tcpdump Interface Problem - iptables mit Freetz lauffähig

[starmagoo]

@stinkstiefel - Hier mal meine Config.in und an den shared libs kann es wohl liegen. Die Frage ist welche brauche ich und welche nicht!?

@cando Danke für den Tipp, klingt vielversprechend. Ich lade die shared libs mal mit rein. Welche benötige ich denn unbedingt? Ist es immer besser die shared libs zu den Paketen bei denen sie angeboten werden mit zu nehmen?

Testweise basteln ich mal ALLE shared libs mit rein.

Resonanz folgt!

PS: Für was gibt es denn das Verzeichnis "iptables-cgi" unter make/ ? Hat iptables auch ein Web-IF?


EDIT:
Das sieht gut aus Leute shared libs mit rein und schon habe ich unter:
build/modified/filesystem/usr/lib/xtables/ jede menge einträge

EDIT 2:

Config.in hinzugefügt

 

[Silent-Tears]

Zum einen fehlt die .config, zum anderen: die .config, nicht die Config.in. Wie du daran kommst ,steht im freetz-Wiki.
Weiterhin benötigst du die libs für die Module, die du lädst. Die heissen so ziemlich genauso, nur ebne in Grossbuchstaben.

 

[stinkstiefel]

Siehste so ist das wenn man sich mit etwas nicht auskennt (häufiger Fehler) beruhigt mich aber ein klein wenig.

 

[starmagoo]

Dankeschön für den Hinweis.... Ich habe erstmal alle Libs genommen.

Werd es dann gleich mal durchprobieren.

 

[sf3978]

@sf3978 Das habe ich nicht mehr probiert da ich mit dem was ich suchte Glücklich war... Bist du der sache näher gekommen?

Ja, ich hatte ein Denkfehler. Inzwischen kann ich mit folgender iptables-Regel, Pings auf die FritzBox loggen:

-A INPUT -s 0/0 [B][COLOR="Red"]-p icmp[/COLOR][/B] -j LOG --log-prefix ***Ping:

Ergebnis:

May 20 23:49:15 fritz user.warn kernel: ***Ping:IN=lan OUT= MAC=xx:xx:xx:xx:xx:xx:yy:yy:yy:yy:yy:yy:yy:yy SRC=yyy.yyy.yyy.yyy DST=xxx.xxx.xxx.xxx LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=63202 PROTO=ICMP TYPE=8 CODE=0 ID=61359 SEQ=0

 

[starmagoo]

Tausend Dank an alle es läuft soweit sogut.
Mit den Regeln muss ich mich wirklich noch auseinander setzen. Hat zufällig jemand von den mitgelesenen Erfahrung mit IPP2P ??? http://www.ipp2p.org/

Dann würde mich noch interessieren was der Unterschied von TRANS und FORWARD Regeln sind...?

Welchen Start der Module und der Regeln haltet ihr für Sinnvoller? debug oder rc.custom? oder egal...?

Klasse für die Unterstützung. Ihr seit super! Merci!!! Ich habe "freetz" in der letzten kurzen Zeit (in der ich hier bin) sehr lieb gewonnen... Das liegt vorallem am Board.

EDIT:
Ein

/var/mod/root # modprobe ipt_ipp2p
modprobe: module ipt_ipp2p not found
modprobe: failed to load module ipt_ipp2p: No such file or directory

führt leider nicht zum erfolg.

Die "libipt_ipp2p.so" unt /usr/lib/xtables/ ist allerdings verhanden...

 

[sf3978]

... was der Unterschied von TRANS und FORWARD Regeln sind...?

Für die FritzBox 7170 gibt es die chain TRANS nach der Installation noch nicht. Sie müsste mit "iptables -N TRANS" erstellt werden. Bei der FritzBox 7270 ist diese chain nach der Installation (allerdings ohne default policy) schon vorhanden. Evtl. durch die Freetz-Entwickler so gewollt. Was damit erreicht werden soll, ist aus dem wiki ersichtlich:

iptables -N TRANS
# Ausgehende Regeln für Internet Surfen:
iptables -A TRANS -p tcp -s 192.168.0.0/24 -m multiport --dport 20,21,22,25,80,110,443,465,995,5060 -j ACCEPT
iptables -A TRANS -p udp -s 192.168.0.0/24 -m multiport --dport 53,67,68,80,123,5060 -j ACCEPT
iptables -A TRANS -p icmp -s 192.168.0.0/24 -j ACCEPT

# conntrack für eingehende Antwortpakete:
iptables -A TRANS -m state --state RELATED,ESTABLISHED -j ACCEPT

# # # Rules for FORWARD

iptables [B][COLOR="Red"]-P FORWARD DROP[/COLOR][/B]
iptables -A [B][COLOR="#ff0000"]FORWARD -j TRANS[/COLOR][/B]

Welchen Start der Module und der Regeln haltet ihr für Sinnvoller? debug oder rc.custom? oder egal...?

Ich mache das im Freetz-WEB-IF (siehe Anhang), unter Einstellungen mit "Freetz:modules" (evtl. nur im trunk vorhaden).

Die "libipt_ipp2p.so" unt /usr/lib/xtables/ ist allerdings verhanden...

Ist die "ipt_ipp2p.ko" auch vorhanden?

/var/mod/root # find / -iname '*.ko'

Ergebnis u. a. auch:

... /kernel/net/ipv4/netfilter/ipt_ipp2p.ko

Wenn nicht, dann schau unter "make menuconfig" nach, ob Du das Modul kompiliert hast.

 

[starmagoo]

Bei mir war die TRANS Regel nicht von Anfang an da. Ich habe auch eine 7270 und sie mit "iptables -N TRANS" hinzugefügt.


Die Module lasse ich jetzt auch über des Web Interface laden. Danke für den Tipp. Ich nutze sonst den stable Zweig und da ist es tatsächlich nicht vorhanden.

Die "ipt_ipp2p.ko" ist nicht vorhanden. Wie kann das sein obwohl ich sie ausgewählt habe.

ls -l /lib/modules/2.6.19.2/kernel/net/ipv4/netfilter/
-rwxr-xr-x    1 root     root        64688 May 21 02:34 ip_conntrack.ko
-rwxr-xr-x    1 root     root         9527 May 21 02:34 ip_conntrack_ftp.ko
-rwxr-xr-x    1 root     root        54064 May 21 02:34 ip_conntrack_h323.ko
-rwxr-xr-x    1 root     root         8592 May 21 02:34 ip_conntrack_irc.ko
-rwxr-xr-x    1 root     root        13609 May 21 02:34 ip_conntrack_pptp.ko
-rwxr-xr-x    1 root     root         5297 May 21 02:34 ip_conntrack_tftp.ko
-rwxr-xr-x    1 root     root        20997 May 21 02:34 ip_nat.ko
-rwxr-xr-x    1 root     root         5514 May 21 02:34 ip_nat_ftp.ko
-rwxr-xr-x    1 root     root        12394 May 21 02:34 ip_nat_h323.ko
-rwxr-xr-x    1 root     root         4292 May 21 02:34 ip_nat_irc.ko
-rwxr-xr-x    1 root     root         7927 May 21 02:34 ip_nat_pptp.ko
-rwxr-xr-x    1 root     root         3308 May 21 02:34 ip_nat_tftp.ko
-rwxr-xr-x    1 root     root        16454 May 21 02:34 ip_tables.ko
-rwxr-xr-x    1 root     root        11133 May 21 02:34 ipt_LOG.ko
-rwxr-xr-x    1 root     root         4843 May 21 02:34 ipt_MASQUERADE.ko
-rwxr-xr-x    1 root     root         3234 May 21 02:34 ipt_REDIRECT.ko
-rwxr-xr-x    1 root     root         5841 May 21 02:34 ipt_REJECT.ko
-rwxr-xr-x    1 root     root         5634 May 21 02:34 ipt_TCPMSS.ko
-rwxr-xr-x    1 root     root         3428 May 21 02:34 ipt_TOS.ko
-rwxr-xr-x    1 root     root         3050 May 21 02:34 ipt_iprange.ko
-rwxr-xr-x    1 root     root        19684 May 21 02:34 ipt_layer7.ko
-rwxr-xr-x    1 root     root         2663 May 21 02:34 ipt_tos.ko
-rwxr-xr-x    1 root     root         3195 May 21 02:34 ipt_ttl.ko
-rwxr-xr-x    1 root     root         5194 May 21 02:34 iptable_filter.ko
-rwxr-xr-x    1 root     root         5240 May 21 02:34 iptable_mangle.ko
-rwxr-xr-x    1 root     root        10353 May 21 02:34 iptable_nat.ko
-rwxr-xr-x    1 root     root         3743 May 21 02:34 iptable_raw.ko

 

[olistudent]

Eventuell wird das Modul nicht gebaut. Ich bin mir auch gar nicht sicher, ob das noch drin ist. Da gabs Probleme mit dem neuen Iptables.

MfG Oliver

 

[sf3978]

Ich bin mir auch gar nicht sicher, ob das noch drin ist. Da gabs Probleme mit dem neuen Iptables.

Im trunk 3357 ist es noch drin.

 

[starmagoo]

Ich hab mal im trunk gesucht:

 find . -name *ipp2p*
./root/usr/lib/xtables/libipt_ipp2p.so
./build/modified/filesystem/usr/lib/xtables/libipt_ipp2p.so
./toolchain/build/gcc-4.2.4-uClibc-0.9.29/mipsel-linux-uclibc/include/linux/netfilter_ipv4/ipt_ipp2p.h
./make/linux/patches/2.6.13.1/310-ipp2p_0.8.2.patch
./make/linux/patches/2.6.13.1/.svn/text-base/310-ipp2p_0.8.2.patch.svn-base
./make/linux/patches/2.6.19.2/.svn/text-base/kernel-2.6.19-ipp2p-0.82.patch.svn-base
./make/linux/patches/2.6.19.2/kernel-2.6.19-ipp2p-0.82.patch
./make/iptables/patches/.svn/text-base/001-ipp2p-0.8.2.patch.svn-base
./make/iptables/patches/001-ipp2p-0.8.2.patch
./source/iptables-1.4.1.1/extensions/libipt_ipp2p.oo
./source/iptables-1.4.1.1/extensions/.libipt_ipp2p.oo.d
./source/iptables-1.4.1.1/extensions/ipt_ipp2p.h
./source/iptables-1.4.1.1/extensions/libipt_ipp2p.c
./source/iptables-1.4.1.1/extensions/libipt_ipp2p.so
./source/ref-8mb_26-7270_04.70/kernel/kernel_8mb_26_build/kernel/linux-2.6.19.2/net/ipv4/netfilter/ipt_ipp2p.c
./source/ref-8mb_26-7270_04.70/kernel/kernel_8mb_26_build/kernel/linux-2.6.19.2/include/linux/netfilter_ipv4/ipt_ipp2p.h
./source/ref-8mb_26-7270_04.70/kernel/kernel_8mb_26_build/kernel/linux-2.6.19.2/include/config/ip/nf/match/ipp2p.h

Hat dieser Auszug zu bedeuten das nur auf 8MB Boxen mit der Image Version 04.70 läuft? Oder deute ich das falsch...?

./source/ref-8mb_26-7270_04.70/kernel/kernel_8mb_26_build/kernel/linux-2.6.19.2/net/ipv4/netfilter/ipt_ipp2p.c
./source/ref-8mb_26-7270_04.70/kernel/kernel_8mb_26_build/kernel/linux-2.6.19.2/include/linux/netfilter_ipv4/ipt_ipp2p.h
./source/ref-8mb_26-7270_04.70/kernel/kernel_8mb_26_build/kernel/linux-2.6.19.2/include/config/ip/nf/match/ipp2p.h

Denn ich habe eine 16er mit ner labor Version: 54.04.74freetz-devel-3359M

 

[sf3978]

Versuch mal Folgendes auf deiner FritzBox:

iptables -m ipp2p -h
iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP

 

[starmagoo]

Das schaut recht gut aus. Er bringt mir beim ersten Befehl die iptables IPP2P Hilfe. Allerdings beim 2ten mekkert er wieder!

iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
iptables: No chain/target/match by that name

 

[sf3978]

Bei mir mekkert er nicht:

/var/mod/root # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
.........

Chain FORWARD (policy ACCEPT)
target prot opt source destination
.........
DROP tcp -- anywhere anywhere ipp2p v0.8.2 --edk --soul

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Vielleicht kann dir jemand mit dem Kernel 2.6.19.2 helfen.
Ich mach für meine Box (Kernel 2.6.13.1) mal ein Freetz-Image mit r3359, um zu schauen ob das Modul ipt_ipp2p.ko noch vorhanden ist.

 

[starmagoo]

Danke erstmal. Kann man verschieden Kernels beim Kompilieren auswählen die er später nutzen soll? Ich bin davon ausgegangen das er nur den 2.6.19 nimmt? Guck ich mir mal an...

EDIT:
Fehlen ihm vielleicht noch andere Module? Ich nutze nur die, die im Wiki angegeben sind.

 

[sf3978]

Ich bin davon ausgegangen das er nur den 2.6.19 nimmt?

Ja, so ist es. Die 7270 hat den Kernel 2.6.19.2 und die 7170 hat den Kernel 2.6.13.1

Ich habe alle Module aktiviert und geladen.

EDIT:
Wie ist die Ausgabe von "uname -a" bei dir?

 

[starmagoo]

Ah ok wusste nicht das die Kernel bei den unterschiedlichen Boxen auch unterschiedlich sind.

Ich hab nen 2.6.29.2:

uname -a
Linux fritz.fonwlan.box 2.6.19.2 #1 Wed May 20 09:20:07 CEST 2009 mips unknown

Weißt du welche Module für IPP2P wichtigsind? Wie gesagt ich hab nur folgende:
http://trac.freetz.org/wiki/packages/iptables#Konfiguration:Firmwareerfolgreicherstelltundaufgespieltsogehtesweiter

 

[sf3978]

Nein, ich weiß nicht welche Module für ipp2p noch wichtig sind. Wie gesagt, ich habe (fast) alle Module aktiviert und geladen:

/var/mod/root # lsmod                                                      
Module                  Size  Used by    Tainted: P                        
ipt_REDIRECT            1536  0
ipt_MASQUERADE          2496  0
ipt_iprange             1600  0
ipt_multiport           2176  3
ipt_mac                 1504  0
iptable_filter          2112  1
ipt_state               1312  9
ipt_LOG                 7328  11
.........
.........
.........
ipt_ipp2p               9280  1
ipt_helper              1440  0
ipt_ttl                 1440  0
ipt_mark                1184  0
ipt_layer7             12912  0
ipt_connmark            1216  0
ipt_tos                 1152  0
ipt_TOS                 1952  0
ipt_tcpmss              1856  0
ipt_TCPMSS              3648  0
ip_nat_ftp              2816  0
iptable_nat            22096  4 ipt_REDIRECT,ipt_MASQUERADE,ip_nat_ftp
ip_conntrack_ftp       71552  1 ip_nat_ftp
ip_conntrack_proto_sctp     7152  0
ip_conntrack           42288  7 ipt_MASQUERADE,ipt_state,ipt_helper,ip_nat_ftp,iptable_nat,ip_conntrack_ftp,ip_conntrack_proto_sctp
ipt_MARK                2144  0
ipt_length              1216  0
ipt_limit               1856  4
ipt_REJECT              4800  4
iptable_mangle          2016  1
ip_tables              21088  24 ipt_REDIRECT,ipt_MASQUERADE,ipt_iprange,ipt_multiport,ipt_mac,iptable_filter,ipt_state,ipt_LOG,ipt_ipp2p,ipt_helper,ipt_ttl,ipt_mark,ipt_layer7,ipt_connmark,ipt_tos,ipt_TOS,ipt_tcpmss,ipt_TCPMSS,iptable_nat,ipt_MARK,ipt_length,ipt_limit,ipt_REJECT,iptable_mangle

EDIT:

Habe gerade ein Freetz-Image mit r3359 erstellt und es scheint so, dass die Datei "ipt_ipp2p.ko" erstellt worden ist:

[B]replacing kernel  [/B]                                                                                            
  [B]replacing kernel[/B]-8mb_26-04.70 (iln6)                                                                        
  installing modules                                                                                          
    jbd.ko                                                                                                    
    ext2.ko                                                                                                   
    ext3.ko                                                                                                   
    mbcache.ko                                                                                                
    ipt_MARK.ko                                                                                               
    ipt_limit.ko                                                                                              
    ip_conntrack_ftp.ko                                                                                       
    ipt_connmark.ko                                                                                           
    ip_conntrack_irc.ko                                                                                       
    ipt_mark.ko                                                                                               
    ipt_tcpmss.ko                                                                                             
    ip_tables.ko                                                                                              
    ip_conntrack_proto_sctp.ko                                                                                
    [B]ipt_ipp2p.ko[/B]                                                                                              
    ipt_conntrack.ko                                                                                          
    ipt_mac.ko                                                                                                
    ipt_length.ko                                                                                             
    ipt_REDIRECT.ko                                                                                           
    ipt_TCPMSS.ko                                                                                             
    ipt_tos.ko                                                                                                
    ipt_ttl.ko                                                                                                
    ipt_REJECT.ko                                                                                             
    ip_conntrack_tftp.ko                                                                                      
    ipt_layer7.ko                                                                                             
    ip_nat_ftp.ko                                                                                             
    iptable_filter.ko                                                                                         
    ip_nat_irc.ko                                                                                             
    ipt_state.ko                                                                                              
    ipt_LOG.ko                                                                                                
    ipt_iprange.ko                                                                                            
    ipt_helper.ko                                                                                             
    iptable_mangle.ko                                                                                         
    ipt_MASQUERADE.ko                                                                                         
    ipt_TOS.ko                                                                                                
    iptable_nat.ko                                                                                            
    ip_nat_tftp.ko                                                                                            
    ipt_multiport.ko                                                                                          
    ip_conntrack.ko                                                                                           
  generating modules.dep

 

[starmagoo]

Ich habe alle Module ausgewählt aber kann grad mal die Hälfte oder weniger deiner Module laden...

Ich schau grad mal ob er bei mir das auch so ausgibt beim kompilieren.


EDIT:
Bei mir taucht die Zeile nicht auf... Was um himmelswillen mache ich anders!?

Liegt wohl doch an Kernel oder Box.

 

[sf3978]

Hast Du "Replace Kernel" aktiviert?

Mit r3359 (neu ausgecheckt) funktioniert iptables mit ipp2p, bei meiner Box, genau so wie mit r3357.