[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Das ist doch alles schon so gemacht. Über freetz lassen sich die Dienste an und ausschalten und konfigurieren, die Konfiguration landet auch aus freetz heraus in der nhipt.par- so dass die Einstellungen mit oder ohne freetz konsistent sind.

Das einzige Problem ist momentan, dass die httpd.conf nicht mehr existiert (umbenannt wurde) und somit der Dienst wohl nicht mehr startet. Diese Datei gehört(e) zu freetz und beinhaltete die Admin Kennung für das freetz UI, die ich dummer Weise mitverwendet habe, um mir eine eigene Passwort Verwaltung zu ersparen.
 
cando, der Patch für die 7390 hat einen Fehler:

make/nhipt/files/root/usr/ipt/cgi-bin/nhipt.cgi.rej
Code: 
--- make/nhipt/files/root/usr/ipt/cgi-bin/nhipt.cgi     (revision 5390)
+++ make/nhipt/files/root/usr/ipt/cgi-bin/nhipt.cgi     (working copy)
@@ -12,13 +12,14 @@
        if [ [COLOR="Red"]$QUERY_STRING[/COLOR] != "" ] || [ [COLOR="Red"]$post_string[/COLOR] != "" ] || [ "$NHIPT_CONFIG" = "box" ]
        then
 
+# Ermitteln der Log Datei vom syslogd:
 
+               logfile="$(ps | grep -v "grep" | grep -e "syslogd" | awk '{i=1; while (i<=20){ if ($i == "-O"){ print $(i+1)}; i++;}}')"
 
 
-
 # awk Error Lines + 20 = Real Line
-           (awk -v IFCS=$x -v PSTR=$post_string -v QSTR=$QUERY_STRING -v LANIP=$lanip 'BEGIN { 
+           (awk -v SYSLOGDFILE=$logfile -v IFCS=$x -v PSTR=$post_string -v QSTR=$QUERY_STRING -v LANIP=$lanip 'BEGIN { 
                myIP = ENVIRON["REMOTE_ADDR"];
                changed = 0;            # FW CONFIGURATION CHANGED
                dirchanged = 0;         # DIRECTORIES CHANGED

Rund um das $QUERY_STRING und $post_string fehlen die Anführungszeichen, daher schlägt der Patch fehl.
Per Hand editieren hilft, ich bekomme jetzt ein Interface zu sehen. Muß nur noch die ipv6-Module per Hand einbinden ;-)
 
andino schrieb:
Ich habe eine 7170.
Ja, das Interface mit dem Namen sixxs existiert. Autoload Modules ist im replaced Kernel.

Z. B. Folgendes funktioniert einwandfrei, was tatsächlich auf ein Problem mit dem state modul hindeutet:
Code: 
ip6tables -t filter -A INPUT -i sixxs -p ipv6-icmp -j ACCEPT

IPv4 Conntrack Regeln funktionieren auch.

ip6t_state o. ä. Module für IPv6 konnte ich nicht finden. Auch beim Kernel Backen ist nichts dergleichen verfügbar.
Diese IPv6 Kernel Module stehen beim Compilen zur Auswahl:
....
Wie man sieht habe ich zur Zeit nur ip6_tables und ip6table_filter gewählt.
Mir ist gerade aufgefallen, dass von den shared libraries libxt_conntrack.so nicht automatisch ausgewählt wird - wird diese benötigt?
Das Seltsame ist ja, dass Conntrack Regeln bei IPv4 funktionieren, bei IPv6 jedoch nicht :/

Ich werde jetzt mal die libxt_conntrack.so einbinden und ein neues Image backen und flashen. Melde mich dann zurück.


¤dit: keine Verbesserung :(
Code: 
ip6tables: No chain/target/match by that name
Exit Code 1 - ip6tables -t filter -A INPUT -i sixxs -p ipv6 -m state --state RELATED,ESTABLISHED -j ACCEPT
Zum Vergrößern anklicken....

So there is no solution to have ip6tables work with 7170?
it is a missing kernel driver?

I already have ipv6 working, but with ip6tables i can secure it, now i am open to the ipv6 world :(
 
I think, this is a kernel version issue, the 7170 has a older kernel, even the conntrack in ipv4 is not really stable in that box, there are reports from errors and frequent overflows / reboots in conjunction with conntrack usage on the 7170. There is also very little on system resources even for ipv4 - so I think it is not a very good idea to run a full blown dual stack iptables with conntrack on that hardware. However - good luck!
 
I've got iptables running on my 7340. However, when clicking on "EDIT FIREWALL RULES" on the NHIPT page it asks for a username/password. Is there a default username/password? I tried my freetz-webif login data, but those didn't work and I just get a "ACCESS DENIED FROM IP: ....". Am I missing something here?
 
this is not a problem with the username/passwort but with your admin-ip. The ip adress from your client ist not allowed for the nhipt-interface. Please check the settings under http://fritz.box:81/cgi-bin/conf/nhipt under "Admin IP". For example you can permit access to the whole subnet by fill in "192.168.1.0/24" or something else...
 
For some reason every time I tried to change the "admin IP" it wouldn't be saved permanently and consequently kept getting "access denied". Since revision 7237 it just suddenly worked. Thanks for your help!
 
RalfFriedl schrieb:
Mein Vorschlag wäre, diese Option im Kernel generell zu aktivieren, Der einzige Grund dagegen wäre aus meiner Sicht, wenn der Kernel dadurch zu sehr anwächst. Das andere Problem bleibt, daß Dein Paket von Replace Kernel abhängig ist.
Zum Vergrößern anklicken....

Ist das noch aktuell oder gibts dazu ne neue Richtlinie für Pakete mit Kernel - Abhängigkeiten ?
Dazu steht hier nix und die Suche bringt nix klares.
http://freetz.org/wiki/help/howtos/...elopment_start#AddNewPackageformakemenuconfig
 
Zuletzt bearbeitet:
Bei den meisten Kernel-Konfigurationen ist CONFIG_KMOD ausgeschaltet. Es gibt aber auch einige, wo es aktiviert ist. Ich weiß nicht, ob es in den entsprechenden AVM-Kernel Versionen auch aktiv ist. Grundsätzlich ist die Situation immer noch die gleiche, unabhängig davon, was man für CONFIG_KMOD ausgewählt hat.
 
Bisher hat nur die 7390 mit Labor Preview diese Option aktiviert. Das wurde aus der AVM Konfiguration übernommen.

Gruß
Oliver
 
Hallo,

Ich habe das Thema etwas aus den Augen verloren. Ich habe Freetz zwischenzeitlich von meiner Box herunter genommen, da ich Probleme
mit iptables hatte (verschiedenen Fehlermeldungen von Conntrack, der die Verbindung zurückgesetzt hat, was sich bei Downloads
in Form von Verbindungsabbrüchen / Reconnects bei einer Größe > 20 MB ausgewirkt hat). Außerdem waren Tunnelverbindungen mit
RTC Calls usw. instabil. Der Fehler trat auch auf, wenn alle Regeln der Firewall offen waren (Permit any any in beiden Richtungen).
Aus dem Grund habe ich wieder die original Firmware auf meiner Box und warte auf eine Version, bei der ich den Kernel austauschen kann,
in der Hoffnung, dass das die Bugs beseitigt, die vielleicht durch AVM eingebaut wurden.

In den früheren Versionen / meiner alten 7270 traten solche Fehler nicht auf, erst mit der neuen Firmware der 7390 gibt es die Probleme...
Ich habe aber leider wenig Zeit um den Fehler zu analysieren, da ich beruflich viel unterwegs bin und momentan leider nicht dazu komme.

Falls ihr ähnliche Probleme habt, bitte melden.
 
Zuletzt bearbeitet:
Michael999 schrieb:
For some reason every time I tried to change the "admin IP" it wouldn't be saved permanently and consequently kept getting "access denied".
Zum Vergrößern anklicken....

Same here, no way to change the admin ip except for ssh'ing into the box and editing /var/tmp/nhipt.par manually. Any idea how to solve this? FBF 7390 with Firmware 84.05.05freetz-devel-7500
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 514 (Mitglieder: 32, Gäste: 482)

Neueste Beiträge

Statistik des Forums

Themen
246,152
Beiträge
2,246,986
Mitglieder
373,670
Neuestes Mitglied
evelynfreya
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück