[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...

[Silent-Tears]

Ich hab mich nur gewundert.

Und schon drin

 

[Darkyputz]

Wollt mal meinen Senf dazu geben...
Habe es nun aus dem aktuellen Trunk ins Image übernommen und bin schlichtweg begeistert...rennt auf anhieb und beinahe intuitiv zu bedienen(sofern man bei iptables von intuitiver bedienung reden kann ).
Danke für die Arbeit

 

[hssuhle]

ERLEDIGT: nhipt mag nicht starten

Hallo cando,

ich verzweifle hier gerade.

Meine .config hänge ich mal an.

Auf meiner 7270 (v1/v2) läuft keine Deiner drei Möglichkeiten. Die root-Option habe ich zuerst probiert. Nichts tat sich.

Danach habe ich die ipt-Möglichkeit versucht. Nix. Nur diese Fehlermeldung:

/var/mod/root # . /var/media/ftp/uStor01/ipt/register.sh       
grep: /tmp/flash/mod/rc.custom: No such file or directory      
-sh: /var/media/ftp/uStor01/ipt/register.sh: line 12: can't create /tmp/flash/mod/rc.custom: nonexistent directory
Writing /var/flash/freetz...done.                                                                                 
16896 bytes written.

Erst die nhipt-Version zeigt sich zwar dann im Menü, aber wenn ich starten will, kommt

Saving settings...done.
Saving nhipt.cfg...done.
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_tables.ko': unknown symbol in module
modprobe: failed to load module ip_tables: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ip_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/iptable_filter.ko': unknown symbol in module
modprobe: failed to load module iptable_filter: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
modprobe: failed to load module x_tables: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_LOG.ko': unknown symbol in module
modprobe: failed to load module ipt_LOG: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/ipt_REJECT.ko': unknown symbol in module
modprobe: failed to load module ipt_REJECT: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/xt_multiport.ko': unknown symbol in module
modprobe: failed to load module xt_multiport: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/xt_state.ko': unknown symbol in module
modprobe: failed to load module xt_state: No such file or directory
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/x_tables.ko': unknown symbol in module
insmod: cannot insert '/lib/modules/2.6.19.2/kernel/net/netfilter/xt_tcpudp.ko': unknown symbol in module
modprobe: failed to load module xt_tcpudp: No such file or directory

Configuring services...
configuring nhipt gui.../usr/ipt
iptables reconfigured

Writing /var/flash/freetz...done.
22528 bytes written.

Was mache ich denn hier falsch?

Danke schonmal!

Schönen Gruß!

hssuhle


PS: Noch vergessen: Module sind da:

/lib/modules/2.6.19.2/kernel/net/netfilter # ls -al
drwxr-xr-x    2 root     root          395 Dec  1 17:40 .
drwxr-x---    5 root     root           54 Dec  1 17:40 ..
-rwxr-xr-x    1 root     root        19803 Dec  1 17:40 x_tables.ko
-rwxr-xr-x    1 root     root         3006 Dec  1 17:40 xt_CLASSIFY.ko
-rwxr-xr-x    1 root     root         3754 Dec  1 17:40 xt_MARK.ko
-rwxr-xr-x    1 root     root         3085 Dec  1 17:40 xt_NFQUEUE.ko
-rwxr-xr-x    1 root     root         3009 Dec  1 17:40 xt_NOTRACK.ko
-rwxr-xr-x    1 root     root         2909 Dec  1 17:40 xt_comment.ko
-rwxr-xr-x    1 root     root         3999 Dec  1 17:40 xt_conntrack.ko
-rwxr-xr-x    1 root     root         3313 Dec  1 17:40 xt_esp.ko
-rwxr-xr-x    1 root     root         3601 Dec  1 17:40 xt_helper.ko
-rwxr-xr-x    1 root     root         3127 Dec  1 17:40 xt_length.ko
-rwxr-xr-x    1 root     root         4056 Dec  1 17:40 xt_limit.ko
-rwxr-xr-x    1 root     root         3017 Dec  1 17:40 xt_mac.ko
-rwxr-xr-x    1 root     root         3009 Dec  1 17:40 xt_mark.ko
-rwxr-xr-x    1 root     root         4766 Dec  1 17:40 xt_multiport.ko
-rwxr-xr-x    1 root     root         3065 Dec  1 17:40 xt_pkttype.ko
-rwxr-xr-x    1 root     root         3350 Dec  1 17:40 xt_quota.ko
-rwxr-xr-x    1 root     root         2750 Dec  1 17:40 xt_realm.ko
-rwxr-xr-x    1 root     root         3371 Dec  1 17:40 xt_state.ko
-rwxr-xr-x    1 root     root         3549 Dec  1 17:40 xt_statistic.ko
-rwxr-xr-x    1 root     root         3594 Dec  1 17:40 xt_string.ko
-rwxr-xr-x    1 root     root         3476 Dec  1 17:40 xt_tcpmss.ko
-rwxr-xr-x    1 root     root         4671 Dec  1 17:40 xt_tcpudp.ko

OK, hat sich erledigt.
Ich hatte gelesen "Ideal ist ein Image mit replace kernel." Und verstanden: Braucht aber nicht unbedingt zu sein.
Habe jetzt den kernel ersetzt - und siehe da, es läuft

Danke!

 

[cando]

1. Fehler:

# FREETZ_PACKAGE_IPTABLES_SHARED_LIBS is not set

Die shared libraries für iptables fehlen in Deiner angehängten Config...
Ohne die geht's in der Regel nicht.

 

[hssuhle]

Feld "Bemerkungen"?

Hallo cando,

ich könnte mir gut vorstellen, dass ein Feld "Bemerkungen" pro Zeile absolut hilfreich wäre.
Was meinst Du? Könntest Du eins hinzufügen?

Ist schon jetzt ein klasse tool!

Schönen Gruß!

hssuhle

 

[Silent-Tears]

Wozu sollte man all das speichern?

 

[cando]

Wie jetzt?

Das Interface ist eine Oberfläche für die Kommandozeile von iptables.

Es gibt bei iptables ein Modul namens comment, das man nutzen könnte um Kommentar - Regeln zu definieren.

Die Kommentare müssen in den Regeln stehen - wir arbeiten nicht mit Konfigurationsdateien oder so - es ist alles live, was im Interface zu sehen ist. Es wird der momentane Zustand der Firewall ausgelesen, angezeigt und mit neuen Regeln verändert.

Deshalb sind zusätzliche Felder, die iptables nicht kennt, nicht machbar.

Die einzigen Dateien, die geschrieben werden, dienen dem Wiederherstellen des aktuellen Zustands nach einem Reboot.

Ich kann zwar ein Feld hinzufügen, müsste seine Inhalte jedoch verwerfen, da sonst Syntaxfehler entstehen. Die Werte könnte ich auch nicht beim erneuten Aufruf zurücklesen. Also wäre das ein klassischer WOM Speicher (write only memory). ... in Linux auch als null device bekannt ( /dev/null)

 

[hssuhle]

Probleme bei 7050

Hallo,

ich spiele gerade mit meiner 7050 und dem aktuellen trunk.

Nach Aktivierung vin NHIPT bekomme ich immer die folgende Fehlermeldung:

Saving settings...done.
Saving nhipt.cfg...done.
modprobe: module x_tables not found
modprobe: failed to load module x_tables: No such file or directory
modprobe: module xt_multiport not found
modprobe: failed to load module xt_multiport: No such file or directory
modprobe: module xt_state not found
modprobe: failed to load module xt_state: No such file or directory

Configuring services...
configuring nhipt gui.../usr/ipt
iptables reconfigured

Writing /var/flash/freetz...done.
20480 bytes written.

Alles, was unter Unstable auch nur ansatzweise nach ipt riecht, habe ich mit kompiliert. Automatisches Modul-Laden ist aktiviert und der Kernel ist ausgetauscht.

Irgendwie weiß ich gerade nicht weiter.

Mag jemand helfen?

Dankeschön!

 

[cando]

Poste bitte mal Deine .Config

Ich möchte mal nachsehen, welche iptables Module Du mit im Image hast.

Es sieht so aus, als ob Du die x_tables, xt_multiport und xt_state vergessen hast.
Denk bitte auch an die entsprechenden shared libraries.

Beschreibung / WiKi

 

[hssuhle]

...bitteschön!

 

[cando]

Die 7050 hat einen älteren Kernel. Scheinbar existieren die x_tables, xt_multiport und xt_state nicht dafür.
Das wurde früher mit den shared libraries abgedeckt.

Funktioniert denn das UI trotzdem? Kannst Du Regeln eingeben / ändern?

Was gibt

iptables -S

in der Kommandozeile aus?

 

[hssuhle]

Ja, die UI läuft, Regeln werden angenommen, allerdings bin ich mir nicht sicher, ob sie funktionieren, da kein fw.log geschrieben wird.

Meine augenblickliche (noch nicht wirklich ernst gemeinte) Rulechain sieht so aus:

/var/mod/root # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N TRANS
-A INPUT -s 192.168.150.0/24 -j ACCEPT
-A INPUT -s 169.254.0.0/16 -j ACCEPT
-A INPUT -j LOG --log-prefix "[IPT] DENY-FRITZ-ACCESS "
-A FORWARD -j TRANS
-A FORWARD -j LOG --log-prefix "[IPT] DENY-FWD-ACCESS "
-A OUTPUT -s 192.168.150.0/24 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "[IPT] WARNING-CALL-HOME "
-A TRANS -j LOG --log-prefix "[IPT] DENY-LAN-ACCESS "

 

[RalfFriedl]

Die 7050 hat einen älteren Kernel. Scheinbar existieren die x_tables, xt_multiport und xt_state nicht dafür.
Das wurde früher mit den shared libraries abgedeckt.

Die Module für den Kernel und die Shared Libraries für das Kommandozeilen Programm sind zwei verschiedene Dinge.

 

[cando]

Die Mimik ist vorrangig für die 7270 und die anderen DECT Boxen geschrieben, die den AVM "Bug" ausnutzen (Umleitung von std_printk auf /dev/debug)

Diese Boxen sind (ohne Patchen) nicht in der Lage in den Syslog zu schreiben wegen dieser Verbiegung zwecks DECT Debugging.

Bei Deiner Box sollte das Loggen aber normal im Syslog funktionieren.

Du hast alle iptables Module im Image und den Kernel für Autoload konfiguriert. Dein iptables sollte mit allen Regeln so funktionieren.

Die Fehlermeldungen von den unten genannten Dateien kannst Du komplett ignorieren, ich habe das Laden beim aller ersten Start so eingebaut, weil viele überfordert waren mit replaced kernel und autoload.

Die Meldung sollte nur kommen, wenn du über freetz was änderst, denn freetz versucht immer die Module zu laden. Sonst sollte alles normal funktionieren.

Wie gesagt, stell den Log auf syslog ein, dann siehst Du auch die Ausgaben von iptables.

Wenn Du das mal irgendwann auf Deine 7270 einsetzt, dann kannst Du auch die eingebaute Log Mimik nutzen.

 

[hssuhle]

Alles klar, danke.

Frage zum Syslog:
Wohin loggt die FW dann? Sehe ich die Ausgabe des Syslogs in der ersten Konsole, oder schreibt sie in ein anderes file? Wie komme ich an die Syslog-Daten ran?

Danke für Deine Hilfe!

PS: Auf meinen beiden 7270 läuft NHIPT bereits

 

[cando]

[Edit frank_m24: Mehrere Beiträge zusammengefasst. Man kann seine Beiträge auch editieren.]
@RalfFriedl

Ich wess, die kernel Module muss man mit modprobe laden (oder automatisch laden lassen), die shared libraries werden aus den Modulen aufgerufen.

Mit der neueren Kernel Version wurden viele shared libraries durch Kernel Module ersetzt oder Funktionalitäten in den Kernel verlagert und umgekehrt. Deshalb gibt es Unterschiede zwischen den Boxen 70/71xx und 72xx.

Wenn autoload an ist, ist das der Box egal, denn sie lädt sich was sie braucht (wenn vorhanden). Ich habe primär mit der 7270 getestet mangels andere Hardware, im Forum war aber auch jemand mit der 7170 unterwegs und war soweit zufrieden.

Es kann sein, dass per script bei manchen Regeln versucht wird, bestimmte Module für die 7270 zu laden, bevor ein iptables Kommando abgesetzt wird.

Wenn autoload an ist, sollte es egal sein. Es gibt im Log eine Warnung, dass das Modul nicht geladen werden kann, die Regel wird aber trotzdem akzeptiert, wenn das Pendant aus dem älteren Kernel automatisch durch die iptables Regel geladen wird.

[Beitrag 2:]
@hssuhle:

Wenn Du den syslogd mit syslog-cgi im Image hast, kannst Du das im freetz konfigurieren (Pakete - Syslog) und auch dort unter (Status - Syslog) lesen.

Wenn iptables eine Regel akzeptiert, dann kannst Du davon ausgehen, dass sie dann auch funktioniert.
Aufpassen würde ich mit conntrack - Regeln bei den Boxen mit dem alten Kernel - da gab's wohl Probleme mit Reboots und Work-Arounds mit Puffer Einstellungen etc. Im Wiki steht da was darüber.

 

[RalfFriedl]

Es werden nicht Shared Libraries durch Kernel Module ersetzt oder umgekehrt, sondern die Kernel-Module wurden kräftig umstrukturiert. Die Shared Libraries sind aber die gleichen geblieben. Deswegen funktioniert ja auch das gleiche Programm mit beiden Kernel Versionen.
Die Shared Libraries werden nicht von den Kernel-Modulen aufgerufen, sondern vom iptables Programm geladen.

 

[cando]

Danke für die Aufklärung.

Mir ist nur aufgefallen, dass es Unterschiede gibt zwischen den Kernel Versionen. Im ipv6 Bereich sind einige Kernel Module in der 7270 nicht mehr vorhanden (anders gelöst - shared libs?), die bei der 71xx wohl noch da waren, umgekehrt (siehe Oben) sind Kernel Module für die 7270 dazugekommen, die in der 7170 nicht vorhanden waren...

Deshalb empfehle ich ja auch die Autoload Funktion des Kernels zu aktivieren, damit man nicht von Hand die Module heraussuchen und laden muss.

 

[RalfFriedl]

Kernel Module sind, wenn man so will, in Prinzip etwas ähnliches wie Shared Libraries für den Kernel. Es ist aber nicht üblich, sie tatsächlich so zu nennen, weil es andererseits auch deutliche Unterschiede gibt.

Die Organisation der Funktionen ist in den verschiedenen Kernel-Versionen anders verteilt, die Module haben um Teil ganz andere Namen. Da es sich aber in beiden Fällen um Funktionen im Kernel handelt, handelt es sich auch immer um Kernel-Module und nie um Shared Libraries.

Shared Libraries sind im normalen Sprachgebrauch Bibliotheken, die von einem User-Programm zur Laufzeit dazu geladen werden, im Gegensatz zu den statischen Libraries, die schon beim Linken zum Programm geladen werden. Und weil das ganze zur Laufzeit geschieht, kann man auch Programme erstellen, die Libraries nachladen, deren Name beim Erstellen des Programms noch gar nicht fest stand. Das wird auch vom iptables Programm verwendet.

Und das iptables Programm ist nicht vom Kernel abhängig. Ich habe auch zum Teil alte Versionen von iptables mit neuen Kernel-Versionen laufen.

Das iptables Programm kennt übrigens tatsächlich nicht die einzelnen Ziele usw., sondern lädt Module nach, die diese unterstützen.

# strace iptables -A INPUT -m [B]DiesIstEinTest[/B]
...
open("/usr/lib/iptables/libipt_[B]DiesIstEinTest[/B].so", O_RDONLY) = -1 ENOENT (No such file or directory)
...

 

[sf3978]

[...]Wie komme ich an die Syslog-Daten ran?

Evtl. auch mit logread auf der Konsole.