Port-Freigabe auf die Box ist so möglich! Virtual-IP überflüssig?!?

Kann ich nun "make" aufrufen oder muss ich nochmal "make menuconfig" starten und erst dann "make" oder ist sonst noch etwas anzupassen?

Dieser Patch dürfte ohne weitere Eingriffe funktionieren.

Z.B. fangen im o.g. Pfad alle anderen Patches mit Ziffern an, Deiner nicht. Klappt das so?
Die PAtches werden nach dem Alphanumerisch abgearbeitet. Somit kommt der portrule.patch am Ende.

Woher weiß "make", dass da ein zusätzlicher Patch abzuarbeiten ist?
Weil das make-Script die Patches in dem Verzeichnis einfach alle abarbeitet.
 
Prima, vielen Dank!
Ähm, gibt es einen Grund, dass der Patch noch nicht im Freetz-Trunk ist?
Oder habe ich da etwas übersehen?

Und was ist nun mit VirtualIP - braucht man das noch?
 
virtual ip iss bei den neueren firmwaren totgelegt...
und portrule iss nicht im trunk, weil nach nem reboot die portfreigeban auf 0.0.0.0 aus der übersicht verschwinden...sie sind dann zwar noch da und aktiv...aber nicht zu seehn oder zu administrieren...ausser man wagt sich an die ar7 dran(z.b. mit dem fbeditor)
 
Lässt sich das mit dem Verschwinden nicht noch verbessern, so dass das in den Freetz-Trunk rein kann?
Anders gefragt: Wenn man das durch Editieren in der ar7.cfg löst, könnte man das nicht auch in Freetz einbauen, so dass es dauerhaft bleibt?
Sorry, falls die Fragen blödsinnig sind, aber ich kann mir das nicht so vorstellen.

Wenn ich Deinen Patch nun einspiele und das Verschwinden der Regeln vermeiden will, wie genau muss ich das mit dem Editieren der ar7.cfg machen? Den FBEditor kenne ich.
Hat das Auswirkungen später, d.h. muss ich das bei weiteren FW-Updates wieder in der ar7.cfg ändern oder kann das dann immer so bleiben?

OT:
Du hast 64MB Swap an Deiner FB. Löst das auch das Problem "kernel image size is x bytes too big"?
Falls ja, wie teilst Du das bei der FW-Erstellung mit, dass Du einen größeren "Speicher" hast?
 
das verschwinden liegt nicht am patch, sondern an avm...die ziegen nur portrules an, die nicht 0.0.0.0 sind, da sie damit eigene portweiterleitungen verstecken...
ändern kann mann das nicht solange gewisse programme von avm nicht opensource sind...
braucht aber auch nicht schlimm sein...denn die meisten portrules sind ja eh für immer...ftp...webserver...usw ändere ich z.b. nicht wirklich oft...
editieren musst du die ar7 dann also nur wenn eine rule weg oder geändert werden soll...

der swap löst nicht das problem eine szu grossen images...8 mb und dann iss schluss...da is bei den alten boxen der falsh das limitierende wesen...also hast du zuviel spielzueg drin...
die v3 7270 hat dann 16mb...aber das ist im freetz noch nicht abgefangen, sodas auch da erstmal noch bei 8 mb schluss iss...
 
Wieso steht bei mir dieselbe forward rule (im WebGUI nur 1x sichtbar) im FBEditor bzw. in ar7.cfg 2x drin?
Code:
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060", 
"tcp 0.0.0.0:443 0.0.0.0:22 0 # SSH", 
"tcp 0.0.0.0:443 0.0.0.0:22 0 # SSH";
shaper = "globalshaper";
Muss ich eine der doppelten Zeilen in der ar7.cfg löschen oder sollen die beide (doppelt) drin stehen?

Macht es eigentlich Sinn, den https-Port 443 (remote) auf den ssh-Port 22 (lokal) zu mappen, z.B. falls ich unterwegs mal nur einen Port 443 offen habe (neben Port 80)?
Oder sollte man nicht von 443 nach 22 mappen?

Außerdem hörte ich, dass man seine eigenen Ports auf solche >50000 setzen sollte, richtig?
Daher habe ich den lokalen ssh-Port nun von 22 auf 50022 umgeändert.
im WebGUI habe ich alles gelöscht, so dass jetzt nur noch folgendes in der ar7.cfg direkt (z.B. mittels FBEditor) zu lesen ist:
Code:
forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
"tcp 0.0.0.0:443 0.0.0.0:50022 0 # SSH";
shaper = "globalshaper";
Ist das ok so?

Im Dropbear auf meiner FB habe ich den lokalen Port 22 auch auf 50022 umgestellt. Korrekt?

Dann liefe der ssh-Zugriff so ab:
Code:
ssh -p 50022 [email protected]

Ist meine o.g. forward rule jetzt Neustart-resistent, oder muss ich die irgendwie mittels echo in der debug.cfg bei jedem Neustart wieder in die ar7.cfg reinschreiben lassen?
 
Zuletzt bearbeitet:
Moin,

eigentlich sollten die Regeln nur einmal drinstehen. Und über die GUI (geändert oder nicht) sollte das auch nur einmal möglich sein, wenn sich die Regeln "überschneiden", denn der Port ist ja eigentlich schon belegt.

Die Frage nach Port 443 und 22 verstehe ich nicht: Deine "Alternative" ist doch das gleiche ?!?

Der Rat des Nichtstandardports betrifft immer den "Eingangsport", auf dem deine Box lauscht, damit der nicht so einfach gefunden werden kann. Wenn du den aber immer auf 443 setzen musst, hast du keine Wahl. Der interne Port ist eigentlich egal (sofern du nicht eine interne Gefahr mindern möchtest).

Jörg
 
443=22? Ich dachte, 443 sei für https und 22 für ssh.
Unterwegs hat man ja manchmal nur die Ports 80 (http) und 443 (https) offen.
Daher dachte ich, es sei sinnvoll, bei mir gleich von 22 nach 443 zu mappen, aber dabei habe ich wohl remote und lokal verwechselt.
Also müsste der remote Port (auf dem meine Box lauscht) 443 sein und der interne irgendeinerm richtig?

Ist denn diese Zeile in der ar7.cfg so ok?
Die Box lauscht auf Port 443 und leitet das intern auf Port 50022 um:
Code:
"tcp 0.0.0.0:443 0.0.0.0:50022 0 # SSH"
Wofür steht eigentlich die Null am Ende der Zeile?

Im WebGUI sind nun keine Portfreigaben sichtbar, aber das ist ja bei 0.0.0.0 wohl bekanntermaßen so, oder?

Spielt es dabei eigentlich eine Rolle, dass meine FB an LAN1 eines Kabelmodems hängt? (Kabel Deutschland)
 
Moin,

nochmal gelesen, habe ich die Frage jetzt verstanden ;-) Ich hatte dein
Macht es eigentlich Sinn, den https-Port 443 (remote) auf den ssh-Port 22 (lokal) zu mappen [...]
Oder sollte man nicht von 443 nach 22 mappen?
nicht als "soll ich oder besser nicht" sondern als "mappe ich besser 443 auf 22 oder 443 auf 22" aufgefasst und war verwirrt ;-)

Deine Zeile ist o.k., die Bedeutung der Null kenne ich auch nicht. Ich könnte mir vorstellen, AVM hatte irgendwann eine weitere Unterscheidung der Regeln geplant???

Ja, alle Einträge auf das Ziel 0.0.0.0 werden ausgeblendet. Und ob über DSL oder LAN geht sollte egal sein.

Jörg
 
Hallo @all

jetzt habe ich hier schon zig mal hoch und runter gelesen und hoffe ich habe das nun alles verstanden. Ist es so, dass virtuelle IP nicht mehr geht ? wenn ich nun meine Forwards direkt in der ar7.cfg eintrage geht mein SSH wieder aber ich sehe sie im WEBIF nicht (was nicht so schlimm ist)? Den Patch brauche ich nur wenn ich die Forwards im WEBIF eingeben will ?
Kann mir da bitte jemand auf die Sprünge helfen?
 
jetzt habe ich hier schon zig mal hoch und runter gelesen und hoffe ich habe das nun alles verstanden. Ist es so, dass virtuelle IP nicht mehr geht ? wenn ich nun meine Forwards direkt in der ar7.cfg eintrage geht mein SSH wieder aber ich sehe sie im WEBIF nicht (was nicht so schlimm ist)? Den Patch brauche ich nur wenn ich die Forwards im WEBIF eingeben will ?

Dann hast du nicht wirklich ausführlich "hoch und runter" gelesen. Virtual IP funktioniert bei neueren Firmwareversionen nciht mehr, direktes editieren der ar7.cfg geht, und den Patch brauchst du nicht, wenn du direkt die ar7.cfg bearbeitest.
Ich hoffe, so kannst du wieder besser springen und lesen...

lg

c.
 
doch dann habe ich ja richtig gelesen. Du bestätigst mir ja das ich es richtig verstanden habe. Danke noch mal dafür.

LG
M.
 
Inzwischen klappt auch der remote ssh-Zugriff auf meine Box.

Aber was kann man eigentlich machen, damit man nicht ständig verunsichert wird durch Meldungen wie diese hier?
Code:
slightly@StinkyLinux:~$ ssh [email protected]
The authenticity of host '123.123.123.123 (123.123.123.123)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '123.123.123.123' (RSA) to the list of known hosts.
[email protected]'s password:
Die IP ändert sich ja ab und an mal (bin bei KD, da ist sie relativ stabil), aber ich möchte ja nicht, dass ständig neue IPs in meiner "list of known hosts" landen.

Wie lösche ich alte IPs aus meiner "list of known hosts"?
Es ist nicht die Liste unter /etc/hosts. Aber wo stehen diese "known hosts"?

Achso: Das Problem wäre doch mit DynDNS o.ä. abgestellt, denn da greife ich ja nicht über die IP auf die FB zu, sondern über einen festen Hostnamen, korrekt?
 
die knows_hosts findest du unter "/home/USER/.ssh/known_hosts"
wobei du natürlich USER durch deinen user erstetzten muss, bei stinky wäre es
"/home/slightly/.ssh/known_hosts"

zum zweiten, ja dieses Problem kannst du am besten mit dyndns umgehen, da dann der name in die known_hosts eingetragen wird und sich dieser ja nicht ändert.
Woher bekommst du denn deine IP?
 
Danke, das "/home/USER/.ssh/known_hosts" passt sowohl für StinkyLinux als auch für OS X.
Meine FB hat eine statische lokale IP. Die öffentliche IP kommt vom Kabelmodem und ist auch relativ statisch, d.h. die wird eigentlich nur verändert, wenn ich das Kabelmodem aus- und wieder einschalte.

Schade, dass es noch keinen Trick gibt, dass das WebGUI auch 0.0.0.0 Regeln korrekt anzeigt, sondern leer aussieht.

Wofür ist eigentlich "udp 0.0.0.0:5060 0.0.0.0:5060"? Kann man das löschen oder muss das drin stehen?

VirtualIP kann ich jetzt wohl von meiner FB (29.04.57-freetz-devel-2264) runterschmeißen.
Oder gibt es noch einen Grund, es drauf zu lassen?
 
Schade, dass es noch keinen Trick gibt, dass das WebGUI auch 0.0.0.0 Regeln korrekt anzeigt, sondern leer aussieht.

Wofür ist eigentlich "udp 0.0.0.0:5060 0.0.0.0:5060"? Kann man das löschen oder muss das drin stehen?
Zum ersten: Hast du "das lange Skript" aus dem ersten Beitrag mal getestet?
Zum zweiten: Das sind die VoIP-Regeln, ob du die also löschen willst oder nicht...

Jörg
 
Lang, kurz? Ich hatte den Patch von DarkyPutz bei der FW-Erstellung verwendet.
Was ist denn der Unterschied zw. langem und kurzem Skript?
 
Die "kurze Version" ist die, die in DarkyPutz Patch drin ist. Damit kannst du die 0.0.0.0 als Ziel eintragen (und bis zum Reboot sollten diese Regeln eigentlich auch sichtbar sein).
Die "lange Version" sollte dir auch alle eigenen 0.0.0.0-er Regeln im Webinterface anzeigen (halt nicht die originalen VoIP-Regeln, ginge aber auch).

Jörg
 
Ah, ok, dann werde ich es mal mit der langen Version versuchen.

Muss ich das Skript aus Beitrag #1 (Die "lange" Version ermöglicht auch die Anzeige der Einträge in der GUI:...) dieses Threads in meine debug.cfg reinschreiben, damit es bei jedem Box-Neustart ausgeführt wird, oder wo muss das hin?

Könnte jemand für diese lange Version einen Patch zur FW-Erstellung zur Verfügung stellen?
Und vielleicht kommt das ja dann doch noch in den Freetz-Trunk?
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,146
Beiträge
2,246,880
Mitglieder
373,655
Neuestes Mitglied
ralf-ddd
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.