[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...

[cando]

OK, verstehe.

Ich habe mal mit modprobe alle module der beiden firewalls geladen, und es scheint auf dem ersten Blick so, dass einige tatsächlich von beiden benutzt werden.

ip6t_MARK und ip6t_mark werden nicht gebraucht um MARK regeln für ip6tables zu definieren, genauso ip6t_multiport. Das wird wohl anders aufgelöst.

Es wäre sehr schön, wenn man den Kernel überreden könnte, die module selbst nachzuladen, es ist sonst viel zu aufwendig jede regel zu analysieren und die passenden module zu hinterlegen. offensichtlich unterscheiden sie sich auch noch je nach Kernel version.

Also lange Rede kurzer Sinn: was muss ich tun, um automatisch die Module laden zu lassen, und kann man das ins make menuconfig einbauen?

Könnte man die Irreführenden Module aus der Auswahl im menuconfig für die 72xx entfernen, da sie ja nicht im Kernel vorhanden sind?

 

[Silent-Tears]

Im Freetz-Webinterface, unter "Einstellungen -> Freetz: modules" die Module rein, dann sollte nsie beim Neustart automatisch geladen werden. Alternativ natürlich in deinem rc-File. Auch dafür kann man das nämlich denke ich gebrauchen...

 

[cando]

Hallo Silent-Tiers,

Ich habe das anders verstanden: dass die module vom Kernel selbst bei Bedarf geladen werden. Natürlich kann ich alle module in mein Startscript einfügen. Ich wollte aber den Speicher der Box schonen und nur das laden, was wirklich gebraucht wird. Scheinbar kann das iptables mit entsprechender kernel-Einstellung

...Fehlen Dir die Module komplett oder geht es Die darum welche Module geladen werden müssen, um eine konkrete Regel zu unterstützen? Im letzteren Fall würde ich den Kernel automatisch die benötigten Module laden lassen.

 

[RalfFriedl]

Hast Du schon probiert, ob Du überhaupt etwas spezielles tun mußt? Mein PC-Linux lädt die Module automatisch bei Bedarf, ohne daß ich etwas dafür tun muß.
Möglicherweise sollte bei "cat /proc/sys/kernel/modprobe" als Ergebnis "/sbin/modprobe" herauskommen. Vielleicht muß man auch automatische Laden von Modulen aktivieren in der Kernel-Config bei "Loadable module support"/"Automatic kernel module loading" (Symbol CONFIG_KMOD).

 

[Silent-Tears]

Ist das automatische LAden nciht normalerweise von der modules.dep abhängig? Ist die auf der Box vorhanden und funktionstüchtig?

 

[cando]

Also Fakt ist, dass die Module in der Fritz!Box nicht automatisch geladen werden (am PC schon).

Man muss wirklich jedes einzeln mit modprobe laden. Laut netfilter sollen die Module aber angeblich von iptables automatisch geladen werden. Ergo, irgend etwas fehlt noch in der Konfiguration der Fritz!Box. Ich weiss nur noch nicht, was es ist.

 

[RalfFriedl]

Hast Du schon die Kernel-Option probiert, die ich oben in #124 genannt habe?

 

[cando]

Beim cat kommt folgendes raus:

/var/mod/root # cat /proc/sys/kernel/modprobe
cat: can't open '/proc/sys/kernel/modprobe': No such file or directory
/var/mod/root #

Beim make kernel-menuconfig bin ich noch am Suchen...

Edit: Hab's schon.
Automatic kernel module loading ist ausgeschaltet, auch forced module unloading ist aus.


Edit:
Genial, funktioniert super, wenn der Kernel die Module laden darf. Hat nur einen kleinen Haken, defaultmäßig lädt er immer alle iptabels (nat, mangle und raw, so dass sie sich aus dem UI nicht mehr entfernen lassen. Ist aber ein geringer Preis für ein Rundum-Sorglos Paket mit der Modul-Laderei, da kann ich mir den ganzen Quatsch mit der Laderei bei bestimmten Kommandos sparen.)

EDIT:
Bin selber schuld, dass raw, nat und mangle geladen werden. Werde mein Script entsprechend anpassen. Vielen Dank noch mal für die Tipps!

Kann man das im make menuconfig bei den Firewallthemen mit aufnehmen? Wäre wirklich hilfreich!

 

[RalfFriedl]

Das "forced module unloading" würde ich auch aus lassen. Das einzige Problem mit dem automatischen Laden ist, daß es im Default Kernel nicht aktiviert ist.

Bin selber schuld, dass raw, nat und mangle geladen werden.

Wurden die Module geladen, um die Regeln anzuzeigen?

 

[olistudent]

Wir hatten das "Automatic Module Loading" ausgeschaltet, weil damals unsere Module nicht geladen werde konnten. Wenn der Kernel nicht ersetzt wird, dann fehlt diese KMOD Symbol...

MfG Oliver

 

[cando]

Alles Super!

Also ich habe nur Gutes zu berichten. Das automatische Laden von den iptables / ip6tabels funktioniert, wie es soll. Entladen werden die Module allerdings nicht von alleine wieder, wenn sie nicht (mehr) gebraucht werden.

Das Problem mit dem automatischen Laden von nat, raw & mangle habe ich verursacht, indem ich iptables -t nat -S abgesetzt hatte, um vorhandene Regeln auszulesen. Das hat den Kernel veranlasst, besagte Module nachzuladen. Ich habe nun mein GUI angepasst, so dass es vorher ein lsmod auf das Modul macht und nur wenn es bereits geladen ist, den Befehl zum Auflisten der Regeln absetzt. Ich kann nun auch wieder aus dem Interface heraus die Module entladen, wenn ich sie deselektiere.

Also insgesamt eine super Sache. Ich teste noch ein wenig und poste morgen das Update vom CGI mit der neuen Mimik. Ist wirklich empfehlenswert, die Module automatisch laden zu lassen.

Das mit dem Force Unload lasse ich für mich mal drin, es ist ganz gut, um ipv6 abschiessen zu können, anders bekommt man es ohne reboot nicht aus der Box.

Wenn ich was Neues habe, berichte ich natürlich wieder hier.

Nochmal vielen Dank!

 

[thuebner]

Hallo zusammen,

ich habe mir nicht alle 130 Beiträge dieses Threads durchgelesen, aber ich habe mal eine Frage zu iptables auf der FB:

Da ich, was iptables angeht, nicht so viel Ahnung habe und iptables sehr mächtig ist und man auch viel falsch machen kann, suche ich für die FB eine Liste mit Regeln für den Standard-Fall. Also normales Surfen, VoIP sollte erlaubt sein. Und alle bösen Angriffe von außen sollen gesperrt sein. Die Box funkiert als DSL-Router und alle internen Netze liegen im gleichen IP-Adress-Bereich.

Also dies ist meiner Meinung nach, der Standard-Fall. Gibt es hier schon vorgefertigte Regeln, die ich einfach importieren kann? Bzw. kann mir jemand so eine Regel-Liste nennen/schicken? Oder gibt es ein Tut wie man so einen Fall konfiguriert?

Wenn so diese Regeln als Basis eingerichtet sind, möchte ich sie dann erweitern und ein paar IP-Adressen für ausgehenden Verkehr sperren.

Wenn mir jemand helfen könnte, wäre ich sehr dankbar.

Viele Grüße
Thomas

 

[Silent-Tears]

Ich finde es nicht sonderlich fein, einen Thread zu "kapern", der sich um ein CGI-Interface drfeht, und nicht im iptables-Regeln, denn diese gibt es geschätze Millionen Male im Internet.

 

[cando]

In der Wiki ist so was beschrieben

http://trac.freetz.org/wiki/packages/iptables

Gescheiter wäre es den "normalfall" mal für sich zu definieren.

Für mich ist "normal" - Surfen mit http, https, email, ftp + die Hilfsdiente (ntp, dns, dhcp).

Alles andere mag ich nicht (Messenger, VoIP, Transmission...)

Dann kommen die Regeln für die Box: (dhcp, dns, ntp, ssh, telnet, ftp, samba, http auf 80,81,82,83), bei mir gibts kein UPnP.

Dann kommen die Regeln für die Box zum Internet: (dhcp, dns, ntp), bei mir gibts kein VoIP: wenn man DynDNS, Fernwartung, Dienste Freigaben braucht, kommen noch ein paar dazu.

Dafür kann ich Dir die Regeln geben, es sind nur ganz wenige.

Aber wie gesagt, es ist nicht sehr schwer, sich das herauszusuchen, was man braucht und es auszuprobieren.

 

[RalfFriedl]

Silent-Tears hat Recht, die Frage von thuebner hat mit den Thema hier nichts zu tun. Vielleicht kann ein Moderator das auslagern.

Die Frage läßt sich trotzdem leicht beantworten: Das dort Beschriebene wird schon vom AVM Firewall abgedeckt, dafür braucht man kein iptables.

 

[cando]

Version 0.8.h

... kurzes Update

Ich habe die 0.8.2h hochgeladen und die Beschreibung angepasst.

Neue Merkmale:

• Optimierung für das automatische Laden der Module (Kernel Schalter)
• Auto-Erkennung ipv6 Unterstützung und Erweiterung des UI bei Bedarf
• Experten-Zeile erlaubt beliebige Systemkommandos (modprobe, rmmod, lsmod...)

Viele Grüße

cando

 

[cando]

Frage zur freetz Integration (image Einbau)

Hallo,

Ich habe noch ein paar Verständnisfragen.
Ich würde gern mein Paket in die FritzBox flashen und automatisch laden:


Ich würde meine Dateien kopieren (und setze exec-flags, wo nötig) nach:

./root/usr/lib/cgi-bin/nhipt.cgi           # freetz cgi
./root/etc/init.d/rc.nhipt                 # post-back dazu
./root/etc/default.nhipt/nhipt.cfg         # die ganzen EXPORTS für Freetz

./root/usr/ipt/index.html                  # default frame für die Web Root
./root/usr/ipt/cgi-bin/nhipt.cgi           # die eigentliche Firewall Config CGI

nun zu meinen Fragen:

Wo trage ich die 2 Kommandos ein für die Registrierung des UI's in freetz:

modconf load nhipt
modreg cgi nhipt NHIPT

da ich ja die rc.custom nicht mehr verwenden soll / will?

Muss das hier rein : rc.mod (Zeile 43+44) ?

...
	# AVM-Plugins
	plugins="`ls /var/plugin-*/control 2>/dev/null`"
	if [ -n "$plugins" ]; then
		echo -n "Starting AVM-Plugins"
		for plugin in $plugins; do
			echo -n "...`echo $plugin|sed 's/.*plugin-//;s/\/.*//'`"
			$plugin start 2>&1 >/dev/null
			[ $? -ne 0 ] && echo -n "(failed)"
		done
		echo "...done."
	fi
	modconf load nhipt
	modreg cgi nhipt NHIPT
	[ -r /tmp/flash/rc.custom ] && mv /tmp/flash/rc.custom /tmp/flash/mod/rc.custom
	[ -r /tmp/flash/mod/rc.custom ] && . /tmp/flash/mod/rc.custom

	/etc/init.d/rc.swap
...

Ich habe gelesen (und nicht verstanden, da nicht weiter erklärt), dass
man alles nach ./root kopieren kann, ...

(außer ./root/lib/ und ./root/usr/lib/, welche seperat behandelt werden)

Meine freetz-GUI Erweiterung muss aber laut WiKi nach /usr/lib/cgi-bin/...

Die Sache mit den Ersatz für die Einträge in die debug.cfg für den Kaltstart der Regeln ist mir auch noch etwas schleierhaft. Ich muss die Verzögerungsmimik und den Aufruf meiner Regeldatei beim Reboot der Box aufrufen. Wo trage ich die nötigen Sachen am besten ein, damit sie trotzdem editierbar bleiben, aber beim Start ausgeführt werden? Ich muss irgendwo einen Aufruf im Bootprozess einbauen.

:gruebel:

 

[hermann72pb]

Am besten packst du alles in deine eigene rc.nhipt rein. Schau dir es doch bei den anderen Paketen ab. In rc.nhip kannst du unterschiedliche Sektionen für "load", "start", "stop" usw. anlegen. Das verzögerte Starten würde ich in die "start"-Sektion reinpacken. Die "mod reg"-Befehle gehören normalerweise unter "load"-Sektion (oder wie sie auch immer heißt). Die rc-Skripte werden automatisch aufgerufen. Du kannst auch die Reihenfolge in gewissen Grenzen definieren. Das ist wie im echten Linux S-Levels. Nur bei der Box werden diese Levels während des Build-Vorgangs festgelegt. Schau bitte bei den anderen Paketen in deren make-Ordner in den Dateien nach dem Startlevel. Typischerweise ist es 40. manche Programme haben 10, 20 oder sogar 2 oder 3. Diese Startlevels sind allerdings bedingt, denn zuerst starten fast alle AVM-Sachen und erst danach kommt freetz.

MfG

 

[cando]

Falsch geguckt. Datei ist doch da. Aber warum:

Fehler: Das Paket 'nhipt' ist nicht konfigurierbar.

 

[alpha1974]

Ich muss die Verzögerungsmimik und den Aufruf meiner Regeldatei beim Reboot der Box aufrufen. Wo trage ich die nötigen Sachen am besten ein, damit sie trotzdem editierbar bleiben, aber beim Start ausgeführt werden? Ich muss irgendwo einen Aufruf im Bootprozess einbauen.

Ergänzend noch zu hermann72pb: Wenn Du Dein eigenes rc.nhipt über einen frühen S-Level startest, kannst Du im
start-Abschnitt Deines rc-scripts das Boot-delay umsetzen und die Regeln setzen. Die dazu erforderlichen Werte/Rules können in Deiner cfg-Datei (editierbar über die GUI) abgespeichert und dann beim Booten von dem rc.nhipt umgesetzt werden.