, wenn man im NHIPT-interface die Checkboxen NAT / ftp setzt:

modprobe: module ip_nat not found
modprobe: failed to load module ip_nat: No such file or directory

lsmod sagt Folgendes:

Module                  Size  Used by    Tainted: P
ip_nat_ftp              2816  0
iptable_nat            22096  1 ip_nat_ftp

Hat jemand auf einer 7170 ein ip_nat-Module?

EDIT: Ok, config.in besagt, dass ip_nat.ko von Kernel 2.6.19.2 abhängig ist. Bei Kernel 2.6.13.1 gehören iptable_nat und ip_nat_ftp zusammen. Das NHIPT-Interface unterscheidet bislang noch nicht zwischen den Kernel-Versionen.

 

[cando]

Hast Du KMOD (autoload modules) im Kernel an und alle iptables module im Image?

Die x0xx und x1xx Boxen haben noch den älteren Kernel und iptables unterscheidet sich bei den Modulen / Modulnamen. Die Funktionen / Module / Bibliotheken wurden im neueren Kernel neu "sortiert".

Wenn Du die NAT Regeln setzen kannst ohne eine Fehlermeldung in der Regel, dann ignoriere den modprobe Fehler einfach. Die ganzen modprobe Sachen habe ich anhand der 7270 codiert, da ich für die anderen Boxen keine Referenz hatte, welche Module dort existieren und wo genau gebraucht werden.

Deshalb heisst der Thread ja auch Interface für die 7270

Man könnte es aber leicht für den älteren Kernel abwandeln und eine eigene Version dafür erstellen, wenn man eine Liste der Module der 71xx hätte, die für die Kommandos benötigt werden...

 

[alpha1974]

Hast Du KMOD (autoload modules) im Kernel an und alle iptables module im Image?

Ersteres nein, letzteres ja.

Wenn Du die NAT Regeln setzen kannst ohne eine Fehlermeldung in der Regel, dann ignoriere den modprobe Fehler einfach.

Genau das tue ich auch ;-) Mir ist schon klar, dass die modprobe-Funktionalität Deines Interfaces bislang nur die 7270 bedient. Im Freetz-Trunk gibt es aber ja keine Beschränkung für NHIPT im Menuconfig nur für die 7270. Und ich hoffe, das bleibt auch so, sonst muss halt wieder die Kommandozeile herhalten... Vielleicht kann man Dein Interface "universalisieren", so dass je nach Box/Image (7170, 7270 etc.) die richtigen Module geladen werden.

Eine Referenz kann ich jetzt beitragen: Da ich auf meiner 7170 NAT-Regeln setzen kann, ist ip_nat auf der 7170 wohl iptable_nat.

 

[cando]

iptable_nat ist immer dabei, alle iptable_* sind die Standarttabellen von iptables:

iptable_filter
iptable_mangle
iptable_nat
iptable_raw

die Funktionen von ip_nat sind wahrscheinlich anders realisiert (vielleicht im Kernel integriert oder als Bibliothek?).

Um nhipt tatsächlich "aufzubohren" brauche ich alle Abhängigkeiten / Module, die sich bei der 72xx und der 70xx / 71xx unterscheiden.


folgende werden bei der 7270 "automatisch" erkannt und geladen:

ipt_comment
xt_ah
xt_esp
ipt_MASQUERADE
ipt_REDIRECT
xt_MARK
xt_mark
xt_NOTRACK
iptable_nat
iptable_mangle
iptable_raw
ip_conntrack
ip_conntrack_ftp
ip_conntrack_h323
ip_conntrack_irc
ip_conntrack_pptp
ip_nat
ip_nat_ftp
ip_nat_h323
ip_nat_irc
ip_nat_pptp

Außerdem werden folgende Module bei der Installation über Freetz geladen:

ip_tables
iptable_filter
x_tables
ip_conntrack
ip_conntrack_ftp
ipt_LOG
ipt_REJECT
xt_multiport
xt_state
xt_tcpudp

Die ip6tables habe ich zur Verwirrung mal weggelassen und auf die Analyse der Regeln und "automatischem" Nachladen der Module durch nhipt verzichtet.

Autoload ist da echt hilfreich und ich habe nicht mehr weiter analysiert, was man sonst noch so braucht. Mit ipv6 wird es ja noch mal komplizierter, da viele der xt_* sowohl für ipv4 als auch für ipv6 gebraucht werden, es aber auch Module gibt, die exclusiv den einen oder anderen Standard bedienen. Das gilt auch für einige weitere exotische Module, die wohl sehr selten gebraucht werden.

Wenn man sich mal auf Einschalten von KMOD (autoload kernel modules) einigen könnte (was wohl noch in weiter Ferne scheint), könnte man den ganzen Kram der Modulerkennung in nhipt vereinfachen / weglassen und es wäre dann plattformunabhängig einsetzbar.

So muss man halt händisch etwas nachhelfen und die Module selbs laden bzw. die Warnungen auf anderen Boxen ignorieren.

 

[boba23]

hi,

hab grad ma en aktuelles trunk image gebaut, inkl. dem iptables webinterface. hat auch super durchkompiliert. image läuft jetzt auf der fritz 7270 aber per http://fritz.box:83 krieg ich nix. website nicht erreichbar.

netstat -an auf der shell sagt mir auch, dass auf port 83 kein daemon listened.

was mach ich falsch?

PS: freetz sagt mir dass der NHIPT dienst läuft.

boba

 

[Silent-Tears]

Und wie läuft er? Auf welchem Port, was hast du dort eingestellt?

 

[boba23]

Nö alles default, hab 0 eingestellt. Sollte dann doch wohl default auf 83 sein? Aber da tut sich nix. Status wie gesagt, "running"

Edit: ah aber scheint doch was faul zu sein. Unter den "Paketen" im freetz interface taucht NHIPT überhaupt nicht auf. Sollte es doch, oder? wenn ich mir die screenshots auf seite 1 anschaue ....

boba

 

[boba23]

Kann den Dienst auch nicht stoppen, wird immer als running angezeigt.
Dubios. Ist in menuconfig bzgl. nhipt noch was zu beachten. Kann ja nur das web cgi auswählen und dann halt die module dazu ...

Edit: nach nem reboot der box ist nun doch alles da. dienst läuft, unter pakete taucht es auch auf. trotzdem irgendwie seltsam ... ;-)

boba

 

[cando]

Poste mal dein Screenshot vom Menu Freetz - Pakete

Da müsste ein Eintrag NHIPT sein in der Rechten Navigation mit einer Maske zum Konfigurieren.
Den "Dienst" kann man nicht stoppen / starten / restarten über das freetz Dienste Menu.
Er wird von Freetz Dienste nicht verwaltet, es ist ja auch kein einzelner "Dienst" von freetz.

Den WebServer für das Interface und den LogDeamon kann man nur einzeln im NHIPT Interface
starten und stoppen, iptables laufen immer, wenn die konfiguriert sind und Regeln enthalten.

@Devs:

Gibt es eigentlich eine Möglichkeit statische Pakete in der Anzeige unter Dienste zu untedrücken oder
die Schaltflächen für start / stop / restart zu deaktivieren (z.B. für nhipt und authorized keys), wo sie
keinen Sinn machen?

 

[MaxMuster]

... ist ab Rev. 3972 im Trunk:

modreg daemon [--disable] [--hide] [--rc-script <script>] [--name <name>] <pkg>

Jörg

 

[cando]

Nö alles default, hab 0 eingestellt. Sollte dann doch wohl default auf 83 sein? Aber da tut sich nix. Status wie gesagt, "running"

...
boba

0 ist nicht Default und auch nicht 83. Wenn Du Port 83 willst, dann musst Du auch Port 83 reinschreiben. Port 0 gibt es nicht.

@MaxMuster

Danke, schaue ich mir an und mache bei Gelegenheit einen Patch.

 

[Silent-Tears]

Ich glaub, "0 eingestellt" soll heissen, dass er _nichts_ getan hat. Logisch, dass dann nichts läuft

 

[boba23]

Danke für die Übersetzung meiner Aussage Ich hab doch etwas mehr als 15 Jahre IP Erfahrung auf dem Buckel und bin mir durchaus bewußt, dass Port 0 im herkömmlichen Sinne nicht existiert. Er kann jedoch durchaus andere Anwendungsbereiche haben, um jetzt hier dann auch mal etwas mit klugzuscheißen ...
Aber ma im Ernst, mangels fundiertem Manual zu NHIPT kann man wohl keinem die ein oder andere Anfängerfrage vorwerfen, bei der ersten Verwendung von NHIPT.

boba

 

[Silent-Tears]

cando hat das Dingen fabriziert, und einiges im Wiki untergebracht. Da sollte auch was für dich drinstehen, egal welche Erfahrung du hast oder nicht. Hast du denn den Dienst auf automatisch starten gesetzt im Freetz? Dazu diese seltsamen anderne Konfigurationsmöglichkeiten hoffentlich aussen vorgelassen und seltsame debug.cfg/usb-startmöglichkeiten ausserhalb von freetz und flash und running und der richtigen IP aussen vorgelassen? Und dabei noch festgestellt, dass es ein weiteres Webinterface auf Port 83 gibt?

Wenn nicht: Verzichte doch lieber auf den trunk, denn dann solltest du erst noch ein wenig Einarbeitung in fReetz und Linux an sixh investieren. Egal was du bisher getan hast.

 

[boba23]

Silent, danke für die Hinweise, aber ich komme einigermaßen klar. Die 15 Jahre, die ich erwähnte, schließen auch etwa ebenso viel unix/linux erfahrung ein.
Mir ist jetzt mehr oder weniger alles klar. Ich hab wohl zu viel erwartet, und dachte dass NHIPT direkt "out of the box" läuft. Dies ist aber nicht unbedingt der Fall. Man muss da schon etwas mehr investieren. Und was man alles braucht/tun muss ist einfach nicht irgendwo klar und deutlich beschrieben.
Ich beschwer mich ja nicht. Hab das interface jetzt laufen und es funktioniert auch so wie es soll.
Was mich allerdings etwas, nicht nur hier, auch in anderen Foren, etwas stört, ist das Leute die sich nicht 24/7 mit freetz und den packages beschäftigen etwas mehr Hilfe brauchen. Versteh mich nicht falsch, ich find freetz Klasse, und hab großen Respekt vor den Leuten die ihre Zeit in die Entwicklung stecken.
Aber wenn Sinn der Sache ist, dass auch die Öffentlichkeit freetz effektiv nutzen kann, dann sollten manche Leute Ihre Einstellung gegenüber "Nicht-Freetz-Experten" manchmal überdenken ...

boba

 

[Silent-Tears]

Alle Infos sind hier im Forum und im Wiki. Die Nicht-Freetz-Experten müssen nur Lesen. WEnn du tolle ERfahrung hast, weisst du ja, was rtfm heisst.

 

[boba23]

Glaubs mir Silent, ich denke schon genügend fucking manuals in meiner IT Laufbahn gelesen zu haben. Aber gut, ist wohl sinnlos. Man findet nicht alles im Wiki oder im Forum. Das hab ich jetzt schon bei einigen Suchen festgestellt.
Scheinbar ist das aber hier die allgemeine Einstellung.

Trotzdem danke

boba

 

[Silent-Tears]

Jetzt weisst du ja, wies geht. Schreib die Sachen im Wiki besser, wenn du meinst, da fehlt was. Stell dir vor, dafür ist sowas da.
Ich zumindest kam ohne irgendein Problem mit nhipt klar, mich stören dafür andere Dinge in der Realisierung und im Quelltext.

 

[cando]

Mal zurück zum Thema


@boba23
Woran bist Du denn am Anfang gescheitert? Normalerweise sollte es "out of the box" funktionieren. Verbesserungsvorschläge, sofern sie nicht die Funktionalität einschränken, sind stets willkommen.


Falls Du Probleme mit der Beschreibung hattest, ergänze sie bitte. Du hast ja 15 Jahre IT Erfahrung - dann weisst Du auch, dass die Entwickler in der Regel die schlechtesten Beschreibungen fabrizieren, denn für die sind die Programme selbstverständlich, da sie alle Hintergründe der Funktionen kennen.

@SilentTiers

Ich habe mal einen Patch angehängt, um nhipt in der Dienste Maske zu unterdrücken, damit der nächste nicht wieder darüber stolpert. Wenn Du mal Zeit und Lust hast, könntest Du den im Trunk einspielen. Es ist nur eine zusätzliche Zeile:

Index: make/nhipt/files/root/etc/init.d/rc.nhipt
===================================================================
--- make/nhipt/files/root/etc/init.d/rc.nhipt	(revision 3979)
+++ make/nhipt/files/root/etc/init.d/rc.nhipt	(working copy)
@@ -94,6 +94,7 @@
 			. /tmp/flash/nhiptboot.cfg
 		fi
 		modreg cgi $DAEMON NHIPT
[B]+		modreg daemon -h $DAEMON[/B]
 		echo "done."
 		exit 0
 		;;