[NEU] schnelles iptables / ip6tables interface für die 7270 (v.0.8.3a) + 7390 etc...
- Ersteller cando
- Erstellt am
NHIPT startet nicht nach reboot
Hallo *,
trotz "persist rules" startet NHIPT nach einem reboot nicht.
Und nach einem manuellen Start sind alle Regeln weg.
Vor dem Neustart habe ich die /var/flash/freetz überprüft, und "eigentlich" waren die rules alle drin. Nur danach... alles weg.
Schade.
Kennt das jemand?
Schönen Gruß!
hssuhle
Hallo *,
trotz "persist rules" startet NHIPT nach einem reboot nicht.
Und nach einem manuellen Start sind alle Regeln weg.
Vor dem Neustart habe ich die /var/flash/freetz überprüft, und "eigentlich" waren die rules alle drin. Nur danach... alles weg.
Schade.
Kennt das jemand?
Schönen Gruß!
hssuhle
Gerne:
/tmp/flash/nhipt.par:
/tmp/flash/nhipt.cfg:
/tmp/flash/nhiptboot.cfg:
(komplett leer)
/var/flash/debug.cfg:
lediglich der Startcode für den LCR
/var/tmp/nhipt.par:
/var/tmp/nhipt.cfg:
/tmp/flash/nhipt.par:
Code:
BACK=/var/tmp
CHANGED=0
DELAY=
LOGTARGET=internal
DSLDOFF=
ADMINIP=192.168.150.20
LOGD=/var/tmp
AIRBAG=
MYIP=192.168.150.20
BOOTSTRAP=freetz
PORT=83
BOOT=flash
BOOTDIR=/tmp/flash
ROOT=/usr/ipt/tmp/flash/nhipt.cfg:
Code:
#!/bin/sh
. /mod/etc/conf/mod.cfg
echo "/:$MOD_HTTPD_USER:$MOD_HTTPD_PASSWD" > /mod/etc/httpd.conf
httpd -P /var/run/nhipd.pid -p 192.168.150.1:83 -h /usr/ipt -c /mod/etc/httpd.conf -r Freetz
echo "#!/bin/sh" > /var/tmp/logfw.sh
echo "" >> /var/tmp/logfw.sh
echo 'running=$(ps | grep -v grep | grep -o iptlogger)' >> /var/tmp/logfw.sh
echo 'if [ -z $running ]' >> /var/tmp/logfw.sh
echo 'then' >> /var/tmp/logfw.sh
echo 'echo "starting log deamon"' >> /var/tmp/logfw.sh
echo 'sh /var/tmp/iptlogger.sh' >> /var/tmp/logfw.sh
echo 'myexit=0' >> /var/tmp/logfw.sh
echo 'while [ $myexit -eq 0 ]' >> /var/tmp/logfw.sh
echo 'do' >> /var/tmp/logfw.sh
echo 'sleep 15' >> /var/tmp/logfw.sh
echo 'running=$(ps | grep -v grep | grep -o iptlogger)' >> /var/tmp/logfw.sh
echo 'if [ -z $running ]' >> /var/tmp/logfw.sh
echo 'then' >> /var/tmp/logfw.sh
echo 'echo "terminating log deamon"' >> /var/tmp/logfw.sh
echo 'myexit=1' >> /var/tmp/logfw.sh
echo 'else' >> /var/tmp/logfw.sh
echo 'grep -E -v "<4>|DECT|DCT|^$" /var/tmp/system.log | sed "s/^/$(date +'\''%Y-%m-%d %H:%M:%S'\'') /" >> /var/tmp/system.log' >> /var/tmp/logfw.sh
echo 'grep "<4>" /var/tmp/system.log | sed "s/^/$(date +'\''%Y-%m-%d %H:%M:%S'\'') /" >> /var/tmp/fw.log' >> /var/tmp/logfw.sh
echo 'echo "" > /var/tmp/system.log' >> /var/tmp/logfw.sh
echo 'myexit=0' >> /var/tmp/logfw.sh
echo 'fi' >> /var/tmp/logfw.sh
echo 'done' >> /var/tmp/logfw.sh
echo 'else' >> /var/tmp/logfw.sh
echo 'echo "already running, giving up"' >> /var/tmp/logfw.sh
echo 'fi' >> /var/tmp/logfw.sh
chmod +x /var/tmp/logfw.sh
cat /tmp/flash/nhipt.par > /var/tmp/nhipt.par
echo "#!/bin/sh" > /var/tmp/iptlogger.sh
echo "" >> /var/tmp/iptlogger.sh
echo 'running=$(ps | grep -v grep | grep -o iptlogger)' >> /var/tmp/iptlogger.sh
echo 'if [ -n $running ]' >> /var/tmp/iptlogger.sh
echo 'then' >> /var/tmp/iptlogger.sh
echo 'exit 1' >> /var/tmp/iptlogger.sh
echo 'fi' >> /var/tmp/iptlogger.sh
echo 'running=$(ps | grep -v grep | grep -o logfw)' >> /var/tmp/iptlogger.sh
echo 'if [ -z $running ]' >> /var/tmp/iptlogger.sh
echo 'then' >> /var/tmp/iptlogger.sh
echo 'exit 2' >> /var/tmp/iptlogger.sh
echo 'fi' >> /var/tmp/iptlogger.sh
echo "cat /dev/debug > /var/tmp/system.log & " >> /var/tmp/iptlogger.sh
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
date > /var/tmp/system.log
chmod 777 /var/tmp/system.log
chmod +x /var/tmp/iptlogger.sh
sh /var/tmp/logfw.sh &
###FIREWALL###
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe iptable_filter
modprobe x_tables
modprobe xt_multiport
modprobe xt_state
modprobe xt_tcpudp
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -N AVM_DROP
iptables -N TRANS
iptables -A INPUT -s 192.168.150.0/24 -j ACCEPT
iptables -A INPUT -s 127.0.0.1/32 -j ACCEPT
iptables -A INPUT -s 10.0.150.0/24 -j ACCEPT
iptables -A INPUT -s 169.254.0.0/16 -i lan -j ACCEPT
iptables -A INPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
iptables -A INPUT -d 169.254.0.0/16 -p udp -m udp --dport 1194 -j ACCEPT
iptables -A INPUT -d 169.254.0.0/16 -p udp -m multiport --dports 5060,7078:7079 -j ACCEPT
iptables -A INPUT -d 169.254.0.0/16 -p tcp -m tcp --dport 22222 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "[IPT] DENY-FRITZ-ACCESS "
iptables -A INPUT -j DROP
iptables -A FORWARD -j AVM_DROP
iptables -A FORWARD -j TRANS
iptables -A FORWARD -j LOG --log-prefix "[IPT] DENY-FWD-ACCESS "
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j AVM_DROP
iptables -A OUTPUT -s 192.168.150.0/24 -j ACCEPT
iptables -A OUTPUT -s 10.0.150.0/24 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m multiport --dports 53,123,1194 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m udp --dport 5060 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m multiport --sports 7078:7079 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m udp --sport 1194 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p tcp -m tcp --sport 22222 -j ACCEPT
iptables -A OUTPUT -d 192.168.150.0/24 -p tcp -m tcp --sport 22222 -j ACCEPT
iptables -A OUTPUT -d 213.239.201.240/32 -j ACCEPT
iptables -A OUTPUT -d 204.13.248.112/32 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "[IPT] WARNING-CALL-HOME "
iptables -A AVM_DROP -s 192.168.150.20/32 -d 212.227.16.2/32 -j ACCEPT
iptables -A AVM_DROP -s 192.168.150.20/32 -d 212.42.244.0/24 -j ACCEPT
iptables -A AVM_DROP -d 212.227.16.2/32 -j DROP
iptables -A AVM_DROP -d 212.42.244.0/24 -j LOG --log-prefix "[IPT] AVM CALL HOME "
iptables -A AVM_DROP -d 212.42.244.0/24 -j DROP
iptables -A TRANS -s 192.168.150.0/24 -p udp -m multiport --dports 53,123,1194 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p udp -m multiport --dports 3478,5060,7078:7079 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p udp -m multiport --sports 7078:7079 -j ACCEPT
iptables -A TRANS -d 192.168.150.0/24 -p udp -m multiport --dports 7078:7079 -j ACCEPT
iptables -A TRANS -d 192.168.150.0/24 -p udp -m udp --sport 1194 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p tcp -m multiport --dports 20,21,22,25,43,80,110 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p tcp -m multiport --dports 143,443,995,3306,22222 -j ACCEPT
iptables -A TRANS -d 192.168.150.0/24 -p tcp -m tcp --sport 22222 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p udp -m udp --dport 24441 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p tcp -m multiport --dports 7,587,2703,24441 -j ACCEPT
iptables -A TRANS -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A TRANS -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A TRANS -p icmp -j ACCEPT
iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A TRANS -j LOG --log-prefix "[IPT] DENY-LAN-ACCESS "
iptables -A TRANS -j DROP/tmp/flash/nhiptboot.cfg:
(komplett leer)
/var/flash/debug.cfg:
lediglich der Startcode für den LCR
/var/tmp/nhipt.par:
Code:
BACK=/var/tmp
CHANGED=0
DELAY=
LOGTARGET=internal
DSLDOFF=
ADMINIP=192.168.150.20
LOGD=/var/tmp
AIRBAG=
MYIP=192.168.150.20
BOOTSTRAP=freetz
PORT=83
BOOT=flash
BOOTDIR=/tmp/flash
ROOT=/usr/ipt/var/tmp/nhipt.cfg:
Code:
#!/bin/sh
. /mod/etc/conf/mod.cfg
echo "/:$MOD_HTTPD_USER:$MOD_HTTPD_PASSWD" > /mod/etc/httpd.conf
httpd -P /var/run/nhipd.pid -p 192.168.150.1:83 -h /usr/ipt -c /mod/etc/httpd.conf -r Freetz
echo "#!/bin/sh" > /var/tmp/logfw.sh
echo "" >> /var/tmp/logfw.sh
echo 'running=$(ps | grep -v grep | grep -o iptlogger)' >> /var/tmp/logfw.sh
echo 'if [ -z $running ]' >> /var/tmp/logfw.sh
echo 'then' >> /var/tmp/logfw.sh
echo 'echo "starting log deamon"' >> /var/tmp/logfw.sh
echo 'sh /var/tmp/iptlogger.sh' >> /var/tmp/logfw.sh
echo 'myexit=0' >> /var/tmp/logfw.sh
echo 'while [ $myexit -eq 0 ]' >> /var/tmp/logfw.sh
echo 'do' >> /var/tmp/logfw.sh
echo 'sleep 15' >> /var/tmp/logfw.sh
echo 'running=$(ps | grep -v grep | grep -o iptlogger)' >> /var/tmp/logfw.sh
echo 'if [ -z $running ]' >> /var/tmp/logfw.sh
echo 'then' >> /var/tmp/logfw.sh
echo 'echo "terminating log deamon"' >> /var/tmp/logfw.sh
echo 'myexit=1' >> /var/tmp/logfw.sh
echo 'else' >> /var/tmp/logfw.sh
echo 'grep -E -v "<4>|DECT|DCT|^$" /var/tmp/system.log | sed "s/^/$(date +'\''%Y-%m-%d %H:%M:%S'\'') /" >> /var/tmp/system.log' >> /var/tmp/logfw.sh
echo 'grep "<4>" /var/tmp/system.log | sed "s/^/$(date +'\''%Y-%m-%d %H:%M:%S'\'') /" >> /var/tmp/fw.log' >> /var/tmp/logfw.sh
echo 'echo "" > /var/tmp/system.log' >> /var/tmp/logfw.sh
echo 'myexit=0' >> /var/tmp/logfw.sh
echo 'fi' >> /var/tmp/logfw.sh
echo 'done' >> /var/tmp/logfw.sh
echo 'else' >> /var/tmp/logfw.sh
echo 'echo "already running, giving up"' >> /var/tmp/logfw.sh
echo 'fi' >> /var/tmp/logfw.sh
chmod +x /var/tmp/logfw.sh
cat /tmp/flash/nhipt.par > /var/tmp/nhipt.par
echo "#!/bin/sh" > /var/tmp/iptlogger.sh
echo "" >> /var/tmp/iptlogger.sh
echo 'running=$(ps | grep -v grep | grep -o iptlogger)' >> /var/tmp/iptlogger.sh
echo 'if [ -n $running ]' >> /var/tmp/iptlogger.sh
echo 'then' >> /var/tmp/iptlogger.sh
echo 'exit 1' >> /var/tmp/iptlogger.sh
echo 'fi' >> /var/tmp/iptlogger.sh
echo 'running=$(ps | grep -v grep | grep -o logfw)' >> /var/tmp/iptlogger.sh
echo 'if [ -z $running ]' >> /var/tmp/iptlogger.sh
echo 'then' >> /var/tmp/iptlogger.sh
echo 'exit 2' >> /var/tmp/iptlogger.sh
echo 'fi' >> /var/tmp/iptlogger.sh
echo "cat /dev/debug > /var/tmp/system.log & " >> /var/tmp/iptlogger.sh
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
date > /var/tmp/system.log
chmod 777 /var/tmp/system.log
chmod +x /var/tmp/iptlogger.sh
sh /var/tmp/logfw.sh &
###FIREWALL###
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe iptable_filter
modprobe x_tables
modprobe xt_multiport
modprobe xt_state
modprobe xt_tcpudp
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -N AVM_DROP
iptables -N TRANS
iptables -A INPUT -s 192.168.150.0/24 -j ACCEPT
iptables -A INPUT -s 127.0.0.1/32 -j ACCEPT
iptables -A INPUT -s 10.0.150.0/24 -j ACCEPT
iptables -A INPUT -s 169.254.0.0/16 -i lan -j ACCEPT
iptables -A INPUT -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
iptables -A INPUT -d 169.254.0.0/16 -p udp -m udp --dport 1194 -j ACCEPT
iptables -A INPUT -d 169.254.0.0/16 -p udp -m multiport --dports 5060,7078:7079 -j ACCEPT
iptables -A INPUT -d 169.254.0.0/16 -p tcp -m tcp --dport 22222 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "[IPT] DENY-FRITZ-ACCESS "
iptables -A INPUT -j DROP
iptables -A FORWARD -j AVM_DROP
iptables -A FORWARD -j TRANS
iptables -A FORWARD -j LOG --log-prefix "[IPT] DENY-FWD-ACCESS "
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j AVM_DROP
iptables -A OUTPUT -s 192.168.150.0/24 -j ACCEPT
iptables -A OUTPUT -s 10.0.150.0/24 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m multiport --dports 53,123,1194 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m udp --dport 5060 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m multiport --sports 7078:7079 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p udp -m udp --sport 1194 -j ACCEPT
iptables -A OUTPUT -s 169.254.0.0/16 -p tcp -m tcp --sport 22222 -j ACCEPT
iptables -A OUTPUT -d 192.168.150.0/24 -p tcp -m tcp --sport 22222 -j ACCEPT
iptables -A OUTPUT -d 213.239.201.240/32 -j ACCEPT
iptables -A OUTPUT -d 204.13.248.112/32 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "[IPT] WARNING-CALL-HOME "
iptables -A AVM_DROP -s 192.168.150.20/32 -d 212.227.16.2/32 -j ACCEPT
iptables -A AVM_DROP -s 192.168.150.20/32 -d 212.42.244.0/24 -j ACCEPT
iptables -A AVM_DROP -d 212.227.16.2/32 -j DROP
iptables -A AVM_DROP -d 212.42.244.0/24 -j LOG --log-prefix "[IPT] AVM CALL HOME "
iptables -A AVM_DROP -d 212.42.244.0/24 -j DROP
iptables -A TRANS -s 192.168.150.0/24 -p udp -m multiport --dports 53,123,1194 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p udp -m multiport --dports 3478,5060,7078:7079 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p udp -m multiport --sports 7078:7079 -j ACCEPT
iptables -A TRANS -d 192.168.150.0/24 -p udp -m multiport --dports 7078:7079 -j ACCEPT
iptables -A TRANS -d 192.168.150.0/24 -p udp -m udp --sport 1194 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p tcp -m multiport --dports 20,21,22,25,43,80,110 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p tcp -m multiport --dports 143,443,995,3306,22222 -j ACCEPT
iptables -A TRANS -d 192.168.150.0/24 -p tcp -m tcp --sport 22222 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p udp -m udp --dport 24441 -j ACCEPT
iptables -A TRANS -s 192.168.150.0/24 -p tcp -m multiport --dports 7,587,2703,24441 -j ACCEPT
iptables -A TRANS -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A TRANS -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A TRANS -p icmp -j ACCEPT
iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A TRANS -j LOG --log-prefix "[IPT] DENY-LAN-ACCESS "
iptables -A TRANS -j DROP
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Das Problem ist, dass deine
/tmp/flash/nhiptboot.cfg
aus irgendeinem Grund nicht erstellt wurde.
# cat /tmp/flash/nhiptboot.cfg
Du kannst die Datei manuell erstellen mit einem linux text-editor Deiner Wahl (Inhalt siehe oben)
nach dem Speichern bitte
modsave flash
in der shell aufrufen.
Danach sollte alles gehen.
/tmp/flash/nhiptboot.cfg
aus irgendeinem Grund nicht erstellt wurde.
# cat /tmp/flash/nhiptboot.cfg
Code:
###NHIPT-START###
cat /tmp/flash/nhipt.cfg > /var/tmp/nhipt.cfg
cat /tmp/flash/nhipt.par > /var/tmp/nhipt.par
chmod +x /var/tmp/nhipt.cfg
/bin/sh /var/tmp/nhipt.cfg &
###NHIPT-END###Du kannst die Datei manuell erstellen mit einem linux text-editor Deiner Wahl (Inhalt siehe oben)
nach dem Speichern bitte
modsave flash
in der shell aufrufen.
Danach sollte alles gehen.
Hallo cando,
ich bin etwas am verzweifeln. Ich versuche basierend auf dem aktuellen Trunk 4333 von freetz dein Paket zu integrieren.
nhipt wird als Dienst gelistet, die GUI ist allerdings nicht in den Paketen gelistet.
Die nachfolgenden Dateien fehlen bei mir komplett:
/tmp/flash/nhipt.par
/tmp/flash/nhipt.cfg
/tmp/flash/nhiptboot.cfg
Was mache ich falsch?
ich bin etwas am verzweifeln. Ich versuche basierend auf dem aktuellen Trunk 4333 von freetz dein Paket zu integrieren.
nhipt wird als Dienst gelistet, die GUI ist allerdings nicht in den Paketen gelistet.
Die nachfolgenden Dateien fehlen bei mir komplett:
/tmp/flash/nhipt.par
/tmp/flash/nhipt.cfg
/tmp/flash/nhiptboot.cfg
Was mache ich falsch?
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Du kannst die Dateien manuell erstellen und dort speichern.
Sie werden normalerweise beim Start / Speichern generiert, wenn sie fehlen.
Den Inhalt der Dateien findest Du hier im Forum sowie ausführlich
beschrieben in der Wiki.
Es kommt auch darauf an, was Du konfiguriert hast. Beim Booten der Firewall von USB
liegen sie stattdessen im USB Verzeichnis - wenn Du zusätzlich den debug.cfg als
Urlader angewählt hast statt den freetz Dienst, wird das System von der debug.cfg
und den Dateien vom Stick hochgezogen. In diesem Fall ist es richtig, das auch die
/tmp/flash/nhiptboot.cfg im /tmp/flash nicht vorhanden ist.
die aktuell geladene Konfig findest Du in
/var/tmp/nhipt.par
/var/tmp/nhipt.cfg
Du kannst diese notfalls einfach mit
manuell übertragen, schau Dir aber vorher den Inhalt an.
Kannst Du auf die Konfigurationsmaske für nhipt in Freetz zugreifen?
Ich habe schon lange keine neue Firmware gebaut, da bei mir alles soweit funktioniert,
wie ich es wollte. Deshalb kann ich keine Aussage zum aktuellen Trunk machen.
Sie werden normalerweise beim Start / Speichern generiert, wenn sie fehlen.
Den Inhalt der Dateien findest Du hier im Forum sowie ausführlich
beschrieben in der Wiki.
Es kommt auch darauf an, was Du konfiguriert hast. Beim Booten der Firewall von USB
liegen sie stattdessen im USB Verzeichnis - wenn Du zusätzlich den debug.cfg als
Urlader angewählt hast statt den freetz Dienst, wird das System von der debug.cfg
und den Dateien vom Stick hochgezogen. In diesem Fall ist es richtig, das auch die
/tmp/flash/nhiptboot.cfg im /tmp/flash nicht vorhanden ist.
die aktuell geladene Konfig findest Du in
/var/tmp/nhipt.par
/var/tmp/nhipt.cfg
Du kannst diese notfalls einfach mit
Code:
cat /var/tmp/nhipt.par > /tmp/flash/nhipt.par
cat /var/tmp/nhipt.cfg > /tmp/flash/nhipt.cfg
modsave flashmanuell übertragen, schau Dir aber vorher den Inhalt an.
Kannst Du auf die Konfigurationsmaske für nhipt in Freetz zugreifen?
Ich habe schon lange keine neue Firmware gebaut, da bei mir alles soweit funktioniert,
wie ich es wollte. Deshalb kann ich keine Aussage zum aktuellen Trunk machen.
Zuletzt bearbeitet:
Hi,
Ich habe mein Problem schon hier beschrieben. Entschuldigt bitte den Doppelpost, aber ich denke es passt besser in diesen Thread.
Ich versuche diese ip6tables Regel auf meiner 7170 hinzuzufügen (Kernel ersetzt und autoload modules an) :
Was folgende Ausgabe zurück gibt:
Mir ist klar, dass es sich dabei nicht um einen Fehler im nihpt handelt (da es auch manuell via shell nicht geht), sondern um ein Problem mit ip6tables.
Leider bin ich ein ziemlicher iptables Neuling und kann mir auch nach einigem googlen keinen richtigen Reim darauf machen, warum es nicht funktioniert und welche Module eventuell fehlen.
Folgende Module werden automatisch geladen:
Nachdem ich ipt_state und ipt_multiport manuell geladen habe, sieht das ganze so aus:
Es scheint also am state modul zu liegen. Dieses wird zwar für ip_conntrack und ip_tables geladen, nicht jedoch für ip6_tables.
Andere ip6_tables rules, die nicht das state modul benutzen, funktionieren.
Eventuell bin ich hier aber auch total auf dem Holzweg.. ich bin wie gesagt ein iptables noob.
Ich möchte keine fertige Lösung, aber eventuell kann mir ja einer der iptables Profis einen Schubs in die richtige Richtung geben
Gruß und frohe Ostern,
andino
Ich habe mein Problem schon hier beschrieben. Entschuldigt bitte den Doppelpost, aber ich denke es passt besser in diesen Thread.
Ich versuche diese ip6tables Regel auf meiner 7170 hinzuzufügen (Kernel ersetzt und autoload modules an) :
Code:
ip6tables -t filter -A INPUT -i sixxs -p ipv6 -m state --state RELATED,ESTABLISHED -j ACCEPTWas folgende Ausgabe zurück gibt:
Code:
ip6tables: No chain/target/match by that nameMir ist klar, dass es sich dabei nicht um einen Fehler im nihpt handelt (da es auch manuell via shell nicht geht), sondern um ein Problem mit ip6tables.
Leider bin ich ein ziemlicher iptables Neuling und kann mir auch nach einigem googlen keinen richtigen Reim darauf machen, warum es nicht funktioniert und welche Module eventuell fehlen.
Folgende Module werden automatisch geladen:
Code:
Module Size Used by Tainted: P
ip6table_filter 1920 0
ip6_tables 18208 1 ip6table_filter
ipt_REJECT 4800 0
ipt_LOG 7328 0
ip_conntrack_ftp 71552 0
ip_conntrack 42288 1 ip_conntrack_ftp
iptable_filter 2112 0
ip_tables 21312 3 ipt_REJECT,ipt_LOG,iptable_filter
ipv6 273280 8Nachdem ich ipt_state und ipt_multiport manuell geladen habe, sieht das ganze so aus:
Code:
Module Size Used by Tainted: P
ipt_multiport 2176 0
ipt_state 1312 0
ip6table_filter 1920 0
ip6_tables 18208 1 ip6table_filter
ipt_REJECT 4800 0
ipt_LOG 7328 0
ip_conntrack_ftp 71552 0
ip_conntrack 42288 2 ipt_state,ip_conntrack_ftp
iptable_filter 2112 0
ip_tables 21312 5 ipt_multiport,ipt_state,ipt_REJECT,ipt_LOG,iptable_filterEs scheint also am state modul zu liegen. Dieses wird zwar für ip_conntrack und ip_tables geladen, nicht jedoch für ip6_tables.
Andere ip6_tables rules, die nicht das state modul benutzen, funktionieren.
Eventuell bin ich hier aber auch total auf dem Holzweg.. ich bin wie gesagt ein iptables noob.
Ich möchte keine fertige Lösung, aber eventuell kann mir ja einer der iptables Profis einen Schubs in die richtige Richtung geben
Gruß und frohe Ostern,
andino
Gleicher error.
Code:
/ # ip6tables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables: No chain/target/match by that nameHallo cando,
Danke für Deine Rückmeldung.
Ich habe es bisher leider noch nicht geschafft, auf einen grünen Zweig zu kommen :/
Danke für Deine Rückmeldung.
Code:
/ # ip6tables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
Code:
/ # ip6tables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destinationIch habe es bisher leider noch nicht geschafft, auf einen grünen Zweig zu kommen :/
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Also zumindest liegt es nicht an der Tabelle FILTER, die wird ja offenbar korrekt geladen. Hast Du eine 71xx oder eine 72xx Box?
Es sieht so aus, als ob noch Module für conntrack fehlen / nicht geladen wurden.
Ich habe folgende Module geladen:
Hast Du tatsächlich ein Interface namens sixxs ?
Für conntrack Regeln müssen mindestens ip_conntrack und x_tables un xt_state geladen werden (bei der 7270, bei der 71xx können diese abweichen). Wenn Du Autoload Kernel Modules im replaced Kernel einstellst, sollten aber die nötigen Module von alleine geladen werden (Siehe Wiki).
Funktionieren bei Dir eigentlich Conntrack Regeln bei IPv4?
z.B.
Schau auch mal nach, - falls Du die 71xx Box hast, ob es nicht auch ein ip6t_state modul oder so ähnlich gibt. Ich glaube, die wurden erst mit dem neueren Kernel der 72xx in xt_state zusammengefasst, bin mir aber nicht sicher - ich habe keine 71xx Box zum Testen / Nachschauen.
Es sieht so aus, als ob noch Module für conntrack fehlen / nicht geladen wurden.
Ich habe folgende Module geladen:
Code:
ip_conntrack
ip_conntrack_ftp
ip_tables
ipt_LOG
ipt_REJECT
iptable_filter
x_tables
xt_multiport
xt_state
xt_tcpudpHast Du tatsächlich ein Interface namens sixxs ?
Für conntrack Regeln müssen mindestens ip_conntrack und x_tables un xt_state geladen werden (bei der 7270, bei der 71xx können diese abweichen). Wenn Du Autoload Kernel Modules im replaced Kernel einstellst, sollten aber die nötigen Module von alleine geladen werden (Siehe Wiki).
Funktionieren bei Dir eigentlich Conntrack Regeln bei IPv4?
z.B.
Code:
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPTSchau auch mal nach, - falls Du die 71xx Box hast, ob es nicht auch ein ip6t_state modul oder so ähnlich gibt. Ich glaube, die wurden erst mit dem neueren Kernel der 72xx in xt_state zusammengefasst, bin mir aber nicht sicher - ich habe keine 71xx Box zum Testen / Nachschauen.
Zuletzt bearbeitet:
Ich habe eine 7170.
Ja, das Interface mit dem Namen sixxs existiert. Autoload Modules ist im replaced Kernel.
Z. B. Folgendes funktioniert einwandfrei, was tatsächlich auf ein Problem mit dem state modul hindeutet:
IPv4 Conntrack Regeln funktionieren auch.
ip6t_state o. ä. Module für IPv6 konnte ich nicht finden. Auch beim Kernel Backen ist nichts dergleichen verfügbar.
Diese IPv6 Kernel Module stehen beim Compilen zur Auswahl:
Wie man sieht habe ich zur Zeit nur ip6_tables und ip6table_filter gewählt.
Mir ist gerade aufgefallen, dass von den shared libraries libxt_conntrack.so nicht automatisch ausgewählt wird - wird diese benötigt?
Das Seltsame ist ja, dass Conntrack Regeln bei IPv4 funktionieren, bei IPv6 jedoch nicht :/
Ich werde jetzt mal die libxt_conntrack.so einbinden und ein neues Image backen und flashen. Melde mich dann zurück.
¤dit: keine Verbesserung
Ja, das Interface mit dem Namen sixxs existiert. Autoload Modules ist im replaced Kernel.
Z. B. Folgendes funktioniert einwandfrei, was tatsächlich auf ein Problem mit dem state modul hindeutet:
Code:
ip6tables -t filter -A INPUT -i sixxs -p ipv6-icmp -j ACCEPTIPv4 Conntrack Regeln funktionieren auch.
ip6t_state o. ä. Module für IPv6 konnte ich nicht finden. Auch beim Kernel Backen ist nichts dergleichen verfügbar.
Diese IPv6 Kernel Module stehen beim Compilen zur Auswahl:
Code:
[ ] ip6_queue.ko
[*] ip6_tables.ko
[*] ip6table_filter.ko
[ ] ip6table_raw.ko
[ ] ip6t_ah.ko
[ ] ip6t_dst.ko
[ ] ip6t_esp.ko
[ ] ip6t_eui64.ko
[ ] ip6t_frag.ko
[ ] ip6t_hbh.ko
[ ] ip6t_hl.ko
[ ] ip6t_ipv6header.ko
[ ] ip6t_length.ko
[ ] ip6t_limit.ko
[ ] ip6t_LOG.ko
[ ] ip6t_mac.ko
[ ] ip6t_mark.ko
[ ] ip6t_multiport.ko
[ ] ip6t_owner.ko
[ ] ip6t_rt.ko
[ ] ip6table_mangle.koMir ist gerade aufgefallen, dass von den shared libraries libxt_conntrack.so nicht automatisch ausgewählt wird - wird diese benötigt?
Das Seltsame ist ja, dass Conntrack Regeln bei IPv4 funktionieren, bei IPv6 jedoch nicht :/
Ich werde jetzt mal die libxt_conntrack.so einbinden und ein neues Image backen und flashen. Melde mich dann zurück.
¤dit: keine Verbesserung
Code:
ip6tables: No chain/target/match by that name
Exit Code 1 - ip6tables -t filter -A INPUT -i sixxs -p ipv6 -m state --state RELATED,ESTABLISHED -j ACCEPT
Zuletzt bearbeitet:
Wie bereits im Edit gesagt - keine Verbesserung :/
Entschuldige, dass ich es nicht mehr herausgestellt habe.
Entschuldige, dass ich es nicht mehr herausgestellt habe.
Ich gebe es auf.. habe nun noch ein letztes test Build gemacht, mit allen auswählbaren IPv6 Kernel Modules und Shared Libraries.
Außer das Image ein wenig aufzublähen, hat sich absolut nichts verändert.. es ist mir immer noch nicht möglich, stateful ip6table Rules hinzuzufügen.
Falls irgendjemand ip6tables mit stateful Rules auf einer 7170 zum Laufen gebracht hat, würde ich eine Antwort sehr schätzen.
Dennoch vielen Dank an cando für sein sehr gelungenes Interface.
Außer das Image ein wenig aufzublähen, hat sich absolut nichts verändert.. es ist mir immer noch nicht möglich, stateful ip6table Rules hinzuzufügen.
Falls irgendjemand ip6tables mit stateful Rules auf einer 7170 zum Laufen gebracht hat, würde ich eine Antwort sehr schätzen.
Dennoch vielen Dank an cando für sein sehr gelungenes Interface.
MeYouI
Neuer User
- Mitglied seit
- 15 Jun 2008
- Beiträge
- 16
- Punkte für Reaktionen
- 0
- Punkte
- 1
Hallo zusammen,
ich bekomme die GUI bei meiner 7270 einfach nicht ans laufen. Irgendetwas mache ich da sicher falsch. Ich möchte die root-Version direkt in das Image integrieren. Dazu habe ich das Archiv entpackt, sodass die Verzeichnisse und Dateien in freetz-1.1.3/root/ hinzugefügt wurden. Dann habe ich die Firmware konfiguriert (alle Module und Shared Libs hinzugefügt) und mit make compiliert.
Das Problem ist nun, dass ich im Freetz-Webinterface nhipt nichtmal bei Pakete angezeigt bekommen.
Was mache ich falsch?
Danke und Gruß.
edit:// Kernel habe ich ebenfalls ersetzt.
ich bekomme die GUI bei meiner 7270 einfach nicht ans laufen. Irgendetwas mache ich da sicher falsch. Ich möchte die root-Version direkt in das Image integrieren. Dazu habe ich das Archiv entpackt, sodass die Verzeichnisse und Dateien in freetz-1.1.3/root/ hinzugefügt wurden. Dann habe ich die Firmware konfiguriert (alle Module und Shared Libs hinzugefügt) und mit make compiliert.
Das Problem ist nun, dass ich im Freetz-Webinterface nhipt nichtmal bei Pakete angezeigt bekommen.
Was mache ich falsch?
Danke und Gruß.
edit:// Kernel habe ich ebenfalls ersetzt.
- Mitglied seit
- 28 Nov 2008
- Beiträge
- 1,080
- Punkte für Reaktionen
- 0
- Punkte
- 0
Hallo,
was ist die root version? Normalerweise reicht es im make menuconfig das Web Interface für nhipt und die iptables Bibliotheken auszuwählen, den Rest macht dann der build Prozess.
Man kann die Konfig auch manuell registrieren, die scripte sind in den externen Pakete mit drin.
z.B.: wenn die nhipt scripte auf dem Stick unter /ipt/freetz wären:
(/var/media/ftp/uStor01/ipt/freetz/)
#
# Inhalt der /var/media/ftp/uStor01/ipt/register.sh
# am Ende des Scriptes registriert sie sich selbst für Autostart bei Reboot
#
was ist die root version? Normalerweise reicht es im make menuconfig das Web Interface für nhipt und die iptables Bibliotheken auszuwählen, den Rest macht dann der build Prozess.
Man kann die Konfig auch manuell registrieren, die scripte sind in den externen Pakete mit drin.
z.B.: wenn die nhipt scripte auf dem Stick unter /ipt/freetz wären:
(/var/media/ftp/uStor01/ipt/freetz/)
#
# Inhalt der /var/media/ftp/uStor01/ipt/register.sh
# am Ende des Scriptes registriert sie sich selbst für Autostart bei Reboot
#
Code:
mkdir /mod/etc/default.nhipt
cp /var/media/ftp/uStor01/ipt/freetz/nhipt.cfg /mod/etc/default.nhipt
modconf load nhipt
cd /mod/usr/lib/cgi-bin
ln -s /var/media/ftp/uStor01/ipt/freetz/nhipt.cgi nhipt.cgi
cd /mod/etc/init.d
ln -s /var/media/ftp/uStor01/ipt/freetz/rc.nhipt rc.nhipt
modreg cgi nhipt NHIPT
chmod +x /var/media/ftp/uStor01/ipt/freetz/nhipt.cgi
if [ -z "$(grep 'register.sh' /tmp/flash/mod/rc.custom)" ]; then echo '. /var/media/ftp/uStor01/ipt/register.sh' >> /tmp/flash/mod/rc.custom; modsave flash; fiNeueste Beiträge
-
Hicom 3500
- Letzte: TelMike
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte- Letzte: Ralf-Fritz
-
[Problem] 5690 wlan modul
- Letzte: KunterBunter
-
Be.IP hinter Fritzbox Fiber
- Letzte: KunterBunter
-
Asterisk und bookworm
- Letzte: Manfred3
