Dieser Patch dürfte ohne weitere Eingriffe funktionieren.
Die PAtches werden nach dem Alphanumerisch abgearbeitet. Somit kommt der portrule.patch am Ende.
Weil das make-Script die Patches in dem Verzeichnis einfach alle abarbeitet.
Port-Freigabe auf die Box ist so möglich! Virtual-IP überflüssig?!?
- Ersteller MaxMuster
- Erstellt am
Dieser Patch dürfte ohne weitere Eingriffe funktionieren.
Prima, vielen Dank!
Ähm, gibt es einen Grund, dass der Patch noch nicht im Freetz-Trunk ist?
Oder habe ich da etwas übersehen?
Und was ist nun mit VirtualIP - braucht man das noch?
Ähm, gibt es einen Grund, dass der Patch noch nicht im Freetz-Trunk ist?
Oder habe ich da etwas übersehen?
Und was ist nun mit VirtualIP - braucht man das noch?
Darkyputz
Aktives Mitglied
- Mitglied seit
- 27 Jul 2005
- Beiträge
- 2,324
- Punkte für Reaktionen
- 0
- Punkte
- 36
virtual ip iss bei den neueren firmwaren totgelegt...
und portrule iss nicht im trunk, weil nach nem reboot die portfreigeban auf 0.0.0.0 aus der übersicht verschwinden...sie sind dann zwar noch da und aktiv...aber nicht zu seehn oder zu administrieren...ausser man wagt sich an die ar7 dran(z.b. mit dem fbeditor)
und portrule iss nicht im trunk, weil nach nem reboot die portfreigeban auf 0.0.0.0 aus der übersicht verschwinden...sie sind dann zwar noch da und aktiv...aber nicht zu seehn oder zu administrieren...ausser man wagt sich an die ar7 dran(z.b. mit dem fbeditor)
Lässt sich das mit dem Verschwinden nicht noch verbessern, so dass das in den Freetz-Trunk rein kann?
Anders gefragt: Wenn man das durch Editieren in der ar7.cfg löst, könnte man das nicht auch in Freetz einbauen, so dass es dauerhaft bleibt?
Sorry, falls die Fragen blödsinnig sind, aber ich kann mir das nicht so vorstellen.
Wenn ich Deinen Patch nun einspiele und das Verschwinden der Regeln vermeiden will, wie genau muss ich das mit dem Editieren der ar7.cfg machen? Den FBEditor kenne ich.
Hat das Auswirkungen später, d.h. muss ich das bei weiteren FW-Updates wieder in der ar7.cfg ändern oder kann das dann immer so bleiben?
OT:
Du hast 64MB Swap an Deiner FB. Löst das auch das Problem "kernel image size is x bytes too big"?
Falls ja, wie teilst Du das bei der FW-Erstellung mit, dass Du einen größeren "Speicher" hast?
Anders gefragt: Wenn man das durch Editieren in der ar7.cfg löst, könnte man das nicht auch in Freetz einbauen, so dass es dauerhaft bleibt?
Sorry, falls die Fragen blödsinnig sind, aber ich kann mir das nicht so vorstellen.
Wenn ich Deinen Patch nun einspiele und das Verschwinden der Regeln vermeiden will, wie genau muss ich das mit dem Editieren der ar7.cfg machen? Den FBEditor kenne ich.
Hat das Auswirkungen später, d.h. muss ich das bei weiteren FW-Updates wieder in der ar7.cfg ändern oder kann das dann immer so bleiben?
OT:
Du hast 64MB Swap an Deiner FB. Löst das auch das Problem "kernel image size is x bytes too big"?
Falls ja, wie teilst Du das bei der FW-Erstellung mit, dass Du einen größeren "Speicher" hast?
Darkyputz
Aktives Mitglied
- Mitglied seit
- 27 Jul 2005
- Beiträge
- 2,324
- Punkte für Reaktionen
- 0
- Punkte
- 36
das verschwinden liegt nicht am patch, sondern an avm...die ziegen nur portrules an, die nicht 0.0.0.0 sind, da sie damit eigene portweiterleitungen verstecken...
ändern kann mann das nicht solange gewisse programme von avm nicht opensource sind...
braucht aber auch nicht schlimm sein...denn die meisten portrules sind ja eh für immer...ftp...webserver...usw ändere ich z.b. nicht wirklich oft...
editieren musst du die ar7 dann also nur wenn eine rule weg oder geändert werden soll...
der swap löst nicht das problem eine szu grossen images...8 mb und dann iss schluss...da is bei den alten boxen der falsh das limitierende wesen...also hast du zuviel spielzueg drin...
die v3 7270 hat dann 16mb...aber das ist im freetz noch nicht abgefangen, sodas auch da erstmal noch bei 8 mb schluss iss...
ändern kann mann das nicht solange gewisse programme von avm nicht opensource sind...
braucht aber auch nicht schlimm sein...denn die meisten portrules sind ja eh für immer...ftp...webserver...usw ändere ich z.b. nicht wirklich oft...
editieren musst du die ar7 dann also nur wenn eine rule weg oder geändert werden soll...
der swap löst nicht das problem eine szu grossen images...8 mb und dann iss schluss...da is bei den alten boxen der falsh das limitierende wesen...also hast du zuviel spielzueg drin...
die v3 7270 hat dann 16mb...aber das ist im freetz noch nicht abgefangen, sodas auch da erstmal noch bei 8 mb schluss iss...
Wieso steht bei mir dieselbe forward rule (im WebGUI nur 1x sichtbar) im FBEditor bzw. in ar7.cfg 2x drin?
Muss ich eine der doppelten Zeilen in der ar7.cfg löschen oder sollen die beide (doppelt) drin stehen?
Macht es eigentlich Sinn, den https-Port 443 (remote) auf den ssh-Port 22 (lokal) zu mappen, z.B. falls ich unterwegs mal nur einen Port 443 offen habe (neben Port 80)?
Oder sollte man nicht von 443 nach 22 mappen?
Außerdem hörte ich, dass man seine eigenen Ports auf solche >50000 setzen sollte, richtig?
Daher habe ich den lokalen ssh-Port nun von 22 auf 50022 umgeändert.
im WebGUI habe ich alles gelöscht, so dass jetzt nur noch folgendes in der ar7.cfg direkt (z.B. mittels FBEditor) zu lesen ist:
Ist das ok so?
Im Dropbear auf meiner FB habe ich den lokalen Port 22 auch auf 50022 umgestellt. Korrekt?
Dann liefe der ssh-Zugriff so ab:
Ist meine o.g. forward rule jetzt Neustart-resistent, oder muss ich die irgendwie mittels echo in der debug.cfg bei jedem Neustart wieder in die ar7.cfg reinschreiben lassen?
Code:
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
"tcp 0.0.0.0:443 0.0.0.0:22 0 # SSH",
"tcp 0.0.0.0:443 0.0.0.0:22 0 # SSH";
shaper = "globalshaper";Macht es eigentlich Sinn, den https-Port 443 (remote) auf den ssh-Port 22 (lokal) zu mappen, z.B. falls ich unterwegs mal nur einen Port 443 offen habe (neben Port 80)?
Oder sollte man nicht von 443 nach 22 mappen?
Außerdem hörte ich, dass man seine eigenen Ports auf solche >50000 setzen sollte, richtig?
Daher habe ich den lokalen ssh-Port nun von 22 auf 50022 umgeändert.
im WebGUI habe ich alles gelöscht, so dass jetzt nur noch folgendes in der ar7.cfg direkt (z.B. mittels FBEditor) zu lesen ist:
Code:
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
"tcp 0.0.0.0:443 0.0.0.0:50022 0 # SSH";
shaper = "globalshaper";Im Dropbear auf meiner FB habe ich den lokalen Port 22 auch auf 50022 umgestellt. Korrekt?
Dann liefe der ssh-Zugriff so ab:
Code:
ssh -p 50022 [email protected]Ist meine o.g. forward rule jetzt Neustart-resistent, oder muss ich die irgendwie mittels echo in der debug.cfg bei jedem Neustart wieder in die ar7.cfg reinschreiben lassen?
Zuletzt bearbeitet:
Moin,
eigentlich sollten die Regeln nur einmal drinstehen. Und über die GUI (geändert oder nicht) sollte das auch nur einmal möglich sein, wenn sich die Regeln "überschneiden", denn der Port ist ja eigentlich schon belegt.
Die Frage nach Port 443 und 22 verstehe ich nicht: Deine "Alternative" ist doch das gleiche ?!?
Der Rat des Nichtstandardports betrifft immer den "Eingangsport", auf dem deine Box lauscht, damit der nicht so einfach gefunden werden kann. Wenn du den aber immer auf 443 setzen musst, hast du keine Wahl. Der interne Port ist eigentlich egal (sofern du nicht eine interne Gefahr mindern möchtest).
Jörg
eigentlich sollten die Regeln nur einmal drinstehen. Und über die GUI (geändert oder nicht) sollte das auch nur einmal möglich sein, wenn sich die Regeln "überschneiden", denn der Port ist ja eigentlich schon belegt.
Die Frage nach Port 443 und 22 verstehe ich nicht: Deine "Alternative" ist doch das gleiche ?!?
Der Rat des Nichtstandardports betrifft immer den "Eingangsport", auf dem deine Box lauscht, damit der nicht so einfach gefunden werden kann. Wenn du den aber immer auf 443 setzen musst, hast du keine Wahl. Der interne Port ist eigentlich egal (sofern du nicht eine interne Gefahr mindern möchtest).
Jörg
443=22? Ich dachte, 443 sei für https und 22 für ssh.
Unterwegs hat man ja manchmal nur die Ports 80 (http) und 443 (https) offen.
Daher dachte ich, es sei sinnvoll, bei mir gleich von 22 nach 443 zu mappen, aber dabei habe ich wohl remote und lokal verwechselt.
Also müsste der remote Port (auf dem meine Box lauscht) 443 sein und der interne irgendeinerm richtig?
Ist denn diese Zeile in der ar7.cfg so ok?
Die Box lauscht auf Port 443 und leitet das intern auf Port 50022 um:
Wofür steht eigentlich die Null am Ende der Zeile?
Im WebGUI sind nun keine Portfreigaben sichtbar, aber das ist ja bei 0.0.0.0 wohl bekanntermaßen so, oder?
Spielt es dabei eigentlich eine Rolle, dass meine FB an LAN1 eines Kabelmodems hängt? (Kabel Deutschland)
Unterwegs hat man ja manchmal nur die Ports 80 (http) und 443 (https) offen.
Daher dachte ich, es sei sinnvoll, bei mir gleich von 22 nach 443 zu mappen, aber dabei habe ich wohl remote und lokal verwechselt.
Also müsste der remote Port (auf dem meine Box lauscht) 443 sein und der interne irgendeinerm richtig?
Ist denn diese Zeile in der ar7.cfg so ok?
Die Box lauscht auf Port 443 und leitet das intern auf Port 50022 um:
Code:
"tcp 0.0.0.0:443 0.0.0.0:50022 0 # SSH"Im WebGUI sind nun keine Portfreigaben sichtbar, aber das ist ja bei 0.0.0.0 wohl bekanntermaßen so, oder?
Spielt es dabei eigentlich eine Rolle, dass meine FB an LAN1 eines Kabelmodems hängt? (Kabel Deutschland)
Moin,
nochmal gelesen, habe ich die Frage jetzt verstanden ;-) Ich hatte dein
Deine Zeile ist o.k., die Bedeutung der Null kenne ich auch nicht. Ich könnte mir vorstellen, AVM hatte irgendwann eine weitere Unterscheidung der Regeln geplant???
Ja, alle Einträge auf das Ziel 0.0.0.0 werden ausgeblendet. Und ob über DSL oder LAN geht sollte egal sein.
Jörg
nochmal gelesen, habe ich die Frage jetzt verstanden ;-) Ich hatte dein
nicht als "soll ich oder besser nicht" sondern als "mappe ich besser 443 auf 22 oder 443 auf 22" aufgefasst und war verwirrt ;-)
Deine Zeile ist o.k., die Bedeutung der Null kenne ich auch nicht. Ich könnte mir vorstellen, AVM hatte irgendwann eine weitere Unterscheidung der Regeln geplant???
Ja, alle Einträge auf das Ziel 0.0.0.0 werden ausgeblendet. Und ob über DSL oder LAN geht sollte egal sein.
Jörg
Hallo @all
jetzt habe ich hier schon zig mal hoch und runter gelesen und hoffe ich habe das nun alles verstanden. Ist es so, dass virtuelle IP nicht mehr geht ? wenn ich nun meine Forwards direkt in der ar7.cfg eintrage geht mein SSH wieder aber ich sehe sie im WEBIF nicht (was nicht so schlimm ist)? Den Patch brauche ich nur wenn ich die Forwards im WEBIF eingeben will ?
Kann mir da bitte jemand auf die Sprünge helfen?
jetzt habe ich hier schon zig mal hoch und runter gelesen und hoffe ich habe das nun alles verstanden. Ist es so, dass virtuelle IP nicht mehr geht ? wenn ich nun meine Forwards direkt in der ar7.cfg eintrage geht mein SSH wieder aber ich sehe sie im WEBIF nicht (was nicht so schlimm ist)? Den Patch brauche ich nur wenn ich die Forwards im WEBIF eingeben will ?
Kann mir da bitte jemand auf die Sprünge helfen?
Dann hast du nicht wirklich ausführlich "hoch und runter" gelesen. Virtual IP funktioniert bei neueren Firmwareversionen nciht mehr, direktes editieren der ar7.cfg geht, und den Patch brauchst du nicht, wenn du direkt die ar7.cfg bearbeitest.
Ich hoffe, so kannst du wieder besser springen und lesen...
lg
c.
doch dann habe ich ja richtig gelesen. Du bestätigst mir ja das ich es richtig verstanden habe. Danke noch mal dafür.
LG
M.
LG
M.
Inzwischen klappt auch der remote ssh-Zugriff auf meine Box.
Aber was kann man eigentlich machen, damit man nicht ständig verunsichert wird durch Meldungen wie diese hier?
Die IP ändert sich ja ab und an mal (bin bei KD, da ist sie relativ stabil), aber ich möchte ja nicht, dass ständig neue IPs in meiner "list of known hosts" landen.
Wie lösche ich alte IPs aus meiner "list of known hosts"?
Es ist nicht die Liste unter /etc/hosts. Aber wo stehen diese "known hosts"?
Achso: Das Problem wäre doch mit DynDNS o.ä. abgestellt, denn da greife ich ja nicht über die IP auf die FB zu, sondern über einen festen Hostnamen, korrekt?
Aber was kann man eigentlich machen, damit man nicht ständig verunsichert wird durch Meldungen wie diese hier?
Code:
slightly@StinkyLinux:~$ ssh [email protected]
The authenticity of host '123.123.123.123 (123.123.123.123)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '123.123.123.123' (RSA) to the list of known hosts.
[email protected]'s password:Wie lösche ich alte IPs aus meiner "list of known hosts"?
Es ist nicht die Liste unter /etc/hosts. Aber wo stehen diese "known hosts"?
Achso: Das Problem wäre doch mit DynDNS o.ä. abgestellt, denn da greife ich ja nicht über die IP auf die FB zu, sondern über einen festen Hostnamen, korrekt?
die knows_hosts findest du unter "/home/USER/.ssh/known_hosts"
wobei du natürlich USER durch deinen user erstetzten muss, bei stinky wäre es
"/home/slightly/.ssh/known_hosts"
zum zweiten, ja dieses Problem kannst du am besten mit dyndns umgehen, da dann der name in die known_hosts eingetragen wird und sich dieser ja nicht ändert.
Woher bekommst du denn deine IP?
wobei du natürlich USER durch deinen user erstetzten muss, bei stinky wäre es
"/home/slightly/.ssh/known_hosts"
zum zweiten, ja dieses Problem kannst du am besten mit dyndns umgehen, da dann der name in die known_hosts eingetragen wird und sich dieser ja nicht ändert.
Woher bekommst du denn deine IP?
Danke, das "/home/USER/.ssh/known_hosts" passt sowohl für StinkyLinux als auch für OS X.
Meine FB hat eine statische lokale IP. Die öffentliche IP kommt vom Kabelmodem und ist auch relativ statisch, d.h. die wird eigentlich nur verändert, wenn ich das Kabelmodem aus- und wieder einschalte.
Schade, dass es noch keinen Trick gibt, dass das WebGUI auch 0.0.0.0 Regeln korrekt anzeigt, sondern leer aussieht.
Wofür ist eigentlich "udp 0.0.0.0:5060 0.0.0.0:5060"? Kann man das löschen oder muss das drin stehen?
VirtualIP kann ich jetzt wohl von meiner FB (29.04.57-freetz-devel-2264) runterschmeißen.
Oder gibt es noch einen Grund, es drauf zu lassen?
Meine FB hat eine statische lokale IP. Die öffentliche IP kommt vom Kabelmodem und ist auch relativ statisch, d.h. die wird eigentlich nur verändert, wenn ich das Kabelmodem aus- und wieder einschalte.
Schade, dass es noch keinen Trick gibt, dass das WebGUI auch 0.0.0.0 Regeln korrekt anzeigt, sondern leer aussieht.
Wofür ist eigentlich "udp 0.0.0.0:5060 0.0.0.0:5060"? Kann man das löschen oder muss das drin stehen?
VirtualIP kann ich jetzt wohl von meiner FB (29.04.57-freetz-devel-2264) runterschmeißen.
Oder gibt es noch einen Grund, es drauf zu lassen?
Zum ersten: Hast du "das lange Skript" aus dem ersten Beitrag mal getestet?
Zum zweiten: Das sind die VoIP-Regeln, ob du die also löschen willst oder nicht...
Jörg
Lang, kurz? Ich hatte den Patch von DarkyPutz bei der FW-Erstellung verwendet.
Was ist denn der Unterschied zw. langem und kurzem Skript?
Was ist denn der Unterschied zw. langem und kurzem Skript?
Die "kurze Version" ist die, die in DarkyPutz Patch drin ist. Damit kannst du die 0.0.0.0 als Ziel eintragen (und bis zum Reboot sollten diese Regeln eigentlich auch sichtbar sein).
Die "lange Version" sollte dir auch alle eigenen 0.0.0.0-er Regeln im Webinterface anzeigen (halt nicht die originalen VoIP-Regeln, ginge aber auch).
Jörg
Die "lange Version" sollte dir auch alle eigenen 0.0.0.0-er Regeln im Webinterface anzeigen (halt nicht die originalen VoIP-Regeln, ginge aber auch).
Jörg
Ah, ok, dann werde ich es mal mit der langen Version versuchen.
Muss ich das Skript aus Beitrag #1 (Die "lange" Version ermöglicht auch die Anzeige der Einträge in der GUI:...) dieses Threads in meine debug.cfg reinschreiben, damit es bei jedem Box-Neustart ausgeführt wird, oder wo muss das hin?
Könnte jemand für diese lange Version einen Patch zur FW-Erstellung zur Verfügung stellen?
Und vielleicht kommt das ja dann doch noch in den Freetz-Trunk?
Muss ich das Skript aus Beitrag #1 (Die "lange" Version ermöglicht auch die Anzeige der Einträge in der GUI:...) dieses Threads in meine debug.cfg reinschreiben, damit es bei jedem Box-Neustart ausgeführt wird, oder wo muss das hin?
Könnte jemand für diese lange Version einen Patch zur FW-Erstellung zur Verfügung stellen?
Und vielleicht kommt das ja dann doch noch in den Freetz-Trunk?
Neueste Beiträge
-
[Problem] 7490 mit anderen IP-Adressen (als 192.168.178.1) recovern- Letzte: BenGurion_
-
[Sammlung] Aktuelle Konditionen für Vertragsverlängerung
- Letzte: djjoha
-
FRITZ!Box 7530 - LaborPlus 8.00 - Sammelthema- Letzte: Jstessi
-
vto2000a-c keine Reaktion
- Letzte: konst1
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte- Letzte: stoney
-
Welche Anlage nehmen?
- Letzte: stoney
