Transparenter Proxy

[holger_s]

bei meiner box siehts derzeit so aus:

root@fritz:/var/mod/root# find / -iname '*ipt*'
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_REDIRECT.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_filter.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_nat.ko
/usr/sbin/iptables
/usr/sbin/iptables-multi
/var/mod/pkg/iptables
root@fritz:/var/mod/root# find / -iname '*ip_*'
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_tables.ko
...

in welchem Deiner Module versteckt sich den x_tables und xt_tcpudp bzw. woher bekomme ich die Funktionen fürs das "transpirieren" meines Proxys?

 

[sf3978]

bei meiner box siehts derzeit so aus:

Hast Du für deine Box und dein Freetz, betr. iptables, mit "make menuconfig" Alles aktiviert was sich aktivieren lässt?

 

[holger_s]

nein, hab ich nicht, dann wird das image zu groß.

 

[sf3978]

Evtl. kannst Du einiges aus der Box entfernen.

 

[holger_s]

moment, teste grade

 

[sf3978]

Wenn Du iptables entsprechend deinen Bedürfnissen konfiguriert hast, kannst Du mit lsmod feststellen welche Module nicht benötigt werden und diese dann anschließend (mit einem neuen Freetz-Image) aus der Box entfernen.

EDIT:

Nur als Beispiel: Ich habe Folgendes aus meiner 7170 entfernt:

# Removings -------------------------------
FREETZ_REMOVE_ASSISTANT=y
FREETZ_REMOVE_AURA_USB=y
FREETZ_REMOVE_AVM_VPN=y
#
# Remove brandings
#
FREETZ_REMOVE_BRANDING_1und1=y
FREETZ_REMOVE_CAPIOVERTCP=y
FREETZ_REMOVE_DECT=y
FREETZ_REMOVE_DTRACE=y
FREETZ_REMOVE_FTPD=y
FREETZ_REMOVE_HELP=y
FREETZ_REMOVE_MEDIASRV=y
FREETZ_REMOVE_MINID=y
FREETZ_REMOVE_PRINTSERV=y
FREETZ_REMOVE_PRINTSERV_MODULE=y
FREETZ_REMOVE_SMBD=y
FREETZ_REMOVE_SUPPORT=y
FREETZ_REMOVE_TR069=y
FREETZ_REMOVE_TR069_FWUPDATE=y
FREETZ_REMOVE_UPNP=y
FREETZ_REMOVE_USERMAN=y
FREETZ_REMOVE_VOIPD=y
FREETZ_REMOVE_VOIP_ISDN=y

 

[holger_s]

root@fritz:/var/mod/root# find / -iname '*ip*'|grep modules
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack_ftp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack_irc.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack_proto_sctp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack_rtsp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_conntrack_tftp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_nat_ftp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_nat_irc.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_nat_rtsp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_nat_tftp.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ip_tables.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_CONNMARK.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_LOG.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_MARK.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_MASQUERADE.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_REDIRECT.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_REJECT.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_TCPMSS.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_TOS.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_comment.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_connmark.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_conntrack.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_helper.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_iprange.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_layer7.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_length.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_limit.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_mac.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_mark.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_multiport.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_owner.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_state.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_tcpmss.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_tos.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/ipt_ttl.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_filter.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_mangle.ko
/lib/modules/2.6.13.1-ohio/kernel/net/ipv4/netfilter/iptable_nat.ko
/lib/modules/microvoip-dsl.bin
/lib/modules/microvoip_isdn_top.bit
/lib/modules/microvoip_isdn_top.bit1
root@fritz:/var/mod/root# lsmod
Module Size Used by Tainted: P
iptable_filter 864 0
ipt_REDIRECT 704 0
iptable_nat 16176 1 ipt_REDIRECT
ip_conntrack 30320 1 iptable_nat
ip_tables 18080 3 iptable_filter,ipt_REDIRECT,iptable_nat
....
root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan --dport 80 -j REDIRECT --to 8118
iptables v1.4.1.1: Unknown arg `--dport'

Das war wohl immer noch nichts... wozu gibts eigentich die LIBS *.so ???

 

[sf3978]

Das war wohl immer noch nichts...

Welche Module sind geladen? Was hast Du betr. iptables, mit "make menuconfig" alles aktiviert?

 

[holger_s]

Hast Du im menuconfig ipt_REDIRECT ausgewählt? Hast Du versucht, das Modul zu laden?
Hast Du alle Module, von denen ipt_REDIRECT abhängig ist, auf der Box? Laut der Hilfe im menuconfig wählt ipt_REDIRECT folgendes aus: iptable_nat ip_nat x_tables

Scheint nicht zu klappen, sonst hätte ich jetzt zumindestens x_tables und ip_nat....

 

[holger_s]

schon viel besser...

nach einem reboot sind jetzt folgende Module bereits geladen:
root@fritz:/var/mod/root# lsmod
Module Size Used by Tainted: P
userman_mod 30544 2
iptable_mangle 992 0
iptable_nat 16176 0
ipt_REJECT 3424 0
ipt_LOG 4960 0
ip_conntrack_ftp 69568 0
ip_conntrack 30320 2 iptable_nat,ip_conntrack_ftp
iptable_filter 864 0
ip_tables 18080 5 iptable_mangle,iptable_nat,ipt_REJECT,ipt_LOG,iptable_filter
sch_sfq 3968 4
sch_llq 6624 1
sch_tbf 3936 1
kdsldmod 769712 7 userman_mod
usbahcicore 21424 0
usbcore 86928 2 usbahcicore
capi_codec 240768 0
isdn_fbox_fon4 867888 5 capi_codec
ubik2 69248 2 capi_codec,isdn_fbox_fon4
tiatm 91440 1 ubik2
jffs2 94752 0
Piglet 5216 0
root@fritz:/var/mod/root# iptables -t nat -A PREROUTING -p tcp -i lan --dport 80 -j REDIRECT --to 8118
root@fritz:/var/mod/root#

ich habe allerdings in make menuconfig wirklich ALLES mit iptable angekreuzelt...., welche Sachen kann ich nun wieder rauswerfen, schließlich soll privoxy ja auch mit rein...

 

[sf3978]

ich habe allerdings in make menuconfig wirklich ALLES mit iptable angekreuzelt...., welche Sachen kann ich nun wieder rauswerfen, ...

Module die immer "Used by 0" kannst Du unloaden. Und dann auch nicht mehr in das Freetz-Image aufnehmen.

 

[holger_s]

Danke

ich finde Foren (vor allem dieses!) immer wieder toll. Prima wie da einem geholfen wird! :grin::grin::grin:

Nun gehts ans kleingedruckte.. privoxy ist mit drin und rennt, nun muss ich noch die iptables Regeln anpassen und dann wirds was. Ich möchte WLAN radikal einschränken (nur für NINTENDO DS öffnen) und LAN soll kindgerecht werden und die Updates wären auch nicht übel (soweit nötig).

Prima wäre auch eine LOG Datei und eine Versendung per Mail.... noch viel zu knobeln, aber die Basis steht dank diesem Forum und vor allem der hartnäckigen Hilfe von User sf3978 (mal zum Dank ein Bierchen aus meinem Hasseröderkasten rüberbeamt... ich hoffe Du magst Bier :bier: )

Na dann werde ich mich mal tiefgründig mit iptables beschäfftigen.... man hat halt immer was zu tun

DANKE
Holger

 

[sf3978]

Nun gehts ans kleingedruckte.. privoxy ist mit drin und rennt, ...

Zum drosseln bzw. um den privoxy leichtgewichtiger zu machen für die 7170, empfehle ich dir trickle.
Beispiel (aus der rc.privoxy):

modlib_startdaemon [COLOR=red]trickle -s -w 512 -u 800 -d 810[/COLOR] $DAEMON --pidfile /var/run/$DAEMON.pid /mod/etc/privoxy/config

... und eine Versendung per Mail.... noch viel zu knobeln, ...

Zum versenden von eMails von der Box, empfehle ich dir email aus dem trac.